Как лучше оргонизовать сеть OpenVPN ?



  • Доброго времени суток!
    Помогли мне разобраться с OpenVPN, Пока что работает одна точка, но не совсем как надо (это будет другая тема).
    Подскажите как лучше сделать и можно ли так как я предпологаю.
    (подцепить всех на один сервер ? И просто на сервере написать в поле Advanced:

    route 192.168.1.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    route 192.168.2.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    route 192.168.3.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    route 192.168.4.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    route 192.168.5.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    route 192.168.6.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";
    )
    Например:
    Центр 192.168.0.0/24

    Удалённые офисы:
                                  192.168.1.0/24
                                  192.168.2.0/24
                                  192.168.3.0/24
                                  192.168.4.0/24
                                  192.168.5.0/24
                                  192.168.6.0/24

    OpenVPN 192.168.200.0/24

    Или же для отдельного удалённого офиса, создавать отдельный OpenVPN Server ?
    И требуется что бы из каждого офиса в другой офис тоже был доступ.(Но это я так понимаю делается в удалённых офисах, что бы они видели друг друга ?)



  • Встречный вопрос:

    Не хотите организовать VPN на основе IPSec? В PfSense это реализовано.



  • @ Tr0tter

    Или же для отдельного удалённого офиса, создавать отдельный OpenVPN Server ?

    А это в зависимости от того, нужно ли будет писать правила доступа для каждого конкретного филиала или они будут одни для всех.

    И требуется что бы из каждого офиса в другой офис тоже был доступ.(Но это я так понимаю делается в удалённых офисах, что бы они видели друг друга ?)

    Это в настройках OpenVPN-сервера разрешается - OpenVPN: Server : Inter-client communication. А правилами fw на OpenVPN-подключениях - разрешать\запрещать.



  • А это в зависимости от того, нужно ли будет писать правила доступа для каждого конкретного филиала или они будут одни для всех.

    Правила вроде планируется для всех одни и те же.

    Это в настройках OpenVPN-сервера разрешается - OpenVPN: Server : Inter-client communication. А правилами fw на OpenVPN-подключениях - разрешать\запрещать.

    Хм, а по подробнее можно ?)
    ну с серверной галочкой  OpenVPN: Server : Inter-client communication всё понятно вроде, тыкнул и оно заработало ?



  • Не хотите организовать VPN на основе IPSec? В PfSense это реализовано.

    я не совсем уверен, но можно было бы и попробовать ради эксперимента, а какие плюсы даёт данная технология ?
    У меня в удалённых офисах стоят обычные ASUS роутеры будет ли работать на них ?



  • Может быть подскажете откуда берётся данная сеть ?




  • У меня организовано так: стоит в 1 филиале D-Link DFL-260E, а в другом филиале стоит PfSense. Между ними организован VPN IPSec на PSK. Можно было бы организовать на сертификатах X509, но я не хотел заморачиваться.

    По технологиям VPN IPSec туннель лучше защищен чем OpenVPN.

    Поднимать лучше тот туннель, технологию которого вы знаете и лучше понимаете и знаете, как его поднять.

    Какие модели Asus у вас стоят в филиалах?

    Если они поддерживают VPN IPSec, то можете поднять туннель. Но если вам легче OpenVPN, то поднимайте OpenVPN.



  • OpenVPN приятней тем, что клиентская часть может работать из-за нескольких NAT'ов. IPSec'у нужен реальный адрес, если мне не изменяет ни с кем склероз, либо работающий Passthrough-режим на NAT'ах, что чаще всего редкость.



  • Может быть подскажете откуда берётся данная сеть ?

    Подскажу :

    • это адреса ваших сетевых карт на некоторых машинах в LAN (дополнительные) или имеются несколько карт (в том числе и виртуальные)
    • далее, если глянуть в Destination , то видно что это широковещательные пакеты, к-ые по-дефолту блокируются


  • @werter:

    Может быть подскажете откуда берётся данная сеть ?

    Подскажу :

    • это адреса ваших сетевых карт на некоторых машинах в LAN (дополнительные) или имеются несколько карт (в том числе и виртуальные)
    • далее, если глянуть в Destination , то видно что это широковещательные пакеты, к-ые по-дефолту блокируются

    А вы не могли бы подсказать откуда в TomatoUSB появились строчки по компресии ? На сервере LZO отключено и почемуто не работает, настройки делал теже кста (



  • Вот на картинке видно:

    удалённые сети
    192.168.5.0/24
    192.168.100.0/24

    Сети VPN
    192.168.200.2
    10.0.12.2

    192.168.5.0/24 192.168.200.2 UGS 0 9 1500 ovpns1
    192.168.100.0/24 10.0.12.2 UGS 0 17 1500 ovpns2

    Судя по этому удалённые сети знают сеть VPN которая в свою очередь знает центральную 192.168.0.0/24
    А как научить центральную сеть 192.168.0.0/24 видеть удалённые ?
    Потому, что из удалённых сетей центральную видно, а вот центральная удалённую не видит.