Temat: OpenVPN - bridged

Witam,

Muszę umożliwić łączenie się z siecią lokalną, użytkownikom znajdującym się w innych miejscowościach. Ponieważ router mojej sieci postawiony jest na Debianie, pomyślałem o OpenVPN.

Użytkownicy zdalni, muszą mieć IP takie samo jak użytkownicy mojej sieci.

Internet---(eth0 A.B.C.D)Debian(eth1 192.168.0.1)---LAN

Na stronice OpenVPN znalazłem przykładowy config:

port 443
proto tcp
dev tap
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/servername.crt
key /etc/openvpn/easy-rsa/keys/servername.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ifconfig-pool-persist ipp.txt


server-bridge 10.1.0.1 255.255.255.0 10.1.0.236 10.1.0.245
push “route 10.0.0.0 255.0.0.0″


keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

Rozumiem, że w moim przypadku parametr server-bridge (dla 9 userów zdalnych) powinien wyglądać tak:

server-bridge 192.168.0.1 255.255.255.0 192.168.0.10 192.168.0.254
push “route 192.168.0.0 255.255.255.0″

Muszę jeszcze stworzyć bridge.

Jaki adres IP powinien mieć bridge?
taki jat eth0, taki jak eth1 a może zupełnie inny np 10.0.0.2 ?

Temat: OpenVPN - bridged

1. O ile istnieje serwer DHCP na tymże Debianie, ja bym się zdał na niego - klienci zdalni mogą uzyskać adres bezpośrednio od niego.
2. Załóżmy że masz DHCP ustawiony na:
ip maszyny: 192.168.1.1/24

pula dhcp: 192.168.1.2-192.168.1.100/24
gw_dhcp: 192.168.1.1
pula POZA dhcp dla vpn'owców: 192.168.1.101-192.168.1.110

dyrektywa server-bridge:

server-bridge 192.168.1.1 255.255.255.0 192.168.1.101 192.168.1.110

z tego co pamiętam nie musisz puszczać 'push' sieci dka której ustawiasz server-bridge, tylko dla pozostałych.

Temat: OpenVPN - bridged

Łukasz Kisielewicz:
Użytkownicy zdalni, muszą mieć IP takie samo jak użytkownicy mojej sieci.

a dlaczego? Ja uważam, że to tylko powoduje problemy.

czy potrzebujesz łączenia się z całą siecią lokalną, czy tylko z niektórymi serwerami i urządzeniami w tej sieci? jeśli lista urządzeń jest skończona - to najlepiej robić to przez:

push "route 192.168.1.60 255.255.255.255"
push "route 192.168.1.70 255.255.255.255"

czyli nowy wpis dla nowego urządzenia. Unikniesz wtedy sytuacji, gdy klient nagle dostanie dwie sieci 192.168.1.0/24 i nie będzie wiedział co z nimi zrobić. Adresację dla interface vpnowych weź jakąś bezpieczną typu 10.62.13.0 tak - by było jak najmniejsze prawdopodobieństwo że ktoś taką będzie mieć w sieci z której będzie wbijał się do serwera vpn.