Объединение 3-х офисов по VPN



  • Доброго времени суток!
    Нужна помощь знатоков!
    Встала задача объединить три удаленных офиса в одну сеть.
    Теперь по подробней:
    Начну с начала есть офис 1 и офис 2, в каждом офисе свой интернет провайдер со статический ip. Между офисами поднят VLAN в 100mb от провайдера №1, на влане поднят IPsec. И с этим проблем нет, офисы видят друг друга файлики бегают.
    Появился офис 3, между офисом 3 и офисом 2 организован VLAN от провайдера №2, так как не было возможности организовать влан от провайдера №1. Между офисом 3 и офисом 2 так же поднимаю IPsec и файлики бегают, но проблема в том что из офиса 3 мне нужно попадать в офис 1 через офис 2. Вот такая схемка.
    Как лучше сделать такое? Вланы необходимо шифровать.
    Пробовал с помощью OpenVPN,  что бы можно было указать шлюз через который можно ходить в офис 1. Но не получилось. Даже пинги не ходять. В правилах вроде бы все разрешено.

    Офис 1:
    ip 192.168.0.0/24
    Vlan ip 192.168.25.2

    Офис 2:
    ip 192.168.88.0/24
    Vlan ip 192.168.25.1 (Провайдер №1)
    Vlan ip 192.168.20.1 (Провайдер №2)

    Офис 3:
    ip 192.168.2.0/24
    Vlan ip 192.168.20.5 (Провайдер №2)

    В офисе 2 поднял OpenVPN server
    Server Mode  Peer to Peer (Shared Key )
    Protocol UDP
    Device Mode  tun
    Interface VLAN
    Local port 1194

    IPv4 Tunnel Network 192.168.21.0/24
    IPv4 Local Network/s 192.168.2.0/24,192.168.0.0/24
    IPv4 Remote Network/s 192.168.2.0/24
    Compression No Preference

    В офисе 3 OpenVPN Client
    Server Mode  Peer to Peer (Shared Key )
    Protocol UDP
    Device Mode  tun
    Interface VLAN
    Local port 1194

    IPv4 Tunnel Network 192.168.21.0/24
    IPv4 Local Network/s 192.168.88.0/24,192.168.0.0/24
    IPv4 Remote Network/s 192.168.2.0/24
    Compression No Preference

    Version 2.2.4-RELEASE (amd64)
    built on Sat Jul 25 19:57:37 CDT 2015
    FreeBSD 10.1-RELEASE-p15

    Сообщите что еще нужно для полной картины.
    В прикрепленных картинках под ? ? ? ? скрывается слово Офис, 
    ![Firewall Rules ???? 1.jpg](/public/imported_attachments/1/Firewall Rules ???? 1.jpg)
    ![Firewall Rules ???? 1.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 1.jpg_thumb)
    ![Firewall Rules ???? 2.jpg](/public/imported_attachments/1/Firewall Rules ???? 2.jpg)
    ![Firewall Rules ???? 2.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 2.jpg_thumb)
    ![Firewall Rules ???? 3.jpg](/public/imported_attachments/1/Firewall Rules ???? 3.jpg)
    ![Firewall Rules ???? 3.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 3.jpg_thumb)
    ![Firewall Rules vlan OpenVPN ???? 3.jpg](/public/imported_attachments/1/Firewall Rules vlan OpenVPN ???? 3.jpg)
    ![Firewall Rules vlan OpenVPN ???? 3.jpg_thumb](/public/imported_attachments/1/Firewall Rules vlan OpenVPN ???? 3.jpg_thumb)
    ![Routing tables ???? 3.jpg](/public/imported_attachments/1/Routing tables ???? 3.jpg)
    ![Routing tables ???? 3.jpg_thumb](/public/imported_attachments/1/Routing tables ???? 3.jpg_thumb)
    ![OpenVPN Server.jpg](/public/imported_attachments/1/OpenVPN Server.jpg)
    ![OpenVPN Server.jpg_thumb](/public/imported_attachments/1/OpenVPN Server.jpg_thumb)
    ![Status OpenVPN.jpg](/public/imported_attachments/1/Status OpenVPN.jpg)
    ![Status OpenVPN.jpg_thumb](/public/imported_attachments/1/Status OpenVPN.jpg_thumb)



  • Я бы не исп. p2p. Исп-те тип клиент-сервер.
    Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.

    И да, в настройках ОпенВПН на сервере у Вас неверно указаны remote\local сети.



  • @werter:

    И да, в настройках ОпенВПН на сервере у Вас неверно указаны remote\local сети.

    А что именно не верно?



  • @Aver:

    В офисе 2 поднял OpenVPN server
    Server Mode  Peer to Peer (Shared Key )
    Protocol UDP
    Device Mode  tun
    Interface VLAN
    Local port 1194

    IPv4 Tunnel Network 192.168.21.0/24
    IPv4 Local Network/s 192.168.2.0/24,192.168.0.0/24
    IPv4 Remote Network/s 192.168.2.0/24
    Compression No Preference

    В офисе 3 OpenVPN Client
    Server Mode  Peer to Peer (Shared Key )
    Protocol UDP
    Device Mode  tun
    Interface VLAN
    Local port 1194

    IPv4 Tunnel Network 192.168.21.0/24
    IPv4 Local Network/s 192.168.88.0/24,192.168.0.0/24
    IPv4 Remote Network/s 192.168.2.0/24
    Compression No Preference

    Как-то странно Local и Remote сетях одно и тоже прописано
    Кстати из рекомендаций еще можно посоветовать динамический обмен маршрутами между маршрутизаторами через установку того-же пакета OSPF и не надо будет с угадыванием сетей городить.



  • 2 Aver
    Я бы не исп. p2p. Исп-те тип клиент-сервер.
    Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.



  • @werter:

    2 Aver
    Я бы не исп. p2p. Исп-те тип клиент-сервер.
    Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.

    Уважаемый werter поясните пожалуйста почему не рекомендуете p2p.
    У меня будет более простой вариант, без VLAN, но планировал использовать именно этот вариант.

    Сейчас через p2p соединены два офиса, планирую арендованный в Германии выделенный сервер с виртуальными машинами, которые будут маршрутизироваться через PF, подключить через этот же вариант.
    В будущем Pfense на выделенном сервере должна будет обслуживать в том числе и отдельных клиентов подключающих к ней по OPENVPN.
    Для этих целей я уже думал настроить server - client.



  • Добрый.
    Самое 1-ое - возможность подкл. несколько клиентов, исп. один порт\сервер.



  • Хм.
    Использую Peer to Peer (SSL/TLS) (офис- сервер, филиалы-клиенты) уже который год с несколькими клиентами. Для клиентов настроены Client Specific Overrides.
    IMHO разница между Peer to Peer и Remote Access в основном в наборе предлагаемых pfsense наборов настроек по умолчанию.
    Подключение точка-точка, вероятно, характерно для Peer to Peer (shared key), хотя было интересно попробовать в этом режиме более 1 клиента.


Log in to reply