Организация OpenVPN каналов...

Настройка, программирование, распределённые вычисления

Модераторы: Olej, bellic, vikos

Аватара пользователя
bellic
Писатель
Сообщения: 379
Зарегистрирован: 02 сен 2022, 14:41
Откуда: Ростов-на-Дону
Контактная информация:

Организация OpenVPN каналов...

Непрочитанное сообщение bellic » 19 дек 2022, 10:53

Организация OpenVPN каналов...
Организация OpenVPN каналов от нескольких клиентов к Центральному серверу(офису)...

Как то так пусть звучит тема... а то я все никак не начну ее развивать!..((

Хотел было нарисовать схему..
Ибо иногда 2х секунд достаточно, что б понять суть, чем словами объяснять!
Инструментов нет под рукой акромя карандаша и ручки, нарисую пока ими, а позже возможно оформлю красиво!

Схема OpenVPN_2.jpg
Схема OpenVPN_2.jpg (86.21 КБ) 651 просмотр
Надеюсь понятно все нарисовал и без ошибок!?
Имеется Сервер OpenVPN и несколько клиентов(на схеме 2)

Задача:
1 - соединить Клиентов с Сервером по VPN-каналам (Выполнено);
2 - получить доступ с Клиентов во внутреннюю сеть Сервера(ТРАБЛ!);
3 - получить доступ c Сервера в сеть Клиентов(Задача на будущее);
4 - "застолбить" за Клиентами их адреса из OpenVPN-сетки(Задача на будущее).

Первая задача решена...
А вот вторая не получается!
И дело там похоже не в настройках OpenVPN, а в маршрутизации на самом Сервере!

Вот скрин таблицы маршрутизации на Сервере:
таблица маршрутов.jpg
таблица маршрутов.jpg (95.71 КБ) 655 просмотров
Маршрутизация на ПК, выполняющая роль Сервера OpenVPN включена!

Одно есть НО!!! - Все ПК - "Windows 10 Pro"!!!
Меня это сильно смущает, ибо включать маршрутизацию на ПК Сервер пришлось в реестре винды и я не шибко этому доверяю!
Можно было бы конечно поставить туда "Windows Server", но открытым останется вопрос лицензирования!
Поставить что-то из UNIX-сов - вариант конечно отличный, но мне на этом ПК нужно будет запускать Виндовую СПЕЦ-программу для управления ТВ-экраном!!!

Еще раз акцентирую - OpenVPN-каналы от клиентов к Серверу открываются, порты на Роутере проброшены!

Пинги:
192.168.0.6 - - - > 10.8.0.2 - норма
192.168.0.6 - - - > 10.8.0.1 - норма
192.168.0.6 - - - > 192.168.10.2 - норма
192.168.0.6 - - - > 192.168.10.1 - Bad!
192.168.0.6 - - - > 192.168.10.146 - Bad!

P.S. По вопросу множественности клиентов, подключаемых к Серверу, есть еще один вопросик, но это сейчас не главное и там скорее всего в корректности формирования сертификатов и ключей... Так что позже..
Последний раз редактировалось bellic 19 дек 2022, 19:06, всего редактировалось 1 раз.

Аватара пользователя
bellic
Писатель
Сообщения: 379
Зарегистрирован: 02 сен 2022, 14:41
Откуда: Ростов-на-Дону
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение bellic » 19 дек 2022, 16:30

Суть вопроса я вроде как изложил, но вот может кто задастся вопросом:
- А почему бы не использовать возможности имеющихся роутеров "TP-Link Archer C7" в организации OpenVPN?

Я собственно говоря не пробовал, можно протестировать, но мне сдается, что внутренние подсети "СРАЗУ" де-факто будут "расшарены" друг для друга, что не есть хорошо в плане безопасности!?

Ну и раз масть такая пошла:
- Почему бы не юзать известный всем AnyDesk и не парить мозги этим OpenVPN-ном?
А потому что это еще одна "дырдочка" в безопасности!!!

Мне кажется безопаснее все ж в случае необходимости сходить RDP или Радмином по OpenVPN-каналу, нежели светиться AnyDesk-ом на весть Тырнет??? :-D

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение Olej » 19 дек 2022, 17:37

bellic писал(а):
19 дек 2022, 10:53
Одно есть НО!!! - Все ПК - "Windows 10 Pro"!!!
Это где? На сервере?

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение Olej » 19 дек 2022, 17:43

bellic писал(а):
19 дек 2022, 10:53
Можно было бы конечно поставить туда "Windows Server", но открытым останется вопрос лицензирования!
Поставить что-то из UNIX-сов - вариант конечно отличный, но мне на этом ПК нужно будет запускать Виндовую СПЕЦ-программу для управления ТВ-экраном!!!
Строить разветвлённую сеть на Windows - это чистый мазохизм! :evil:
В конечном счёте, если вам категорически нужно запускать одного уродца из-под Windows (СПЕЦ-программу для управления ТВ-экраном) - то:
- запустите на Linux виртуального Windows ... в VirtualBox (замечательно работает там)...
- и в этом виртуальном Windows запускайте одного (или несколько, если ещё понадобится) уродцев под Windows

Аватара пользователя
bellic
Писатель
Сообщения: 379
Зарегистрирован: 02 сен 2022, 14:41
Откуда: Ростов-на-Дону
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение bellic » 19 дек 2022, 17:58

Olej писал(а):
19 дек 2022, 17:43
Строить разветвлённую сеть на Windows - это чистый мазохизм!
В конечном счёте, если вам категорически нужно запускать одного уродца из-под Windows (СПЕЦ-программу для управления ТВ-экраном) - то:
- запустите на Linux виртуального Windows ... в VirtualBox (замечательно работает там)...
- и в этом виртуальном Windows запускайте одного (или несколько, если ещё понадобится) уродцев под Windows
Вопрос "С ЧЕМ ЛУЧШЕ ДОЛБАТЬСЯ?" - каждый решает для себя сам!
А если не САМ, то Поставщики оборудования за нас почему то решают!!!! :oops: :evil:
Последний раз редактировалось bellic 19 дек 2022, 18:07, всего редактировалось 3 раза.

Аватара пользователя
bellic
Писатель
Сообщения: 379
Зарегистрирован: 02 сен 2022, 14:41
Откуда: Ростов-на-Дону
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение bellic » 19 дек 2022, 18:02

Olej писал(а):
19 дек 2022, 17:37
Это где? На сервере?
Ну как еще понятней написать???
Все ПК на Схеме - с ОС "Windows 10 Pro", в том числе и Сервер!

P.S. Соврал!!! - на ПК "ТВ-экран" - хз что за система!!! :lol:

Все.. устал.. :-( почапал домой.. :arrow:

Аватара пользователя
bellic
Писатель
Сообщения: 379
Зарегистрирован: 02 сен 2022, 14:41
Откуда: Ростов-на-Дону
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение bellic » 19 дек 2022, 19:10

Olej писал(а):
19 дек 2022, 17:43
Пинги:
192.168.0.6 - - - > 10.8.0.2 - норма
192.168.0.6 - - - > 10.8.0.1 - норма
192.168.0.6 - - - > 192.168.10.2 - норма
192.168.0.6 - - - > 192.168.10.1 - Bad!
192.168.0.6 - - - > 192.168.10.146 - Bad!
Да, вот еще что выяснил - пока не включил в реестре Маршрутизацию, пинг на 192.168.10.2 не шел!!!
Включил и все заработало!
Но вот на другие адреса сети 192.168.10.0/24 - как не было, так и нет!!!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение Olej » 19 дек 2022, 23:38

bellic писал(а):
19 дек 2022, 19:10
Но вот на другие адреса сети 192.168.10.0/24 - как не было, так и нет!!!
Т.е у вас на сервере не идёт форвардинг с интерфейса 10.8.0.1 на интерфейс 192.168.10.2 ... и дальше в подсеть 192.168.10.0.
Я не помню уже что там и как было в Windows, но в Linux это именно форвардинг (ретрансляция внутри с одного интерфейса на другой), и по умолчанию он запрещён, его нужно вручную включать.
Вот:

Код: Выделить всё

olej@R420:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
По дефаулту форвардинг выключен.
См. Как включить/выключить IP Forwarding в Linux.
Но в том случае, если вы планируете поднять собственный маршрутизатор на ОС Linux, настроить VPN сервер и так далее, вам необходимо включить форвардинг пакетов (маршрутизацию транзитных IP-пакетов, т.е. тех пакетов, которые не предназначены именно для вашего компьютера) в вашей ОС.
Поищите в этом направлении, но в Windows.

Аватара пользователя
bellic
Писатель
Сообщения: 379
Зарегистрирован: 02 сен 2022, 14:41
Откуда: Ростов-на-Дону
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение bellic » 19 дек 2022, 23:53

Olej писал(а):
19 дек 2022, 23:38
Т.е у вас на сервере не идёт форвардинг с интерфейса 10.8.0.1 на интерфейс 192.168.10.2 ... и дальше в подсеть 192.168.10.0.
Olej, вы невнимательно читаете!!! :-(

C интерфейса 10.8.0.1 на интерфейс 192.168.10.2 - таки нормально идет форвардинг(после включения Маршрутизации)!!!

А вот почему с интерфейс 192.168.10.2 не идут пакеты на 192.168.10.1 или 192.168.10.146 или на другие адреса сети 192.168.10.0/24 - это мне не понятно!!!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Организация OpenVPN каналов...

Непрочитанное сообщение Olej » 20 дек 2022, 00:50

bellic писал(а):
19 дек 2022, 23:53
C интерфейса 10.8.0.1 на интерфейс 192.168.10.2 - таки нормально идет форвардинг(после включения Маршрутизации)!!!
У вас идёт трафик через VPN с хостов подсети School -> на сервер, хост: 10.8.01 или 192.168.10.2 ... это не важно как вы его называете - трафик, в конечном счёте идёт не с интерфейса на интерфейс, а с хоста на хост (через интерфейсы).
А вот форвардинг с 10.8.01 на 192.168.10.2 (внутри сервера) у вас не идёт - поэтому и вся сеть 192.168.10.0/24 у вас недоступна.
bellic писал(а):
19 дек 2022, 23:53
C интерфейса 10.8.0.1 на интерфейс 192.168.10.2 - таки нормально идет форвардинг
192.168.10.2 у вас - конечная точка маршрута к серверу, а вам нужен форвардинг - транзит сквозь интерфейся хоста.

Ответить

Вернуться в «Сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 11 гостей