Проброс VLAN-а через OpenVPN



  • Здравствуйте товарищи!

    Возникла необходимость объединить в одну подсеть некоторые устройства в разных филиалах, суть вопроса я постарался изложить на прикрепленной схеме.
    Имеется офис, в котором 2 pfSense, "внешний" с двумя статическими белыми адресами, и "внутренний" который рулит уже внутрянку всю, соответственно внешний является WAN-ом для внутреннего.

    Имеется так же филиал, в котором тоже pfSense.

    Задача чтобы устройства филиала подключенные к VLAN 100, интерфейсу ПФ-а видели устройства в офисной сети, VLAN 100 как в одной подсети, т.е. чтобы работали широковещательные запросы, и..тд.

    После некоторого изучения информации, ipsec был отвергнут из-за трудностями с NAT, я остановился на OpenVPN в режиме TAP, на внутреннем офисном я поднял сервер, в режиме PEER to PEER,  tunnel network поставил 192.168.50.0/30.
    OpenVPN подключился, но задумка не работает.
    Я вычитал что необходимо создавать мосты, между существующей сетью(vlan 100) и новым интерфесом OpenVPN, создал мосты на обоих pfsense, это к желаемому результату не привело.
    Вероятнее всего я неправильно настроил OpenVPN сервер, либо накосячил с маршрутами.

    Пожалуйста, подскажите как сделать чтоб все это заработало? Если возможно ответьте пожалуйста подробно :)





  • Доброе.
    Покритикую.

    Имеется офис, в котором 2 pfSense, "внешний" с двумя статическими белыми адресами, и "внутренний" который рулит уже внутрянку всю, соответственно внешний является WAN-ом для внутреннего.

    После некоторого изучения информации, ipsec был отвергнут из-за трудностями с NAT

    Напуркуа вам такой огород ? В чем проблема исп. один pfsense, насовав сетевых или исп. VLAN-ы. После поднимите ipsec в tap-е и вперед.

    После некоторого изучения информации, ipsec был отвергнут из-за трудностями с NAT, я остановился на OpenVPN в режиме TAP, на внутреннем офисном я поднял сервер, в режиме PEER to PEER,  tunnel network поставил 192.168.50.0/30.

    Могу ошибаться, но зачем на tap (канальный уровень OSI) указывать сети и делать route ? Марш-ция - это же уровень выше, да ?

    И последнее. Адресация в сети у вас же одинаковая на обоих концах? Вы или нарежьте на dhcp обеих концов разные диапазоны
    или пускай только один dhcp адреса выдает.



  • Привет.

    Напуркуа вам такой огород ? В чем проблема исп. один pfsense, насовав сетевых или исп. VLAN-ы. После поднимите ipsec в tap-е и вперед.

    Изначально из-за разделения с DMZ. На внутреннем VLAN-ов более 20, большая сеть.

    Могу ошибаться, но зачем на tap (канальный уровень OSI) указывать сети и делать route ? Марш-ция - это же уровень выше, да ?

    Честно говоря из-за того что не знаю как настроить, судя по всему :) Потому и обратился за помощью.

    И последнее. Адресация в сети у вас же одинаковая на обоих концах? Вы или нарежьте на dhcp обеих концов разные диапазоны
    или пускай только один dhcp адреса выдает.

    Естественно будет 1 dhcp, если получится реализовать задуманную конструкцию :)



  • @AndrewGrr:

    Я вычитал что необходимо создавать мосты, между существующей сетью(vlan 100) и новым интерфесом OpenVPN, создал мосты на обоих pfsense, это к желаемому результату не привело.

    Должно быть забыли о правилах firewall. Я через такие мосты целые транки с пучками VLAN'ов пускал и все работало.



  • @rubic:

    @AndrewGrr:

    Я вычитал что необходимо создавать мосты, между существующей сетью(vlan 100) и новым интерфесом OpenVPN, создал мосты на обоих pfsense, это к желаемому результату не привело.

    Должно быть забыли о правилах firewall. Я через такие мосты целые транки с пучками VLAN'ов пускал и все работало.

    Ну по идее если бы беда была в правилах межсетевого экрана, то заблокированные пакеты можно было бы увидеть отсеивая их по назначению в логах фаервола, я это проверял, да и на время теста ставил на интерфесах any to any.



  • Если пакет не виден в логах fw :
    1. Нет маршрута.
    2. Нет NAT.