Rede OpenVPN para roteamento de múltiplas redes

tag-icon tag-icon networking vpn routing openvpn
Rede OpenVPN para roteamento de múltiplas redes

Estou procurando conectar um cliente VPN ao servidor VPN e, em seguida, esse cliente também oferecerá um servidor VPN. Eu simplesmente não consigo acertar o roteamento.

Vou tentar explicar o objetivo final.

desenho muito rápido da rede estou pensando

Gostaria que todos os clientes do lado Servidor/Cliente pudessem se comunicar com todos os sistemas do lado esquerdo e também que a rota voltasse.

Estou fazendo isso há horas e simplesmente não consigo acertar o roteamento.

alguma ajuda, por favor?

Responder1

(Supondo que topology subnetsejam usados ​​para todos os servidores e clientes. A resposta pode ou não se aplicar ao tap apporach.)

Para rotear de 10.8.0.0/24para 10.10.0.0/24, você só precisa:

  1. permitir o encaminhamento de IP entre as duas interfaces tun em10.8.0.1/24
  2. push route for 10.10.0.0/24para seus clientes para garantir que o tráfego seja roteado para o túnel.

É um pouco mais complicado rotear de 10.10.0.0/24para 10.8.0.0/24. Basicamente, o que você deseja deste lado é rotear através de um cliente em vez do servidor. Você pode pensar que definir o "cliente gateway" desejado como route-gatewayfaria os outros clientes. Mas, na verdade, isso nem importa.

Para tornar um determinado cliente o gateway de uma determinada rota ( 10.8.0.0/24neste caso), o que você precisa fazer é:

  1. adicione um arquivo "CCD" (confira --client-config-dirno manual do openvpn para mais detalhes) para ele, com seu nome comum (CN) como nome do arquivo. No arquivo, adicione iroute 10.8.0.0 255.255.255.0.
  2. adicione client-to-clientà configuração do servidor de 10.10.0.1/24.
  3. adicione um arquivo "CCD" chamado DEFAULT. No arquivo, adicione push "route 10.8.0.0 255.255.255.0".
  4. adicione route 10.8.0.0 255.255.255.0à configuração do servidor 10.10.0.1/24se quiser acessar 10.8.0.0/24a partir dele (ou se quiser evitar client-to-client).

EDIT: client-to-clientpode ser evitado se o encaminhamento de IP também for permitido entre as duas interfaces tun on 10.10.0.1/24. Sem client-to-client, irouteseria aplicado apenas ao próprio servidor. Nesse caso, os tráfegos dos clientes serão roteados "internamente" 10.10.0.1/24primeiro e depois 10.8.0.1/24(por causa do routee irouteaplicado ao servidor).

informação relacionada