The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenVpn бриджинг - недогоняю..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 30-Июл-07, 11:33 
Есть два шлюза построенных на РедХате9 (кернел 2.4.21)
Шлюз1:
eth0 172.30.1.70 (сеть прова через которую получаю инет)
eth1 172.16.0.1 (локалка)

Шлюз2:
eth0 172.30.1.50 (сеть прова через которую получаю инет)
eth1 172.17.0.1 (локалка)

Для объеденения локалок поднял туннели через iproute2, все работает.
Не работают некоторые сетевые приложения и игры.
Для этого хочу поднять OpenVPN в режиме бриджинга, что бы сделать одно адресное простанство.
В описании по настройке опенвпн сказано, что интерфейсы не должны иметь сетевых адресов.
А через что они тогда бридживаться будут?
Простите за тупость, можно привести кратких конфиг для моей конфигурации?

Спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 31-Июл-07, 09:12 
спросил тупость или нет решения?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Oyyo on 31-Июл-07, 09:42 
>спросил тупость или нет решения?

адресное пространство
>eth1 172.16.0.1 (локалка)
>eth1 172.17.0.1 (локалка)

выдал провайдер?
если да, тогда зачем тунели, бриджи и остальная фигня которую ты хочешь придумать
всё должно без этого бегать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 31-Июл-07, 11:54 
>>спросил тупость или нет решения?
>
>адресное пространство
>>eth1 172.16.0.1 (локалка)
>>eth1 172.17.0.1 (локалка)
>
>выдал провайдер?
>если да, тогда зачем тунели, бриджи и остальная фигня которую ты хочешь
>придумать
>всё должно без этого бегать

нет это мои сети...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Oyyo on 31-Июл-07, 12:25 
>[оверквотинг удален]
>>адресное пространство
>>>eth1 172.16.0.1 (локалка)
>>>eth1 172.17.0.1 (локалка)
>>
>>выдал провайдер?
>>если да, тогда зачем тунели, бриджи и остальная фигня которую ты хочешь
>>придумать
>>всё должно без этого бегать
>
>нет это мои сети...

т.е. ты сам придумал эти подсети и не знаешь есть у прова в сети такие подсети, а если и нет, то в любой момент пров может их кому нить отдать, в этом случае я посоветую выбрать какие нить другие подсети, напимер что нибуть из 192.168.0.0 или 10.0.0.0
но в принципе можно и так, но это наихудший вариант.

на железке где
>>eth0 172.30.1.70 (сеть прова через которую получаю инет)

выполняешь
route add -net 172.17.0.0 netmask 255.255.255.0 gw 172.30.1.50 dev eth0

это значить всех, кто будет искать на этом шлюзе подсеть 172.17.0.0/24
шлюз направит на 172.30.1.50 через eth0 и скажет ищите там,
а там эта подсеть дествительно должна быть, или тот шлюз должен знать
где она находится

соответственно на железке где
>>eth0 172.30.1.50 (сеть прова через которую получаю инет)

выполняешь
route add -net 172.16.0.0 netmask 255.255.255.0 gw 172.30.1.70 dev eth0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Salamander (ok) on 31-Июл-07, 23:48 
>[оверквотинг удален]
>Для объеденения локалок поднял туннели через iproute2, все работает.
>Не работают некоторые сетевые приложения и игры.
>Для этого хочу поднять OpenVPN в режиме бриджинга, что бы сделать одно
>адресное простанство.
>В описании по настройке опенвпн сказано, что интерфейсы не должны иметь сетевых
>адресов.
>А через что они тогда бридживаться будут?
>Простите за тупость, можно привести кратких конфиг для моей конфигурации?
>
>Спасибо!

У Вас _уже_ единое адресное пространство, состоящее из двух сетей (сеть и адресной пространство понятия разные).
Проблема скорее всего в настройках шлюзов, точнее маршрутизации и/или тоннелей.
привидите вывод команд 'ip ro' и 'ip addr'

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 01-Авг-07, 08:58 
>У Вас _уже_ единое адресное пространство, состоящее из двух сетей (сеть и
>адресной пространство понятия разные).
>Проблема скорее всего в настройках шлюзов, точнее маршрутизации и/или тоннелей.
>привидите вывод команд 'ip ro' и 'ip addr'

ээээ...
чет не туда тема пошла.
роутингом и ip туннелями у меня и так все работает.
у просил подсказать как настроить OpenVPN  в режиме бриджинга, что бы была одна сет, например 172.16.0.0

спасибо.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Salamander (ok) on 01-Авг-07, 09:58 
>>У Вас _уже_ единое адресное пространство, состоящее из двух сетей (сеть и
>>адресной пространство понятия разные).
>>Проблема скорее всего в настройках шлюзов, точнее маршрутизации и/или тоннелей.
>>привидите вывод команд 'ip ro' и 'ip addr'
>
>ээээ...
>чет не туда тема пошла.
>роутингом и ip туннелями у меня и так все работает.

до этого было сказано "не работают некоторые приложения"

>у просил подсказать как настроить OpenVPN  в режиме бриджинга, что бы
>была одна сет, например 172.16.0.0
>

в конфиге на сервере опенвпн должно быть кроме всего прочего
dev tap
server-bridge 172.16.0.4 255.255.255.0 172.16.0.5 172.16.0.254

все.
но при этом в сети 172.16.0.0/32 будут только клиенты опенвпн.

Если же нужно сделать одну сеть для _всех_ машин, то лучше
тунели бриджевать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 01-Авг-07, 11:17 

>до этого было сказано "не работают некоторые приложения"

ну, при обычных ip туннелях не работают приложение которые используют броадкаст.

>в конфиге на сервере опенвпн должно быть кроме всего прочего
>dev tap
>server-bridge 172.16.0.4 255.255.255.0 172.16.0.5 172.16.0.254
>
>все.
>но при этом в сети 172.16.0.0/32 будут только клиенты опенвпн.
>
>Если же нужно сделать одну сеть для _всех_ машин, то лучше
>тунели бриджевать.

вот мне надо сделать одну сеть для всех машин.
т.е. сбриждивать сетевые на шлюзе1 eth1 и шлюзе2 eth1
в документации описано, что сетевым картам не должны быть присвоены IP адреса
я так понимаю что интерфейсам eth1 надо убрать сетевые настройки,
а при построении моста появится интерфейс tun которому и присвоить адрес.
а в качастве адресов для параметров local и remote указать айпишники провайдера...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Salamander (ok) on 01-Авг-07, 14:20 
>[оверквотинг удален]
>>
>>Если же нужно сделать одну сеть для _всех_ машин, то лучше
>>тунели бриджевать.
>
>вот мне надо сделать одну сеть для всех машин.
>т.е. сбриждивать сетевые на шлюзе1 eth1 и шлюзе2 eth1
>в документации описано, что сетевым картам не должны быть присвоены IP адреса
>
>я так понимаю что интерфейсам eth1 надо убрать сетевые настройки,
>а при построении моста появится интерфейс tun которому и присвоить адрес.

почти
есть eth1 с него убираем АйПи адрес
есть tun0 который мы делаем командой `openvpn --mktun --dev tun0`
есть br0 который мы делаем командами
`brctl addbr br0
brctl addif br0 eth1
brctl addif br0 tun0'
и назначение  которого как раз перекидывать пакеты между eth1 и tun0
ему мы и назначаем АйПи адрес.
Потом запускаем опенвпн.

В нашем случае поднимаем опенвпн на обеих шлюзах, на одном делаем
'ifconfig br0 172.16.0.1 netmask 255.255.255.0 broadcast 172.16.0.255'
на другом
'ifconfig br0 172.16.0.2 netmask 255.255.255.0 broadcast 172.16.0.255'
наверное должно заработать :-)


>а в качастве адресов для параметров local и remote указать айпишники провайдера...

да

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 02-Авг-07, 09:50 
>В нашем случае поднимаем опенвпн на обеих шлюзах, на одном делаем
>'ifconfig br0 172.16.0.1 netmask 255.255.255.0 broadcast 172.16.0.255'
>на другом
>'ifconfig br0 172.16.0.2 netmask 255.255.255.0 broadcast 172.16.0.255'
>наверное должно заработать :-)

так, вроде все понял.
еще один момент, а если на сетовой карте был адрес 172.16.0.1, а теперь станет присвоен br0, то получается что br0 связан с eth1 на физическом уровне?
пингуя адрес 172.16.0.1 будет отвечать br0 через eth1?
заранее извиняюсь за тупость...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Salamander (ok) on 02-Авг-07, 23:26 
>[оверквотинг удален]
>>на другом
>>'ifconfig br0 172.16.0.2 netmask 255.255.255.0 broadcast 172.16.0.255'
>>наверное должно заработать :-)
>
>так, вроде все понял.
>еще один момент, а если на сетовой карте был адрес 172.16.0.1, а
>теперь станет присвоен br0, то получается что br0 связан с eth1
>на физическом уровне?
>пингуя адрес 172.16.0.1 будет отвечать br0 через eth1?
>заранее извиняюсь за тупость...

да правильно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Xela email(ok) on 01-Авг-07, 10:26 
1) Необходимо в конфиге openvpn как на стороне клиента, так и на стороне сервера использовать dev tap
2) На сервере, необходимо что бы интерфейс tap был сбриджован с настоящим физическим интерфейсом локальной сети. Пример:

bge0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=18<VLAN_MTU,VLAN_HWTAGGING>
        inet 10.123.190.2 netmask 0xffff0000 broadcast 10.123.255.255
        ether 00:19:bb:c6:42:ba
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
tap0: flags=8942<BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 00:bd:aa:f9:d6:00
        Opened by PID 64990
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether fe:74:f3:2c:36:62
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: tap0 flags=3<LEARNING,DISCOVER>
        member: bge0 flags=3<LEARNING,DISCOVER>

Отсюда видно, что tap0 не имеет адреса и поставлен в бридж с bge0(локальная сеть).
Для этого рекомендую использовать опции client-connect и client-disconnect приблизительно следующим образом:

client-connect /usr/local/etc/openvpn/client-connect.sh
client-disconnect /usr/local/etc/openvpn/client-disconnect.sh

client-connect.sh:
#!/bin/sh

/sbin/ifconfig bridge0 addm $dev
exit 0

client-disconnect.shЖ
#!/bin/sh

exit 0

Так же на сервере должна быть опция:
server-bridge 10.123.0.1 255.255.0.0 10.123.170.2 10.123.170.128

здесь первый аргумент --- шлюз, второй маска сети, началj динамического диапазона, конец динамического диапазона. Клиенту, если не указано другое будет выдаваться адрес из этого даипазана, маска, и шлюз.

Со стороны клиента, если openvpn установлен на роутере, так же интерфейс tap должен быть сбриджован с интерфейсом ЛАН, и ВСЕ МАШИНЫ в клиентской сети должны иметь адресе из диапазона УДАЛЕННОЙ ЛАН, то есть, в примере это 10.123.0.0/16


Все примеры приеведены для FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Cyber email(??) on 01-Авг-07, 14:16 
>[оверквотинг удален]
>динамического диапазона. Клиенту, если не указано другое будет выдаваться адрес из
>этого даипазана, маска, и шлюз.
>
>Со стороны клиента, если openvpn установлен на роутере, так же интерфейс tap
>должен быть сбриджован с интерфейсом ЛАН, и ВСЕ МАШИНЫ в клиентской
>сети должны иметь адресе из диапазона УДАЛЕННОЙ ЛАН, то есть, в
>примере это 10.123.0.0/16
>
>
>Все примеры приеведены для FreeBSD.

мдяя....
а просто нельзя написать пример для моего случая?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "OpenVpn бриджинг - недогоняю..."  
Сообщение от Salamander (ok) on 01-Авг-07, 15:47 
>[оверквотинг удален]
>Для объеденения локалок поднял туннели через iproute2, все работает.
>Не работают некоторые сетевые приложения и игры.
>Для этого хочу поднять OpenVPN в режиме бриджинга, что бы сделать одно
>адресное простанство.
>В описании по настройке опенвпн сказано, что интерфейсы не должны иметь сетевых
>адресов.
>А через что они тогда бридживаться будут?
>Простите за тупость, можно привести кратких конфиг для моей конфигурации?
>
>Спасибо!

https://www.opennet.ru/base/net/remote_bridging.txt.html
вот еще вариант

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру