Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Маршрутизация между удаленными офисами ч

    Russian
    4
    8
    2923
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Catfish34 last edited by

      Помогите пожалуйста разобраться.
      Вся инфраструктура построена на:

      2.0.1-RELEASE (i386)
      built on Mon Dec 12 18:24:17 EST 2011
      FreeBSD 8.1-RELEASE-p6

      Есть центральный офис компании и несколько филиалов. Филиалы подключены к центральному офису по средствам OpenVPN туннеля. Все хорошо работает компы в филиалах "видят" сервера и компы в центральном офисе, и наоборот, но не "видят" друг друга.
      Не могу понять как прописать маршрут на маршрутизаторе центрального офиса чтобы все заработало.
      Реально ли такое вообще? Или не париться а кинуть туннели между всеми филиалами?

      Таблица маршрутизации и схема вложены.




      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        Ваши филиалы должны при подключении получить настройки маршрутов друг к другу. Посмотрите настройки OpenVPN Server/Client Advanced.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • C
          Catfish34 last edited by

          Вот! я тоже так подумал.
          И прописал туда маршрут к второму филиалу… но увы не работает почему-то...((

          Вот подробный пример.
          192.168.10.0/24   - локалка моего центрального офиса.
          192.168.22.0/24   - локалка первого фиолиала
          192.168.33.0/24   - локалка второго  филиала

          Роутер центрального офиса - клиент. на филиалах настроены сервера OpenVPN.
          И на филиалах в поле Advanced прописан маршрут к центральному офису.
          Вот такой:
          route 192.168.10.0 255.255.255.0;

          В поле Advanced центрального офиса ничего не прописано.
          И все работает. Центральный офис пингует филиалы и наоборот.

          Но хочется чтобы филиалы пинговали друг друга через центральный офис.

          Для этого в поле  Advanced одного из филиалов(192.168.33.0/24) прописываю маршрут к другому филиалу.
          route 192.168.22.0 255.255.255.0; типа к сети 192.168.22.0 ходить через туннель OpenVPN.

          Но не работает!
          Трассировка маршрута показывает что маршрут идет через ip 192.168.33.1 потом через 192.168.60.2 и на этом все.

          192.168.60.0/30 - Tunnel Network

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            2 Сatfish34

            В настройках серверов раскоментировано client-to-client ?

            Uncomment out the client-to-client directive if you would like connecting clients to be able to reach each other over the VPN. By default, clients will only be able to reach the server

            http://openvpn.net/index.php/open-source/documentation/howto.html

            И это :

            Роутер центрального офиса - клиент. на филиалах настроены сервера OpenVPN.

            Я бы все-таки поднял сервер в центральном офисе, а филиалы - клиентами.
            P.s. Как вариант, в центральном на pf включается PPTP-сервер , а филиалы коннектятся к нему клиентами. Тогда уж точно будет одна большая сетка. При прописывание правил в fw, естественно.

            1 Reply Last reply Reply Quote 0
            • D
              dvserg last edited by

              @Catfish34:

              В поле Advanced центрального офиса ничего не прописано.
              И все работает. Центральный офис пингует филиалы и наоборот.

              Но хочется чтобы филиалы пинговали друг друга через центральный офис.

              Для этого в поле  Advanced одного из филиалов(192.168.33.0/24) прописываю маршрут к другому филиалу.
              route 192.168.22.0 255.255.255.0; типа к сети 192.168.22.0 ходить через туннель OpenVPN.

              Но не работает!
              Трассировка маршрута показывает что маршрут идет через ip 192.168.33.1 потом через 192.168.60.2 и на этом все.

              192.168.60.0/30 - Tunnel Network

              Наверное другой офис тоже должен знать куда слать ответ? Там пробовали обратный маршрут писать?

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • R
                remark last edited by

                Я столкнулся еще с тем, что pfSense, на котором стоит сервер OpenVPN, при определенных условиях выполняет NAT OpenVPN-клиентов, пропуская их в LAN-сеть. Соответственно, эти клиенты хосты в LAN пингуют, а хосты из LAN OpenVPN-клиентов пинговать не могут.
                Я боролся с этим, когда нужно было пропустить SIP по туннелю OpenVPN. По-моему, вылечилось заменой интерфейса tun на tap.
                Но может, это кривые правила были виноваты?

                1 Reply Last reply Reply Quote 0
                • C
                  Catfish34 last edited by

                  Наверное другой офис тоже должен знать куда слать ответ? Там пробовали обратный маршрут писать?

                  Спасибо огромное dvserg!!! Это и был затуп.
                  Как только прописал на другом конце обратный маршрут все заработало.

                  Я бы все-таки поднял сервер в центральном офисе, а филиалы - клиентами.

                  Я так поначалу и сделал - как-то оно логичнее так. Но у меня на Центральном офисе 2 канала связи. Как только пропадает основной туннели должны автоматически перепрыгивать на бекапный канал. Но как я понял при схеме когда в центральном офисе сервер а на филиалах клиенты такое реализовать пока не возможно… Ибо нету где указать клиенту что если не получается подключиться по первому айпишнику пробовать конектится к другому. Или я опять ошибаюсь?

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg last edited by

                    @Catfish34:

                    Я так поначалу и сделал - как-то оно логичнее так. Но у меня на Центральном офисе 2 канала связи. Как только пропадает основной туннели должны автоматически перепрыгивать на бекапный канал. Но как я понял при схеме когда в центральном офисе сервер а на филиалах клиенты такое реализовать пока не возможно… Ибо нету где указать клиенту что если не получается подключиться по первому айпишнику пробовать конектится к другому. Или я опять ошибаюсь?

                    Воспользуйтесь двумя простыми правилами:

                    • Не трогать то, что работает;
                    • Лучшее враг хорошего.

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post