>[оверквотинг удален]
> На рисунке выше - схематично то что есть.
> Вопросы:
> 1) можно ли сделать так что бы виртуалка на сервере и клиенты
> openvpn видели друг-друга (все порты и прочее без NAT)
> 2) являются ли venet интерфейсы виртуалки полноценными интерфейсами? заметил что у них
> нету мак-адресов.
> На данный момент развешиваю нужные порты на 10.0.0.1 и делаю через него
> NAT на адреса 192.168.0.0 но это не удобно (много портов на
> разных виртуалках). Как сделать это всё прозрачнее (что бы для клиентов
> VPN виртуалки были доступны как "хосты")?У нас несколько VPN-серверов в OpenVZ-контейнерах(кстати, тоже посоветовала бы не держать сервис не в контейнере,из соображений security и правильной нарезки ресурсов, не стоит никакой софт ставить на ноду).
Ключевые моменты:
1) у контейнера должны быть права доступа к сетевому стеку, и нужен tun/tap-девайс, дырка в /dev/, для доступа к tun/tup драйверу
Вот что должно быть в конфиге контейнера:
DEVICES="c:10:200:rw "
CAPABILITY="NET_ADMIN:on "
Либо ставьте через vzctl(8)
На контейнер нужно пробросить (IPtables DNAT) порт OpenVPN
2) клиенты через NAT работают превосходно, если у сервера публичный IP, или проброшен порт, как обычно у нас.
3) пример конфига сервера:
dev tun
proto udp
keepalive 10 120
comp-lzo
log /var/log/openvpn.log
status /var/log/openvpn/openvpn-status.log
verb 3
link-mtu <индивидуально>
mssfix <индивидуально>
fragment <индивидуально>
server <VPN NETWORK> 255.255.0.0
up /usr/sbin/rc.route_add_wrapper.sh
#Конфигурационная директория для клиентов
client-config-dir /etc/openvpn/ccd
tls-server
port <port>
tls-auth /etc/openvpn/keys/ta.key 0
#ifconfig-pool-persist /etc/openvpn/ipp.txt
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/<host>.crt
key /etc/openvpn/keys/<host>.key
Пример клиента(UNIX, под виндой аналогично):
dev tun
proto udp
keepalive 10 120
comp-lzo
log /var/log/openvpn.log
status /var/log/openvpn/openvpn-status.log
verb 3
#link-mtu
<индивидуально>
link-mtu <индивидуально>
mssfix <индивидуально>
fragment <индивидуально>
resolv-retry infinite
nobind
client
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
remote <host> <port>
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/<host>.crt
key /etc/openvpn/keys/<host>.key
4) добавляем роуты на сервере скриптом:
cat /usr/sbin/rc.route_add_wrapper.sh
#!/bin/bash
/usr/sbin/rc.route_add.sh start <VPN NETWORK> 255.255.0.0
sleep 2
/etc/init.d/firewall restart
5) для каждого клиента так же добавляем роуты, но в конфиге на сервере, например:
cat /etc/openvpn/ccd/<host>
#Прописываем клиентские подсети на сервере
iroute
#Прописываем подсети для клиента
push "route <NET1> 255.255.255.0"
push "route <NET2> 255.255.255.0"
push "route <NET3> 255.255.255.0"
#Прописываем роут на OpenVPN сеть
push "route <VPN NET> 255.255.0.0"
#Передаем удаленным сетям маршруты в нашу
push "dhcp-option DNS <LAN DNS>"
#работает только в оффтопике