https://www.opennet.me/openforum/vsluhforumID1/97977.html Всем привет.<br>Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, на клиенте - Win10 64-битная.<br> https://www.opennet.me/openforum/vsluhforumID1/97977.html#14 Fri, 07 Jun 2024 13:28:20 GMT &gt;&gt; скажите, а если на шлюзе 192 сделать nat для этого единственного адреса <br>&gt;&gt; в 10.54? собственно, ваша идея о vpn будет работать тем же <br>&gt;&gt; самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то <br>&gt;&gt; предпосылки?<br>&gt; На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при <br>&gt; этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом <br>&gt; внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают <br>&gt; все браузеры, почтовые программы и другое. Но это не убирает глюки <br>&gt; в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. <br>&gt; А что ему ещё надо, никак не пойму ( <br><br>а попробуйте попинговать сам адрес этого ЭОС (который должен иметь адрес из приватных диапазонов). особенно большими пакетами. кстати, а не требует ли подобная работе внесение изменений в файл hosts? ну и возможно, что стоит написать в ТП ЭОС с объяснением ситуации - что бы они посмотрели со своей стороны, что происходит, потому как vipne https://www.opennet.me/openforum/vsluhforumID1/97977.html#13 Fri, 07 Jun 2024 06:18:45 GMT &gt;&gt; Свитчи без поддержки VLAN?<br>&gt; Обычные неуправляемые <br><br>Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне (ошибки, коллизии и т.д.), но при этом пытаетесь решить проблему программным образом, пробрасывая сегмент сети через среду с неизвестными параметрами, и ожидая что пробрасываемый сегмент будет работать стабильно?<br><br>Если нет возможности проверить состояние портов на свитчах и выделить отдельный VLAN, кто мешает проверить работу сети собрав статистику длительным пингом пакетами размером 1500 байт и прогнать iperf между проблемным клиентом и сервером(или до хоста, который наиболее близок к серверу)?<br>Хотя-бы логи на проблемном хосте посмотрите.<br> https://www.opennet.me/openforum/vsluhforumID1/97977.html#12 Thu, 06 Jun 2024 12:39:59 GMT <br>&gt; Вот общий план действий: <br>&gt; Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети <br>&gt; в одну и передавать пакеты между ними.<br><br>Может быть, между tap0 и ext0? Между lan0 и ext0 настроен форвардинг средствами iptables.<br><br>&gt; Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы <br>&gt; на уровне L2 (Ethernet bridging mode) и настройте его для подключения <br>&gt; клиента.<br>&gt; Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской <br>&gt; машине и настройте его для подключения к серверу OpenVPN на вашем <br>&gt; Debian 10 шлюзе.<br>&gt; Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, <br>&gt; чтобы пакеты могли правильно передаваться между сетями.<br><br>Шлюз имеет адрес на ext0 10.54.0.2, роутер, через который идёт интернет - 10.54.0.1. При подключении по openvpn сервер отдаёт клиенту в качестве шлюза свой IP. Можно ли как-то сделать, чтобы он отдавал IP роутера (10.54.0.1)?<br><br>&gt; Тестирование и отладка: После заве https://www.opennet.me/openforum/vsluhforumID1/97977.html#11 Thu, 06 Jun 2024 12:35:37 GMT &gt; скажите, а если на шлюзе 192 сделать nat для этого единственного адреса <br>&gt; в 10.54? собственно, ваша идея о vpn будет работать тем же <br>&gt; самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то <br>&gt; предпосылки?<br><br>На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают все браузеры, почтовые программы и другое. Но это не убирает глюки в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. А что ему ещё надо, никак не пойму (<br> https://www.opennet.me/openforum/vsluhforumID1/97977.html#10 Thu, 06 Jun 2024 12:06:18 GMT &gt; Всем привет.<br>&gt; Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через <br>&gt; интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс <br>&gt; ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT <br>&gt; для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить <br>&gt; к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую <br>&gt; схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, <br>&gt; на клиенте - Win10 64-битная.<br><br>Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2. Для этого вам понадобится настроить мост между интерфейсами lan0 и ext0 на вашем шлюзе Debian 10, а затем использовать OpenVPN для создания L2 VPN-туннеля между клиентом на Windows 10 и вашим шлюзом.<br><br>Вот общий план действий:<br><br>Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети в одну и передавать пакеты между ними.<br><br>Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN https://www.opennet.me/openforum/vsluhforumID1/97977.html#9 Thu, 06 Jun 2024 09:48:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt; тащить кабель, поскольку свичи vlan не поддерживают. так?<br>&gt;&gt; еще момент - координатор vipnet находится в интернете? и нет ли пересечений <br>&gt;&gt; по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших <br>&gt;&gt; подсетей?<br>&gt;&gt; в общем то ваша идея с openvpn вполне должна работать - а <br>&gt;&gt; вот поможет ли она вам...<br>&gt; До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, <br>&gt; с NAT, что там внутри него - неведомо. Координатор доступен в <br>&gt; интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то <br>&gt; за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные. <br><br>11 - это чисто туннельная адресация vipnet-a, она нам не интересна. 172 - это адрес сети внутри самого координатора. <br>скажите, а если на шлюзе 192 сделать nat для этого единственного адреса в 10.54? собственно, ваша идея о vpn будет работать тем же самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то предпосылк https://www.opennet.me/openforum/vsluhforumID1/97977.html#8 Wed, 05 Jun 2024 14:05:52 GMT &gt; если нужна нормальная работа винды в домене -- нужен l2 уровень.<br><br>Хотелось бы грязных подробностей. <br>А то вот без него работает, наверное я что то неправильно сделал? И вообще - все вокруг кого знаю :-)<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/97977.html#7 Wed, 05 Jun 2024 12:07:41 GMT <br>&gt; так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют <br>&gt; nat - находятся в другой подсети, для подключения к которой надо <br>&gt; тащить кабель, поскольку свичи vlan не поддерживают. так?<br>&gt; еще момент - координатор vipnet находится в интернете? и нет ли пересечений <br>&gt; по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших <br>&gt; подсетей?<br>&gt; в общем то ваша идея с openvpn вполне должна работать - а <br>&gt; вот поможет ли она вам...<br><br>До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, с NAT, что там внутри него - неведомо. Координатор доступен в интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.<br> https://www.opennet.me/openforum/vsluhforumID1/97977.html#6 Wed, 05 Jun 2024 11:55:26 GMT &gt;&gt; вам нужно раскрыть, что вы понимаете под "физической невозможностью" <br>&gt;&gt; ну и как вы представляете себе работу openvpn на канальном уровне? с <br>&gt;&gt; учетом того, что на этом уровне ip нет <br>&gt; Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы <br>&gt; его физически переключить, надо ему тянуть отдельный кабель через три этажа. <br>&gt; Интернет у клиента есть, но у него еще есть VipNet Client, <br>&gt; а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она <br>&gt; работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. <br>&gt; Что служит причиной - пытаюсь разобраться, поэтому и задумался.<br><br>так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют nat - находятся в другой подсети, для подключения к которой надо тащить кабель, поскольку свичи vlan не поддерживают. так?<br><br>еще момент - координатор vipnet находится в интернете? и нет ли пересечений по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших подсетей? <br>