https://www.opennet.ru/openforum/vsluhforumID1/81734.html Здравствуйте!<br>Подскажите пожалуйста как можно реализовать с помощью OpenVPN такую конфигурацию<br><br><br>Client1----Server1---&gt;Server2------&gt;Internet<br><br>тоесть выход в Интернет будет идти через второй сервер <br>по частям все получается:<br>1. Client1 коннектится к Server1 по OpenVPN<br>2. Server1 коннектится к Server2 по OpenVPN<br><br>Но вот как "связать" эти отдельные коннекты? пробуем ставить NAT на Server1 - но пакеты не уходят с него на Server2 :(<br><br>Подскажите пожалуйста что делать? Хотябы схему действий - скрипты и софт уже настроим сами<br><br>Спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID1/81734.html#7 Mon, 15 Sep 2008 21:06:43 GMT <br><br>&gt;&gt;и бриджит соответствующие интерфейсы;<br>&gt;<br>&gt;как это сделать, например, на FreeBSD? <br>&gt;<br><br>sysctl net.link.ether.bridge.config=.......<br><br>&gt;&gt;Во втором случае можно поднять между S1 и S2 вечнозеленый туннель с <br>&gt;<br>&gt;так соединение по VPN между ними осуществляется - это не то? <br>&gt;<br><br>то, если оно статично либо самовосстанавливается и адреса не меняются<br><br>&gt;[оверквотинг удален]<br>&gt;так вот я и пытаюсь связать концы двух соединений - вот как <br>&gt;связать? <br>&gt;<br>&gt;а на S1 заворачивать исход с <br>&gt;&gt;нее в туннель редиректом. <br>&gt;<br>&gt;ipfw fwd? <br>&gt;<br>&gt;&gt;<br>&gt;&gt;<br><br>на S1:<br><br>ipfw fwd ip from {vpn_net} to any {tunnel_far_end}<br>или<br>rdr in from &lt;vpn_net&gt; -&gt; $tunnel_far_end<br><br>на S2:<br><br>route add -net {vpn_net} {tunnel_near_end}<br><br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81734.html#6 Mon, 15 Sep 2008 19:32:25 GMT &gt;&gt;<br>&gt;&gt;2. Server1 коннектится к Server2 по OpenVPN <br>&gt;&gt;<br>&gt;<br>&gt;Сессии S1-&gt;S2 должны подниматься на каждую клиентскую сессию, или может быть одна стабильная?<br><br>пока хотя бы один вариант рабочий, хотя конечно скорее всего между S1 и S2 будет постоянное соединение<br><br>&gt;В первом случае придется прикручивать к OpenVPN на S1 через --client-connect скрипт, <br>&gt;который поднимает вторую сессию,<br><br>как это вторую сессию? кого с кем?<br><br>&gt; отдает клиенту default с S2 <br><br>так этот новый "дефаулт" не завернет весь траффик с S1 на S2? такое не нужно - там на каждом свои сервисы и цель стоит только вот в соединении VPN-сегментов<br><br>&gt;и бриджит соответствующие интерфейсы;<br><br>как это сделать, например, на FreeBSD?<br> <br>&gt;Во втором случае можно поднять между S1 и S2 вечнозеленый туннель с <br><br>так соединение по VPN между ними осуществляется - это не то?<br><br>&gt;ipsec например, на S1 раздавать OpenVPN некую выделенную сеть, прописать ее <br>&gt;статиком на S2 в туннель, <br><br>так вот я и пытаюсь связать концы двух соединений - вот как связать?<br><br>а на S https://www.opennet.ru/openforum/vsluhforumID1/81734.html#5 Mon, 15 Sep 2008 14:05:42 GMT &gt;<br>&gt;2. Server1 коннектится к Server2 по OpenVPN <br>&gt;<br><br>Сессии S1-&gt;S2 должны подниматься на каждую клиентскую сессию, или может быть одна стабильная?<br>В первом случае придется прикручивать к OpenVPN на S1 через --client-connect скрипт, который поднимает вторую сессию, отдает клиенту default с S2 и бриджит соответствующие интерфейсы;<br>Во втором случае можно поднять между S1 и S2 вечнозеленый туннель с ipsec например, на S1 раздавать OpenVPN некую выделенную сеть, прописать ее статиком на S2 в туннель, а на S1 заворачивать исход с нее в туннель редиректом.<br> <br> <br><br> https://www.opennet.ru/openforum/vsluhforumID1/81734.html#4 Sun, 14 Sep 2008 20:28:22 GMT &gt;IMHO можно сделать по другому. NAT нужен только на Сервере2, а на <br>&gt;Сервере1 и Сервере2 правильно прописать роутинг для клиента. При поднятии VPN <br>&gt;на клиенте шлюз по умолчанию - в впн, на Сервере1 всё <br>&gt;(или не всё, если нужно) от клиента роутить на Сервер2, на <br>&gt;Сервере2 прописать маршрут к клиенту через Сервер1. <br><br>после поднятия всех коннектов такие роуты:<br><br>на Сервере2:<br>Destination Gateway Flags Refs Use Netif Expire<br>default 88.хх.хх.хх UGS 0 3343724965 bge0<br>10.8.8/24 10.8.8.2 UGS 0 0 tun1<br>10.8.8.2 10.8.8.1 UH 1 0 tun1<br>88.хх.хх.хх/27 link#1 UC 0 0 bge0<br>............<br><br>на Сервере1:<br>Destination Gateway Flags Refs Use Netif Expire<br>default 2хх.ххх.х.ххх UGS 0 1120190 em0<br>10.8.7.0/24 10.8.7.2 UGS 0 0 tun0<br>10.8.7.2 10.8.7.1 UH https://www.opennet.ru/openforum/vsluhforumID1/81734.html#3 Thu, 28 Aug 2008 19:12:01 GMT IMHO можно сделать по другому. NAT нужен только на Сервере2, а на Сервере1 и Сервере2 правильно прописать роутинг для клиента. При поднятии VPN на клиенте шлюз по умолчанию - в впн, на Сервере1 всё (или не всё, если нужно) от клиента роутить на Сервер2, на Сервере2 прописать маршрут к клиенту через Сервер1.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/81734.html#2 Thu, 28 Aug 2008 09:34:34 GMT вот еще подробнее:<br><br>с Сервера1 соединяемся с Сервером2 и получаем такой интерфейс на Сервере2:<br><br>tun0: flags=8051&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt; mtu 1500<br> inet 10.8.7.1 --&gt; 10.8.7.2 netmask 0xffffffff<br> Opened by PID 2177<br><br>на Сервере1 получаем такой интерфейс:<br><br>tun0: flags=8051&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt; metric 0 mtu 1500<br> inet 10.8.7.10 --&gt; 10.8.7.9 netmask 0xffffffff<br> Opened by PID 74283<br><br>теперь Клиент1 соединяется с Сервером1 и на Сервере1 поднимается еще один интерфейс:<br><br>tun1: flags=8051&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt; metric 0 mtu 1500<br> inet 10.8.8.1 --&gt; 10.8.8.2 netmask 0xffffffff<br> Opened by PID 78220<br><br>на Сервере1 запускам NAT<br>natd -p 8672 -n tun0 -log -log_denied<br><br>тоесть мы его ставим на интерфейс который смотрит на Сервер2<br><br>и еще на Сервере1 в файрволе конечно добавляем правило<br>ipfw add 359 divert 8672 all from 10.8.8.1/24 to any via tun1<br>ipfw add 360 divert 8672 all from any to 10.8.8.1/24 via tun1<br><br>это заворачивает паке https://www.opennet.ru/openforum/vsluhforumID1/81734.html#1 Thu, 28 Aug 2008 05:36:32 GMT &gt;[оверквотинг удален]<br>&gt;1. Client1 коннектится к Server1 по OpenVPN <br>&gt;2. Server1 коннектится к Server2 по OpenVPN <br>&gt;<br>&gt;Но вот как "связать" эти отдельные коннекты? пробуем ставить NAT на Server1 <br>&gt;- но пакеты не уходят с него на Server2 :( <br>&gt;<br>&gt;Подскажите пожалуйста что делать? Хотябы схему действий - скрипты и софт уже <br>&gt;настроим сами <br>&gt;<br>&gt;Спасибо! <br><br>А реализовать так штоб в созданом уже вами тунеле к Серверу 1 вы просто создаету второе vpn подключение к Серверу 2, на Сервере 2 описываете NAT для выхода в интернет.<br>... но вы должны связыватся из Сервером 2 после создания первого подключения из Сервером 1, а по Вашым словам<br>---<br>пробуем ставить NAT на Server1 <br>но пакеты не уходят с него на Server2<br>---<br>надобы запустить на всех серверах<br><br>П.С.<br>и не забудте понизить значения MRU MTU на Сервере 2 для подключений vpn !<br>ато не пройдет трафик со стандартным 1500<br>