URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86820
[ Назад ]
Исходное сообщение
"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Отправлено 2dfx , 06-Окт-09 20:56 
Прошу помочь по настройкам…

Есть роутер, смотрит в интернет и в локальную сеть.
Есть два сервера openvpn c vrrpd.
Есть ещё один сервер с openvpn для удаленной стороны.

Загвоздка у меня вот в этом:
При подключении из «вне» не получается подключиться к openvpn серверу.
Не знаю даже куда смотреть. При пробросе порта на ip vrrpd шифрованный трафик перестает ходить, но если сделать аналогичное правило, например на ISA server, то соединение проходит на ура. Так же на виртуальный IP соединение проходит, когда «удаленный сервер» находится в локальной сети.


Правила на роутере:
iptables -A INPUT -d $EXT_GW1_IP1 -p udp --dport $OPVPN_PORT -j ACCEPT

iptables -t nat -A PREROUTING -d $EXT_GW1_IP1 -p udp --dport $OPVPN_PORT -j DNAT --to-destination $OPENVPN_CLS

iptables -t nat -A POSTROUTING -s $OPENVPN_SERVER1 -p udp --sport $OPVPN_PORT -o vlan3 -j SNAT --to-source $EXT_GW1_IP1
iptables -t nat -A POSTROUTING -s $OPENVPN_SERVER2 -p udp --sport $OPVPN_PORT -o vlan3 -j SNAT --to-source $EXT_GW1_IP1
iptables -t nat -A POSTROUTING -s $OPENVPN_CLS -p udp --sport $OPVPN_PORT -o vlan3 -j SNAT --to-source $EXT_GW1_IP1

OpenVPN сервера настроены на использование tun интерфейса и протокол udp
VRRPD на обоих серверах:   vrrpd -i eth1 -v 1 -n -p 50 $OPENVPN_CLS

Содержание
Сообщения в этом обсуждении
"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Отправлено ALex_hha , 06-Окт-09 21:42 
Без схемы ничего не понятно
"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Отправлено 2dfx , 07-Окт-09 13:11 
>Без схемы ничего не понятно

Удаленный сервер  -   Интернет  -  Роутер  -  VRRPD-два сервера OPENVPN

"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Отправлено ALex_hha , 07-Окт-09 15:06 
>>Без схемы ничего не понятно
>
>Удаленный сервер  -   Интернет  -  Роутер  
>-  VRRPD-два сервера OPENVPN

VRRPD - это отдельный сервер в локальной сети? Откуда в схеме взялся ISA сервер?

"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Отправлено 2dfx , 07-Окт-09 16:07 
>>>Без схемы ничего не понятно
>>
>>Удаленный сервер  -   Интернет  -  Роутер  
>>-  VRRPD-два сервера OPENVPN
>
>VRRPD - это отдельный сервер в локальной сети? Откуда в схеме взялся
>ISA сервер?

ISA server использовался исключительно для тестов. В данной схеме он не нужен.
VRRPD это программа а-ля "Failover Cluster". Стоит на серверах вместе с openvpn

Может тогда лучше по другому спросить - кто-нибудь пробовал делать Failover Cluster из серверов OpenVPN?

Я долго копался и пришел к тому, что он создает шифованые пакеты с явно забитым IP получателя и отправителя, а пакеты с удаленного сервера приходят на виртуальный IP и он не понимает что делать с ними дальше.

"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Отправлено ALex_hha , 07-Окт-09 17:02 
>[оверквотинг удален]
>>VRRPD - это отдельный сервер в локальной сети? Откуда в схеме взялся
>>ISA сервер?
>
>ISA server использовался исключительно для тестов. В данной схеме он не нужен.
>
>VRRPD это программа а-ля "Failover Cluster". Стоит на серверах вместе с openvpn
>
>
>Может тогда лучше по другому спросить - кто-нибудь пробовал делать Failover Cluster
>из серверов OpenVPN?

нет, но не вижу проблем. RedHat Cluster Suite в помощь.

Или еще нужна и балансировка нагрузки?


>Я долго копался и пришел к тому, что он создает шифованые пакеты
>с явно забитым IP получателя и отправителя, а пакеты с удаленного
>сервера приходят на виртуальный IP и он не понимает что делать
>с ними дальше.

сложно сказать ибо не знаю как работает VRRPD. А без него подключается?
Кстати какой тип подключения? точка-точка?