Организация OpenVPN каналов...

[bellic]

Организация OpenVPN каналов...
Организация OpenVPN каналов от нескольких клиентов к Центральному серверу(офису)...

Как то так пусть звучит тема... а то я все никак не начну ее развивать!..((

Хотел было нарисовать схему..
Ибо иногда 2х секунд достаточно, что б понять суть, чем словами объяснять!
Инструментов нет под рукой акромя карандаша и ручки, нарисую пока ими, а позже возможно оформлю красиво!

Схема OpenVPN_2.jpg (86.21 КБ) 193 просмотра

Надеюсь понятно все нарисовал и без ошибок!?
Имеется Сервер OpenVPN и несколько клиентов(на схеме 2)

Задача:
1 - соединить Клиентов с Сервером по VPN-каналам (Выполнено);
2 - получить доступ с Клиентов во внутреннюю сеть Сервера(ТРАБЛ!);
3 - получить доступ c Сервера в сеть Клиентов(Задача на будущее);
4 - "застолбить" за Клиентами их адреса из OpenVPN-сетки(Задача на будущее).

Первая задача решена...
А вот вторая не получается!
И дело там похоже не в настройках OpenVPN, а в маршрутизации на самом Сервере!

Вот скрин таблицы маршрутизации на Сервере:

таблица маршрутов.jpg (95.71 КБ) 197 просмотров

Маршрутизация на ПК, выполняющая роль Сервера OpenVPN включена!

Одно есть НО!!! - Все ПК - "Windows 10 Pro"!!!
Меня это сильно смущает, ибо включать маршрутизацию на ПК Сервер пришлось в реестре винды и я не шибко этому доверяю!
Можно было бы конечно поставить туда "Windows Server", но открытым останется вопрос лицензирования!
Поставить что-то из UNIX-сов - вариант конечно отличный, но мне на этом ПК нужно будет запускать Виндовую СПЕЦ-программу для управления ТВ-экраном!!!

Еще раз акцентирую - OpenVPN-каналы от клиентов к Серверу открываются, порты на Роутере проброшены!

Пинги:
192.168.0.6 - - - > 10.8.0.2 - норма
192.168.0.6 - - - > 10.8.0.1 - норма
192.168.0.6 - - - > 192.168.10.2 - норма
192.168.0.6 - - - > 192.168.10.1 - Bad!
192.168.0.6 - - - > 192.168.10.146 - Bad!

P.S. По вопросу множественности клиентов, подключаемых к Серверу, есть еще один вопросик, но это сейчас не главное и там скорее всего в корректности формирования сертификатов и ключей... Так что позже..

[bellic]

Суть вопроса я вроде как изложил, но вот может кто задастся вопросом:
- А почему бы не использовать возможности имеющихся роутеров "TP-Link Archer C7" в организации OpenVPN?

Я собственно говоря не пробовал, можно протестировать, но мне сдается, что внутренние подсети "СРАЗУ" де-факто будут "расшарены" друг для друга, что не есть хорошо в плане безопасности!?

Ну и раз масть такая пошла:
- Почему бы не юзать известный всем AnyDesk и не парить мозги этим OpenVPN-ном?
А потому что это еще одна "дырдочка" в безопасности!!!

Мне кажется безопаснее все ж в случае необходимости сходить RDP или Радмином по OpenVPN-каналу, нежели светиться AnyDesk-ом на весть Тырнет???

[Olej]

Одно есть НО!!! - Все ПК - "Windows 10 Pro"!!!

Это где? На сервере?

[Olej]

Можно было бы конечно поставить туда "Windows Server", но открытым останется вопрос лицензирования!
Поставить что-то из UNIX-сов - вариант конечно отличный, но мне на этом ПК нужно будет запускать Виндовую СПЕЦ-программу для управления ТВ-экраном!!!

Строить разветвлённую сеть на Windows - это чистый мазохизм!
В конечном счёте, если вам категорически нужно запускать одного уродца из-под Windows (СПЕЦ-программу для управления ТВ-экраном) - то:
- запустите на Linux виртуального Windows ... в VirtualBox (замечательно работает там)...
- и в этом виртуальном Windows запускайте одного (или несколько, если ещё понадобится) уродцев под Windows

[bellic]

Строить разветвлённую сеть на Windows - это чистый мазохизм!
В конечном счёте, если вам категорически нужно запускать одного уродца из-под Windows (СПЕЦ-программу для управления ТВ-экраном) - то:
- запустите на Linux виртуального Windows ... в VirtualBox (замечательно работает там)...
- и в этом виртуальном Windows запускайте одного (или несколько, если ещё понадобится) уродцев под Windows

Вопрос "С ЧЕМ ЛУЧШЕ ДОЛБАТЬСЯ?" - каждый решает для себя сам!
А если не САМ, то Поставщики оборудования за нас почему то решают!!!!

[bellic]

Это где? На сервере?

Ну как еще понятней написать???
Все ПК на Схеме - с ОС "Windows 10 Pro", в том числе и Сервер!

P.S. Соврал!!! - на ПК "ТВ-экран" - хз что за система!!!

Все.. устал.. почапал домой..

[bellic]

Пинги:
192.168.0.6 - - - > 10.8.0.2 - норма
192.168.0.6 - - - > 10.8.0.1 - норма
192.168.0.6 - - - > 192.168.10.2 - норма
192.168.0.6 - - - > 192.168.10.1 - Bad!
192.168.0.6 - - - > 192.168.10.146 - Bad!

Да, вот еще что выяснил - пока не включил в реестре Маршрутизацию, пинг на 192.168.10.2 не шел!!!
Включил и все заработало!
Но вот на другие адреса сети 192.168.10.0/24 - как не было, так и нет!!!

[Olej]

Но вот на другие адреса сети 192.168.10.0/24 - как не было, так и нет!!!

Т.е у вас на сервере не идёт форвардинг с интерфейса 10.8.0.1 на интерфейс 192.168.10.2 ... и дальше в подсеть 192.168.10.0.
Я не помню уже что там и как было в Windows, но в Linux это именно форвардинг (ретрансляция внутри с одного интерфейса на другой), и по умолчанию он запрещён, его нужно вручную включать.
Вот:

Код: Выделить всё

olej@R420:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

По дефаулту форвардинг выключен.
См. Как включить/выключить IP Forwarding в Linux.

Но в том случае, если вы планируете поднять собственный маршрутизатор на ОС Linux, настроить VPN сервер и так далее, вам необходимо включить форвардинг пакетов (маршрутизацию транзитных IP-пакетов, т.е. тех пакетов, которые не предназначены именно для вашего компьютера) в вашей ОС.

Поищите в этом направлении, но в Windows.

[bellic]

Т.е у вас на сервере не идёт форвардинг с интерфейса 10.8.0.1 на интерфейс 192.168.10.2 ... и дальше в подсеть 192.168.10.0.

Olej, вы невнимательно читаете!!!

C интерфейса 10.8.0.1 на интерфейс 192.168.10.2 - таки нормально идет форвардинг(после включения Маршрутизации)!!!

А вот почему с интерфейс 192.168.10.2 не идут пакеты на 192.168.10.1 или 192.168.10.146 или на другие адреса сети 192.168.10.0/24 - это мне не понятно!!!

[Olej]

C интерфейса 10.8.0.1 на интерфейс 192.168.10.2 - таки нормально идет форвардинг(после включения Маршрутизации)!!!

У вас идёт трафик через VPN с хостов подсети School -> на сервер, хост: 10.8.01 или 192.168.10.2 ... это не важно как вы его называете - трафик, в конечном счёте идёт не с интерфейса на интерфейс, а с хоста на хост (через интерфейсы).
А вот форвардинг с 10.8.01 на 192.168.10.2 (внутри сервера) у вас не идёт - поэтому и вся сеть 192.168.10.0/24 у вас недоступна.

C интерфейса 10.8.0.1 на интерфейс 192.168.10.2 - таки нормально идет форвардинг

192.168.10.2 у вас - конечная точка маршрута к серверу, а вам нужен форвардинг - транзит сквозь интерфейся хоста.