OpenVPn Redes Iguais

ccesario

Pessoal, me surgiu uma dúvida sobe um possível cenário.

|
                                      |  – Usuario 1
                                      |
                                      |  -- Usuario 2
                                      |
                                      |  -- Usuario 3
                                      |
OPENVPN SERVER (PFSense)
LAN 192.168.0.0/24            |
                                      |  -- Usuario 4
                                      |
                                      |  -- Usuario 5
                                      |
                                      |  -- Usuario 6
                                      |

Imagine um servidor OPenVPN sendo utilizado para centenas de conexões.

E com certeza alguma rede (LAN) de algum usuário seja identica a rede (LAN)  do servidor?

Qual a solução para isso!? Pois mudar a LAN onde encontra-se o server seria um pouco inviável.

Obrigado

att,

mantunespb

Não entendi a sua dúvida. mas já antecipo que openvpn necessariamente ente site-to-site tem que está em
redes de diferentes:

exemplo:

matriz: 192.168.1.0/24
filial: 192.168.2.0/24 ou 10.0.0.1

Se for cliente-to-site. vc deve colocar os usuários em outra faixa diferente.

ccesario

Modelo

Cliente-to-Site

Exemplo simples

Cliente 192.168.0.0/24
Site 192.168.0.0/24

Cara mudar a rede é uma das soluções. Mas deve existir outra.
Imagine um grande cenário, seria inviável mudar a rede!

Obrigado

att,

mantunespb

Cliente que vc fala é usuários conectando via openvpn.. ??
então coloque eles (clientes) numa faixa diferente..

cliente: 10.0.0.X/24
site:  192.168.0.X/24

não tem jeito.. isso posso garantir que openvpn é obrigatoriamente trabalhar em faixas diferentes. Opção é usar IPSEC.

JackL

@ccesario:

Cara mudar a rede é uma das soluções. Mas deve existir outra.

Perfeitamente ccesario… Embora seja desaconselhável (por questões óbvias), tecnicamente é possível sim fazer com que as "redes iguais" (em termos de endereçamento IPV4, claro) se comuniquem pelo túnel VPN.

Não é muito elegante, mas como você mesmo citou, as vezes pode ser inevitável. Se este for o caso, você pode remapear a rede de destino para "enganar" as rotas/sistema operacional.

Para saber mais, pesquise sobre binat no FreeBSD/pfSense! ;)

Abraços!
Jack

mantunespb

Pq não usar Ipsec já que existe este problema ??

explicando

cliente-to-site = usuarios se conectando em servidor
site-to-site = servidores com servidores.

marcelloc

usando o openvpn com client to site o ip do usuario jah nao fica em uma faixa que nao da conflito com a parte server do tunel?

um /24 ou /25 para centenas de usuarios pode conflitar com uma parte da rede do cliente.
se voce usar uma faixa pouco comum, o risco eh menor ainda.

10.238.200/24 parece bem razoavel pra mim :)

ccesario

Obrigado pelos esclarecimentos pessoal!

Estarei verificando cada uma das  idéias e sugestões.

[]s

JackL

@marcelloc:

10.238.200/24 parece bem razoavel pra mim :)

É isso mesmo marcelloc… se a viabilidade de alterar a faixa IPv4 existe, então o problema deixa de existir!

A idéia de remapear a rede de destino, em geral, não deve ser a primeira opção! ;)