Проброс VLAN-а через OpenVPN
-
Здравствуйте товарищи!
Возникла необходимость объединить в одну подсеть некоторые устройства в разных филиалах, суть вопроса я постарался изложить на прикрепленной схеме.
Имеется офис, в котором 2 pfSense, "внешний" с двумя статическими белыми адресами, и "внутренний" который рулит уже внутрянку всю, соответственно внешний является WAN-ом для внутреннего.Имеется так же филиал, в котором тоже pfSense.
Задача чтобы устройства филиала подключенные к VLAN 100, интерфейсу ПФ-а видели устройства в офисной сети, VLAN 100 как в одной подсети, т.е. чтобы работали широковещательные запросы, и..тд.
После некоторого изучения информации, ipsec был отвергнут из-за трудностями с NAT, я остановился на OpenVPN в режиме TAP, на внутреннем офисном я поднял сервер, в режиме PEER to PEER, tunnel network поставил 192.168.50.0/30.
OpenVPN подключился, но задумка не работает.
Я вычитал что необходимо создавать мосты, между существующей сетью(vlan 100) и новым интерфесом OpenVPN, создал мосты на обоих pfsense, это к желаемому результату не привело.
Вероятнее всего я неправильно настроил OpenVPN сервер, либо накосячил с маршрутами.Пожалуйста, подскажите как сделать чтоб все это заработало? Если возможно ответьте пожалуйста подробно :)
-
Доброе.
Покритикую.Имеется офис, в котором 2 pfSense, "внешний" с двумя статическими белыми адресами, и "внутренний" который рулит уже внутрянку всю, соответственно внешний является WAN-ом для внутреннего.
После некоторого изучения информации, ipsec был отвергнут из-за трудностями с NAT
Напуркуа вам такой огород ? В чем проблема исп. один pfsense, насовав сетевых или исп. VLAN-ы. После поднимите ipsec в tap-е и вперед.
После некоторого изучения информации, ipsec был отвергнут из-за трудностями с NAT, я остановился на OpenVPN в режиме TAP, на внутреннем офисном я поднял сервер, в режиме PEER to PEER, tunnel network поставил 192.168.50.0/30.
Могу ошибаться, но зачем на tap (канальный уровень OSI) указывать сети и делать route ? Марш-ция - это же уровень выше, да ?
И последнее. Адресация в сети у вас же одинаковая на обоих концах? Вы или нарежьте на dhcp обеих концов разные диапазоны
или пускай только один dhcp адреса выдает. -
Привет.
Напуркуа вам такой огород ? В чем проблема исп. один pfsense, насовав сетевых или исп. VLAN-ы. После поднимите ipsec в tap-е и вперед.
Изначально из-за разделения с DMZ. На внутреннем VLAN-ов более 20, большая сеть.
Могу ошибаться, но зачем на tap (канальный уровень OSI) указывать сети и делать route ? Марш-ция - это же уровень выше, да ?
Честно говоря из-за того что не знаю как настроить, судя по всему :) Потому и обратился за помощью.
И последнее. Адресация в сети у вас же одинаковая на обоих концах? Вы или нарежьте на dhcp обеих концов разные диапазоны
или пускай только один dhcp адреса выдает.Естественно будет 1 dhcp, если получится реализовать задуманную конструкцию :)
-
Я вычитал что необходимо создавать мосты, между существующей сетью(vlan 100) и новым интерфесом OpenVPN, создал мосты на обоих pfsense, это к желаемому результату не привело.
Должно быть забыли о правилах firewall. Я через такие мосты целые транки с пучками VLAN'ов пускал и все работало.
-
Я вычитал что необходимо создавать мосты, между существующей сетью(vlan 100) и новым интерфесом OpenVPN, создал мосты на обоих pfsense, это к желаемому результату не привело.
Должно быть забыли о правилах firewall. Я через такие мосты целые транки с пучками VLAN'ов пускал и все работало.
Ну по идее если бы беда была в правилах межсетевого экрана, то заблокированные пакеты можно было бы увидеть отсеивая их по назначению в логах фаервола, я это проверял, да и на время теста ставил на интерфесах any to any.
-
Если пакет не виден в логах fw :
1. Нет маршрута.
2. Нет NAT.