OpenVPn Redes Iguais



  • Pessoal, me surgiu uma dúvida sobe um possível cenário.

    |
                                          |  – Usuario 1
                                          |
                                          |  -- Usuario 2
                                          |
                                          |  -- Usuario 3
                                          |
    OPENVPN SERVER (PFSense)
    LAN 192.168.0.0/24            |
                                          |  -- Usuario 4
                                          |
                                          |  -- Usuario 5
                                          |
                                          |  -- Usuario 6
                                          |

    Imagine um servidor OPenVPN sendo utilizado para centenas de conexões.

    E com certeza alguma rede (LAN) de algum usuário seja identica a rede (LAN)  do servidor?

    Qual a solução para isso!? Pois mudar a LAN onde encontra-se o server seria um pouco inviável.

    Obrigado

    att,



  • Não entendi a sua dúvida. mas já antecipo que openvpn necessariamente ente site-to-site tem que está em
    redes de diferentes:

    exemplo:

    matriz: 192.168.1.0/24
    filial: 192.168.2.0/24 ou 10.0.0.1

    Se for cliente-to-site. vc deve colocar os usuários em outra faixa diferente.



  • Modelo

    Cliente-to-Site

    Exemplo simples

    Cliente 192.168.0.0/24
    Site 192.168.0.0/24

    Cara mudar a rede é uma das soluções. Mas deve existir outra.
    Imagine um grande cenário, seria inviável mudar a rede!

    Obrigado

    att,



  • Cliente que vc fala é usuários conectando via openvpn.. ??
    então coloque eles (clientes) numa faixa diferente..

    cliente: 10.0.0.X/24
    site:  192.168.0.X/24

    não tem jeito.. isso posso garantir que openvpn é obrigatoriamente trabalhar em faixas diferentes. Opção é usar IPSEC.



  • @ccesario:

    Cara mudar a rede é uma das soluções. Mas deve existir outra.

    Perfeitamente ccesario… Embora seja desaconselhável (por questões óbvias), tecnicamente é possível sim fazer com que as "redes iguais" (em termos de endereçamento IPV4, claro) se comuniquem pelo túnel VPN.

    Não é muito elegante, mas como você mesmo citou, as vezes pode ser inevitável. Se este for o caso, você pode remapear a rede de destino para "enganar" as rotas/sistema operacional.

    Para saber mais, pesquise sobre binat no FreeBSD/pfSense! ;)

    Abraços!
    Jack



  • Pq não usar Ipsec já que existe este problema ??

    explicando

    cliente-to-site = usuarios se conectando em servidor
    site-to-site = servidores com servidores.



  • usando o openvpn com client to site o ip do usuario jah nao fica em uma faixa que nao da conflito com a parte server do tunel?

    um /24 ou /25 para centenas de usuarios pode conflitar com uma parte da rede do cliente.
    se voce usar uma faixa pouco comum, o risco eh menor ainda.

    10.238.200/24 parece bem razoavel pra mim :)



  • Obrigado pelos esclarecimentos pessoal!

    Estarei verificando cada uma das  idéias e sugestões.

    []s



  • @marcelloc:

    10.238.200/24 parece bem razoavel pra mim :)

    É isso mesmo marcelloc… se a viabilidade de alterar a faixa IPv4 existe, então o problema deixa de existir!

    A idéia de remapear a rede de destino, em geral, não deve ser a primeira opção! ;)


Log in to reply