4. Маршрутизация между удаленными офисами ч

Маршрутизация между удаленными офисами ч

  • C

    Помогите пожалуйста разобраться.
    Вся инфраструктура построена на:

    2.0.1-RELEASE (i386)
    built on Mon Dec 12 18:24:17 EST 2011
    FreeBSD 8.1-RELEASE-p6

    Есть центральный офис компании и несколько филиалов. Филиалы подключены к центральному офису по средствам OpenVPN туннеля. Все хорошо работает компы в филиалах "видят" сервера и компы в центральном офисе, и наоборот, но не "видят" друг друга.
    Не могу понять как прописать маршрут на маршрутизаторе центрального офиса чтобы все заработало.
    Реально ли такое вообще? Или не париться а кинуть туннели между всеми филиалами?

    Таблица маршрутизации и схема вложены.




    0
  • D

    Ваши филиалы должны при подключении получить настройки маршрутов друг к другу. Посмотрите настройки OpenVPN Server/Client Advanced.

    0
  • C

    Вот! я тоже так подумал.
    И прописал туда маршрут к второму филиалу… но увы не работает почему-то...((

    Вот подробный пример.
    192.168.10.0/24   - локалка моего центрального офиса.
    192.168.22.0/24   - локалка первого фиолиала
    192.168.33.0/24   - локалка второго  филиала

    Роутер центрального офиса - клиент. на филиалах настроены сервера OpenVPN.
    И на филиалах в поле Advanced прописан маршрут к центральному офису.
    Вот такой:
    route 192.168.10.0 255.255.255.0;

    В поле Advanced центрального офиса ничего не прописано.
    И все работает. Центральный офис пингует филиалы и наоборот.

    Но хочется чтобы филиалы пинговали друг друга через центральный офис.

    Для этого в поле  Advanced одного из филиалов(192.168.33.0/24) прописываю маршрут к другому филиалу.
    route 192.168.22.0 255.255.255.0; типа к сети 192.168.22.0 ходить через туннель OpenVPN.

    Но не работает!
    Трассировка маршрута показывает что маршрут идет через ip 192.168.33.1 потом через 192.168.60.2 и на этом все.

    192.168.60.0/30 - Tunnel Network

    0

  • 2 Сatfish34

    В настройках серверов раскоментировано client-to-client ?

    Uncomment out the client-to-client directive if you would like connecting clients to be able to reach each other over the VPN. By default, clients will only be able to reach the server

    http://openvpn.net/index.php/open-source/documentation/howto.html

    И это :

    Роутер центрального офиса - клиент. на филиалах настроены сервера OpenVPN.

    Я бы все-таки поднял сервер в центральном офисе, а филиалы - клиентами.
    P.s. Как вариант, в центральном на pf включается PPTP-сервер , а филиалы коннектятся к нему клиентами. Тогда уж точно будет одна большая сетка. При прописывание правил в fw, естественно.

    0
  • D

    @Catfish34:

    В поле Advanced центрального офиса ничего не прописано.
    И все работает. Центральный офис пингует филиалы и наоборот.

    Но хочется чтобы филиалы пинговали друг друга через центральный офис.

    Для этого в поле  Advanced одного из филиалов(192.168.33.0/24) прописываю маршрут к другому филиалу.
    route 192.168.22.0 255.255.255.0; типа к сети 192.168.22.0 ходить через туннель OpenVPN.

    Но не работает!
    Трассировка маршрута показывает что маршрут идет через ip 192.168.33.1 потом через 192.168.60.2 и на этом все.

    192.168.60.0/30 - Tunnel Network

    Наверное другой офис тоже должен знать куда слать ответ? Там пробовали обратный маршрут писать?

    0
  • R

    Я столкнулся еще с тем, что pfSense, на котором стоит сервер OpenVPN, при определенных условиях выполняет NAT OpenVPN-клиентов, пропуская их в LAN-сеть. Соответственно, эти клиенты хосты в LAN пингуют, а хосты из LAN OpenVPN-клиентов пинговать не могут.
    Я боролся с этим, когда нужно было пропустить SIP по туннелю OpenVPN. По-моему, вылечилось заменой интерфейса tun на tap.
    Но может, это кривые правила были виноваты?

    0
  • C

    Наверное другой офис тоже должен знать куда слать ответ? Там пробовали обратный маршрут писать?

    Спасибо огромное dvserg!!! Это и был затуп.
    Как только прописал на другом конце обратный маршрут все заработало.

    Я бы все-таки поднял сервер в центральном офисе, а филиалы - клиентами.

    Я так поначалу и сделал - как-то оно логичнее так. Но у меня на Центральном офисе 2 канала связи. Как только пропадает основной туннели должны автоматически перепрыгивать на бекапный канал. Но как я понял при схеме когда в центральном офисе сервер а на филиалах клиенты такое реализовать пока не возможно… Ибо нету где указать клиенту что если не получается подключиться по первому айпишнику пробовать конектится к другому. Или я опять ошибаюсь?

    0
  • D

    @Catfish34:

    Я так поначалу и сделал - как-то оно логичнее так. Но у меня на Центральном офисе 2 канала связи. Как только пропадает основной туннели должны автоматически перепрыгивать на бекапный канал. Но как я понял при схеме когда в центральном офисе сервер а на филиалах клиенты такое реализовать пока не возможно… Ибо нету где указать клиенту что если не получается подключиться по первому айпишнику пробовать конектится к другому. Или я опять ошибаюсь?

    Воспользуйтесь двумя простыми правилами:

    • Не трогать то, что работает;
    • Лучшее враг хорошего.
    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy