Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как лучше оргонизовать сеть OpenVPN ?

    Scheduled Pinned Locked Moved Russian
    11 Posts 4 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Tr0tter
      last edited by

      Доброго времени суток!
      Помогли мне разобраться с OpenVPN, Пока что работает одна точка, но не совсем как надо (это будет другая тема).
      Подскажите как лучше сделать и можно ли так как я предпологаю.
      (подцепить всех на один сервер ? И просто на сервере написать в поле Advanced:

      route 192.168.1.0 255.255.255.0;
      push "route 192.168.0.0 255.255.255.0";

      route 192.168.2.0 255.255.255.0;
      push "route 192.168.0.0 255.255.255.0";

      route 192.168.3.0 255.255.255.0;
      push "route 192.168.0.0 255.255.255.0";

      route 192.168.4.0 255.255.255.0;
      push "route 192.168.0.0 255.255.255.0";

      route 192.168.5.0 255.255.255.0;
      push "route 192.168.0.0 255.255.255.0";

      route 192.168.6.0 255.255.255.0;
      push "route 192.168.0.0 255.255.255.0";
      )
      Например:
      Центр 192.168.0.0/24

      Удалённые офисы:
                                    192.168.1.0/24
                                    192.168.2.0/24
                                    192.168.3.0/24
                                    192.168.4.0/24
                                    192.168.5.0/24
                                    192.168.6.0/24

      OpenVPN 192.168.200.0/24

      Или же для отдельного удалённого офиса, создавать отдельный OpenVPN Server ?
      И требуется что бы из каждого офиса в другой офис тоже был доступ.(Но это я так понимаю делается в удалённых офисах, что бы они видели друг друга ?)

      1 Reply Last reply Reply Quote 0
      • A
        Alexey2014
        last edited by

        Встречный вопрос:

        Не хотите организовать VPN на основе IPSec? В PfSense это реализовано.

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          @ Tr0tter

          Или же для отдельного удалённого офиса, создавать отдельный OpenVPN Server ?

          А это в зависимости от того, нужно ли будет писать правила доступа для каждого конкретного филиала или они будут одни для всех.

          И требуется что бы из каждого офиса в другой офис тоже был доступ.(Но это я так понимаю делается в удалённых офисах, что бы они видели друг друга ?)

          Это в настройках OpenVPN-сервера разрешается - OpenVPN: Server : Inter-client communication. А правилами fw на OpenVPN-подключениях - разрешать\запрещать.

          1 Reply Last reply Reply Quote 0
          • T
            Tr0tter
            last edited by

            А это в зависимости от того, нужно ли будет писать правила доступа для каждого конкретного филиала или они будут одни для всех.

            Правила вроде планируется для всех одни и те же.

            Это в настройках OpenVPN-сервера разрешается - OpenVPN: Server : Inter-client communication. А правилами fw на OpenVPN-подключениях - разрешать\запрещать.

            Хм, а по подробнее можно ?)
            ну с серверной галочкой  OpenVPN: Server : Inter-client communication всё понятно вроде, тыкнул и оно заработало ?

            1 Reply Last reply Reply Quote 0
            • T
              Tr0tter
              last edited by

              Не хотите организовать VPN на основе IPSec? В PfSense это реализовано.

              я не совсем уверен, но можно было бы и попробовать ради эксперимента, а какие плюсы даёт данная технология ?
              У меня в удалённых офисах стоят обычные ASUS роутеры будет ли работать на них ?

              1 Reply Last reply Reply Quote 0
              • T
                Tr0tter
                last edited by

                Может быть подскажете откуда берётся данная сеть ?

                fw.png
                fw.png_thumb

                1 Reply Last reply Reply Quote 0
                • A
                  Alexey2014
                  last edited by

                  У меня организовано так: стоит в 1 филиале D-Link DFL-260E, а в другом филиале стоит PfSense. Между ними организован VPN IPSec на PSK. Можно было бы организовать на сертификатах X509, но я не хотел заморачиваться.

                  По технологиям VPN IPSec туннель лучше защищен чем OpenVPN.

                  Поднимать лучше тот туннель, технологию которого вы знаете и лучше понимаете и знаете, как его поднять.

                  Какие модели Asus у вас стоят в филиалах?

                  Если они поддерживают VPN IPSec, то можете поднять туннель. Но если вам легче OpenVPN, то поднимайте OpenVPN.

                  1 Reply Last reply Reply Quote 0
                  • S
                    sherr_khann
                    last edited by

                    OpenVPN приятней тем, что клиентская часть может работать из-за нескольких NAT'ов. IPSec'у нужен реальный адрес, если мне не изменяет ни с кем склероз, либо работающий Passthrough-режим на NAT'ах, что чаще всего редкость.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Может быть подскажете откуда берётся данная сеть ?

                      Подскажу :

                      • это адреса ваших сетевых карт на некоторых машинах в LAN (дополнительные) или имеются несколько карт (в том числе и виртуальные)
                      • далее, если глянуть в Destination , то видно что это широковещательные пакеты, к-ые по-дефолту блокируются
                      1 Reply Last reply Reply Quote 0
                      • T
                        Tr0tter
                        last edited by

                        @werter:

                        Может быть подскажете откуда берётся данная сеть ?

                        Подскажу :

                        • это адреса ваших сетевых карт на некоторых машинах в LAN (дополнительные) или имеются несколько карт (в том числе и виртуальные)
                        • далее, если глянуть в Destination , то видно что это широковещательные пакеты, к-ые по-дефолту блокируются

                        А вы не могли бы подсказать откуда в TomatoUSB появились строчки по компресии ? На сервере LZO отключено и почемуто не работает, настройки делал теже кста (

                        1 Reply Last reply Reply Quote 0
                        • T
                          Tr0tter
                          last edited by

                          Вот на картинке видно:

                          удалённые сети
                          192.168.5.0/24
                          192.168.100.0/24

                          Сети VPN
                          192.168.200.2
                          10.0.12.2

                          192.168.5.0/24 192.168.200.2 UGS 0 9 1500 ovpns1
                          192.168.100.0/24 10.0.12.2 UGS 0 17 1500 ovpns2

                          Судя по этому удалённые сети знают сеть VPN которая в свою очередь знает центральную 192.168.0.0/24
                          А как научить центральную сеть 192.168.0.0/24 видеть удалённые ?
                          Потому, что из удалённых сетей центральную видно, а вот центральная удалённую не видит.

                          роутинг.png
                          роутинг.png_thumb

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.