Объединение 3-х офисов по VPN
-
Доброго времени суток!
Нужна помощь знатоков!
Встала задача объединить три удаленных офиса в одну сеть.
Теперь по подробней:
Начну с начала есть офис 1 и офис 2, в каждом офисе свой интернет провайдер со статический ip. Между офисами поднят VLAN в 100mb от провайдера №1, на влане поднят IPsec. И с этим проблем нет, офисы видят друг друга файлики бегают.
Появился офис 3, между офисом 3 и офисом 2 организован VLAN от провайдера №2, так как не было возможности организовать влан от провайдера №1. Между офисом 3 и офисом 2 так же поднимаю IPsec и файлики бегают, но проблема в том что из офиса 3 мне нужно попадать в офис 1 через офис 2. Вот такая схемка.
Как лучше сделать такое? Вланы необходимо шифровать.
Пробовал с помощью OpenVPN, что бы можно было указать шлюз через который можно ходить в офис 1. Но не получилось. Даже пинги не ходять. В правилах вроде бы все разрешено.Офис 1:
ip 192.168.0.0/24
Vlan ip 192.168.25.2Офис 2:
ip 192.168.88.0/24
Vlan ip 192.168.25.1 (Провайдер №1)
Vlan ip 192.168.20.1 (Провайдер №2)Офис 3:
ip 192.168.2.0/24
Vlan ip 192.168.20.5 (Провайдер №2)В офисе 2 поднял OpenVPN server
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.2.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No PreferenceВ офисе 3 OpenVPN Client
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.88.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No PreferenceVersion 2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15Сообщите что еще нужно для полной картины.
В прикрепленных картинках под ? ? ? ? скрывается слово Офис,
![Firewall Rules ???? 1.jpg](/public/imported_attachments/1/Firewall Rules ???? 1.jpg)
![Firewall Rules ???? 1.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 1.jpg_thumb)
![Firewall Rules ???? 2.jpg](/public/imported_attachments/1/Firewall Rules ???? 2.jpg)
![Firewall Rules ???? 2.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 2.jpg_thumb)
![Firewall Rules ???? 3.jpg](/public/imported_attachments/1/Firewall Rules ???? 3.jpg)
![Firewall Rules ???? 3.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 3.jpg_thumb)
![Firewall Rules vlan OpenVPN ???? 3.jpg](/public/imported_attachments/1/Firewall Rules vlan OpenVPN ???? 3.jpg)
![Firewall Rules vlan OpenVPN ???? 3.jpg_thumb](/public/imported_attachments/1/Firewall Rules vlan OpenVPN ???? 3.jpg_thumb)
![Routing tables ???? 3.jpg](/public/imported_attachments/1/Routing tables ???? 3.jpg)
![Routing tables ???? 3.jpg_thumb](/public/imported_attachments/1/Routing tables ???? 3.jpg_thumb)
![OpenVPN Server.jpg](/public/imported_attachments/1/OpenVPN Server.jpg)
![OpenVPN Server.jpg_thumb](/public/imported_attachments/1/OpenVPN Server.jpg_thumb)
![Status OpenVPN.jpg](/public/imported_attachments/1/Status OpenVPN.jpg)
![Status OpenVPN.jpg_thumb](/public/imported_attachments/1/Status OpenVPN.jpg_thumb) -
Я бы не исп. p2p. Исп-те тип клиент-сервер.
Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.И да, в настройках ОпенВПН на сервере у Вас неверно указаны remote\local сети.
-
И да, в настройках ОпенВПН на сервере у Вас неверно указаны remote\local сети.
А что именно не верно?
-
В офисе 2 поднял OpenVPN server
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.2.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No PreferenceВ офисе 3 OpenVPN Client
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.88.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No PreferenceКак-то странно Local и Remote сетях одно и тоже прописано
Кстати из рекомендаций еще можно посоветовать динамический обмен маршрутами между маршрутизаторами через установку того-же пакета OSPF и не надо будет с угадыванием сетей городить. -
2 Aver
Я бы не исп. p2p. Исп-те тип клиент-сервер.
Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться. -
2 Aver
Я бы не исп. p2p. Исп-те тип клиент-сервер.
Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.Уважаемый werter поясните пожалуйста почему не рекомендуете p2p.
У меня будет более простой вариант, без VLAN, но планировал использовать именно этот вариант.Сейчас через p2p соединены два офиса, планирую арендованный в Германии выделенный сервер с виртуальными машинами, которые будут маршрутизироваться через PF, подключить через этот же вариант.
В будущем Pfense на выделенном сервере должна будет обслуживать в том числе и отдельных клиентов подключающих к ней по OPENVPN.
Для этих целей я уже думал настроить server - client. -
Добрый.
Самое 1-ое - возможность подкл. несколько клиентов, исп. один порт\сервер. -
Хм.
Использую Peer to Peer (SSL/TLS) (офис- сервер, филиалы-клиенты) уже который год с несколькими клиентами. Для клиентов настроены Client Specific Overrides.
IMHO разница между Peer to Peer и Remote Access в основном в наборе предлагаемых pfsense наборов настроек по умолчанию.
Подключение точка-точка, вероятно, характерно для Peer to Peer (shared key), хотя было интересно попробовать в этом режиме более 1 клиента.