Маршрутизация между удаленными офисами ч
-
Помогите пожалуйста разобраться.
Вся инфраструктура построена на:2.0.1-RELEASE (i386)
built on Mon Dec 12 18:24:17 EST 2011
FreeBSD 8.1-RELEASE-p6Есть центральный офис компании и несколько филиалов. Филиалы подключены к центральному офису по средствам OpenVPN туннеля. Все хорошо работает компы в филиалах "видят" сервера и компы в центральном офисе, и наоборот, но не "видят" друг друга.
Не могу понять как прописать маршрут на маршрутизаторе центрального офиса чтобы все заработало.
Реально ли такое вообще? Или не париться а кинуть туннели между всеми филиалами?Таблица маршрутизации и схема вложены.
-
Ваши филиалы должны при подключении получить настройки маршрутов друг к другу. Посмотрите настройки OpenVPN Server/Client Advanced.
-
Вот! я тоже так подумал.
И прописал туда маршрут к второму филиалу… но увы не работает почему-то...((Вот подробный пример.
192.168.10.0/24 - локалка моего центрального офиса.
192.168.22.0/24 - локалка первого фиолиала
192.168.33.0/24 - локалка второго филиалаРоутер центрального офиса - клиент. на филиалах настроены сервера OpenVPN.
И на филиалах в поле Advanced прописан маршрут к центральному офису.
Вот такой:
route 192.168.10.0 255.255.255.0;В поле Advanced центрального офиса ничего не прописано.
И все работает. Центральный офис пингует филиалы и наоборот.Но хочется чтобы филиалы пинговали друг друга через центральный офис.
Для этого в поле Advanced одного из филиалов(192.168.33.0/24) прописываю маршрут к другому филиалу.
route 192.168.22.0 255.255.255.0; типа к сети 192.168.22.0 ходить через туннель OpenVPN.Но не работает!
Трассировка маршрута показывает что маршрут идет через ip 192.168.33.1 потом через 192.168.60.2 и на этом все.192.168.60.0/30 - Tunnel Network
-
2 Сatfish34
В настройках серверов раскоментировано client-to-client ?
Uncomment out the client-to-client directive if you would like connecting clients to be able to reach each other over the VPN. By default, clients will only be able to reach the server
http://openvpn.net/index.php/open-source/documentation/howto.html
И это :
Роутер центрального офиса - клиент. на филиалах настроены сервера OpenVPN.
Я бы все-таки поднял сервер в центральном офисе, а филиалы - клиентами.
P.s. Как вариант, в центральном на pf включается PPTP-сервер , а филиалы коннектятся к нему клиентами. Тогда уж точно будет одна большая сетка. При прописывание правил в fw, естественно. -
В поле Advanced центрального офиса ничего не прописано.
И все работает. Центральный офис пингует филиалы и наоборот.Но хочется чтобы филиалы пинговали друг друга через центральный офис.
Для этого в поле Advanced одного из филиалов(192.168.33.0/24) прописываю маршрут к другому филиалу.
route 192.168.22.0 255.255.255.0; типа к сети 192.168.22.0 ходить через туннель OpenVPN.Но не работает!
Трассировка маршрута показывает что маршрут идет через ip 192.168.33.1 потом через 192.168.60.2 и на этом все.192.168.60.0/30 - Tunnel Network
Наверное другой офис тоже должен знать куда слать ответ? Там пробовали обратный маршрут писать?
-
Я столкнулся еще с тем, что pfSense, на котором стоит сервер OpenVPN, при определенных условиях выполняет NAT OpenVPN-клиентов, пропуская их в LAN-сеть. Соответственно, эти клиенты хосты в LAN пингуют, а хосты из LAN OpenVPN-клиентов пинговать не могут.
Я боролся с этим, когда нужно было пропустить SIP по туннелю OpenVPN. По-моему, вылечилось заменой интерфейса tun на tap.
Но может, это кривые правила были виноваты? -
Наверное другой офис тоже должен знать куда слать ответ? Там пробовали обратный маршрут писать?
Спасибо огромное dvserg!!! Это и был затуп.
Как только прописал на другом конце обратный маршрут все заработало.Я бы все-таки поднял сервер в центральном офисе, а филиалы - клиентами.
Я так поначалу и сделал - как-то оно логичнее так. Но у меня на Центральном офисе 2 канала связи. Как только пропадает основной туннели должны автоматически перепрыгивать на бекапный канал. Но как я понял при схеме когда в центральном офисе сервер а на филиалах клиенты такое реализовать пока не возможно… Ибо нету где указать клиенту что если не получается подключиться по первому айпишнику пробовать конектится к другому. Или я опять ошибаюсь?
-
Я так поначалу и сделал - как-то оно логичнее так. Но у меня на Центральном офисе 2 канала связи. Как только пропадает основной туннели должны автоматически перепрыгивать на бекапный канал. Но как я понял при схеме когда в центральном офисе сервер а на филиалах клиенты такое реализовать пока не возможно… Ибо нету где указать клиенту что если не получается подключиться по первому айпишнику пробовать конектится к другому. Или я опять ошибаюсь?
Воспользуйтесь двумя простыми правилами:
- Не трогать то, что работает;
- Лучшее враг хорошего.