openvpn a routovani do vnitrni site

Dan Lukes dan at obluda.cz
Mon Mar 3 10:23:27 CET 2008


Jaroslav Votruba wrote:
> prosim o radu , co kde jak nastavit ,aby mi fungovalo routovani do 
> vnitrni site. Doted jsem to delal tak ,ze na jednom stroji ve vnitrni 
> siti bezel  vpn klient. Pak se nechalo z domova nastavit IP z vnitrni 
> site treba 192.168.0.100(nebo jakoukoliv jinou ve vnitrni  siti) na vnc 
> a ono to proroutovalo(samozrejme pri spustenym klientovi na tom domacim 
> stroji) na tu pozadovanou stanici. 

	Snad jen abychom si pro jistotu ujasnili pojmy - kdyz mas doma IP z 
vnitrni site tak nikoliv proroutovalo (routing je mezi ruznymi sitemi) - 
mas tam tunel, takze protunelovalo.

> Pokud na te jedne stanici ve vnitrni 
> siti  shodim vpn klienta, tak se jiz nikam neprihlasim(pouze na server 
> na IP 10.0.1.1). 

	Ano, kdyz mas jediny pristup tunelem a ten tunel si shodis, tak to 
nemuze byt jinak.

> Stavajici stav je ale neprakticky, protoze pokud na 
> widlich bezi vpn klient, tak se neni mozne z toho stroje dostat na 
> jakykoliv pocitac ve vnitrni siti. Nepomohlo ani pridani dalsi sitovky, 
> ten klient proste blokuje vsechny ostatni rozhrani krome TAP.

	Nejsem si jisty, ze vim o cem mluvis - a dokonce si nejsem jisty, 
jestli ty.

	Pred-prvni otazka je, proc ti vlastne ten tunel bezi na nejake stanici 
(jeste ke vsemu Windowsi, ktera se obcas vypina) a nikoliv na routeru.

	A ted prvni otazka k te konfiguraci - nejsem si jisty, ze rozumim 
adresnimu schematu site, kterou tam mas vymyslenou. Tunel od OpenVPN je 
jeden (pseudo)interface, ostatni pocitace vnitrni site jsou napojene na 
ethernetu - takze dve sitovky. Mezi nimi uz se tedy musi routovat nebo 
alespon bridgeovat. Defaultne ale Wokna (krome rady 'server') neroutuji.

	Zda se, ze ty se pokousis pouzivat 'bridge' rezim, priznavam, ze ten s 
emi uspokojive nepodarilo rozchodit nikdy.

	To bych ale opravdu nerad resil tady - to je o konfiguraci Windows a to 
sem nepatri. Az ti ten OpenVPN tunel bude koncit na sitovem routeru s 
FreeBSD, pak jsi na spravnem miste, ale takhle ...

> 3. -bylo by mozna resenim rozbehat zaroven klienta primo na serveru, ze 
> by to pak routovalo,ale prijde mi to dost krkolomny, musi existovat 
> elegantnejsi reseni.

	Nevim cemu rikas server - misty tak rikas tem Windowsum, na kterych 
bezi OpenVPN (server), ted se zda, ze to je neco jineho,a el nejsem si 
jisty co.

	Jestli tim myslis router te site, tak to neni krkolomny ale naopak 
naprosto nejprirozenejsi reseni daneho problemu. A routing misto 
bridgingu, to kvuli pruchodnosti.

						Dan




More information about the Users-l mailing list