Как лучше оргонизовать сеть OpenVPN ?
-
Встречный вопрос:
Не хотите организовать VPN на основе IPSec? В PfSense это реализовано.
-
@ Tr0tter
Или же для отдельного удалённого офиса, создавать отдельный OpenVPN Server ?
А это в зависимости от того, нужно ли будет писать правила доступа для каждого конкретного филиала или они будут одни для всех.
И требуется что бы из каждого офиса в другой офис тоже был доступ.(Но это я так понимаю делается в удалённых офисах, что бы они видели друг друга ?)
Это в настройках OpenVPN-сервера разрешается - OpenVPN: Server : Inter-client communication. А правилами fw на OpenVPN-подключениях - разрешать\запрещать.
-
А это в зависимости от того, нужно ли будет писать правила доступа для каждого конкретного филиала или они будут одни для всех.
Правила вроде планируется для всех одни и те же.
Это в настройках OpenVPN-сервера разрешается - OpenVPN: Server : Inter-client communication. А правилами fw на OpenVPN-подключениях - разрешать\запрещать.
Хм, а по подробнее можно ?)
ну с серверной галочкой OpenVPN: Server : Inter-client communication всё понятно вроде, тыкнул и оно заработало ? -
Не хотите организовать VPN на основе IPSec? В PfSense это реализовано.
я не совсем уверен, но можно было бы и попробовать ради эксперимента, а какие плюсы даёт данная технология ?
У меня в удалённых офисах стоят обычные ASUS роутеры будет ли работать на них ? -
Может быть подскажете откуда берётся данная сеть ?
-
У меня организовано так: стоит в 1 филиале D-Link DFL-260E, а в другом филиале стоит PfSense. Между ними организован VPN IPSec на PSK. Можно было бы организовать на сертификатах X509, но я не хотел заморачиваться.
По технологиям VPN IPSec туннель лучше защищен чем OpenVPN.
Поднимать лучше тот туннель, технологию которого вы знаете и лучше понимаете и знаете, как его поднять.
Какие модели Asus у вас стоят в филиалах?
Если они поддерживают VPN IPSec, то можете поднять туннель. Но если вам легче OpenVPN, то поднимайте OpenVPN.
-
OpenVPN приятней тем, что клиентская часть может работать из-за нескольких NAT'ов. IPSec'у нужен реальный адрес, если мне не изменяет ни с кем склероз, либо работающий Passthrough-режим на NAT'ах, что чаще всего редкость.
-
Может быть подскажете откуда берётся данная сеть ?
Подскажу :
- это адреса ваших сетевых карт на некоторых машинах в LAN (дополнительные) или имеются несколько карт (в том числе и виртуальные)
- далее, если глянуть в Destination , то видно что это широковещательные пакеты, к-ые по-дефолту блокируются
-
Может быть подскажете откуда берётся данная сеть ?
Подскажу :
- это адреса ваших сетевых карт на некоторых машинах в LAN (дополнительные) или имеются несколько карт (в том числе и виртуальные)
- далее, если глянуть в Destination , то видно что это широковещательные пакеты, к-ые по-дефолту блокируются
А вы не могли бы подсказать откуда в TomatoUSB появились строчки по компресии ? На сервере LZO отключено и почемуто не работает, настройки делал теже кста (
-
Вот на картинке видно:
удалённые сети
192.168.5.0/24
192.168.100.0/24Сети VPN
192.168.200.2
10.0.12.2192.168.5.0/24 192.168.200.2 UGS 0 9 1500 ovpns1
192.168.100.0/24 10.0.12.2 UGS 0 17 1500 ovpns2Судя по этому удалённые сети знают сеть VPN которая в свою очередь знает центральную 192.168.0.0/24
А как научить центральную сеть 192.168.0.0/24 видеть удалённые ?
Потому, что из удалённых сетей центральную видно, а вот центральная удалённую не видит.
