OpenVPN +TUN + client to client

[gmann1]

Caute,

kedze som uz v koncoch a ani po dlhom googlovani som nenasiel vhodne riesenie, potreboval by som pomoct snad uz s 100x omielanym problemom  .

Mam VPS(OpenVPN) server (Ubuntu 12.04; 10.8.0.1/24), ktory ma sprostredkovat spojenie medzi klientami a to tak, ze kazdy "klient 1+" by sa mal vediet dostat na "klienta 0" (Ubuntu 12.04; 10.8.0.4) a skrze neho do siete za nim (postaci mi protokol RDP, port 3389  ) ...tj. do LAN 10.0.10.0/23, resp. 10.0.11.0/23.

Hladal som uz riesenia a nejak som sa zamotal vo vsetkych-moznych rout-och a iptables-och, som  v koncoch.

Vie mi niekto pomoct s tymto zapeklitym problemom ?

Dikec.

[Petr Merlin Vaněček]

V první fázi:
client-to-client

V druhé fázi - pokud se chceš dostat i na zařízení ZA klientem, musí klient a) routovat b) klient vzdálený musí vědět, že se daná síť nachází za nějakým jiným klientem. Tohle řeš buď statickou routou pushnutou OpenVPN serverem, nebo nastavením OpenVPN serveru jako default GW pro klienty s tím, že statické routy nastavíš tam.

[gmann1]

1, mam dane v configu 

2, toto aj teoreticky viem, ze musim .... zial neviem ako presne na tie routy 

[Petr Merlin Vaněček]

Nu, pak tady bude zakopaný problém.
https://openvpn.net/index.php/open-source/documentation/howto.html

[gmann1]

To som tiez pozeral, zial ako vravim, neviem ako urobit (prakticky) tu route tabulku - minimalne na "Client0", kt. by mal byt GW pre siet 10.0.10/11 , aby preposielal vsetky poziadavky na real eth0  .

[Petr Merlin Vaněček]

Základem je zapnout proxy_arp a forwarding jak na klientovi, tak na centrálním routeru (VPN Serveru)
Proxy ARP proto, aby GW odpovídala i na požadavky na stroje ARP "schované" za GW, forwarding proto, že je v defaultu vypnutý.

Mějme síť 192.168.2.0/24 za klientem (GW) s IP 192.168.2.1 na jednom rozhraní a s IP 192.168.1.2/24 na druhém.
Pak 192.168.2.1 musí být pro subnet 192.168.2.0/24 výchozí GW, čiliže všechny požadavky netýkající se lokáního rozsahu budou směřovány přes tuto GW. Na klientu (192.168.2.1) bude ovšem výchozí GW 192.168.1.1 (VPN Server), čiliže veškeré požadavky (i ty přesměrované) budou směřovány tam.

Aby ale nebyla GW 192.168.1.1 (VPN Server) zmatená (protože neví, kde leží rozsah 192.168.2.0/24), musíme jí to říci:

Kód: [Vybrat]

# ip route add 192.168.2.0/24 via 192.168.1.2

V této situaci tedy veškeré požadavky, které spadají do subnetu 192.168.2.0/24 GW 192.168.1.1 forwarduje na klienta (GW) 192.168.1.2, čiliže třeba i ty požadavky, které půjdou z obdobně nastaveného subnetu 192.168.3.0/24

Tohle je topologie "do hvězdy" která není odolná vůči výpadku centrálního routeru, nicméně vzhledem k tomu, že ten router stejně dělá VPN  server, je to asi šumák. Navíc všechna data jsou relativně snadno kontrolovatelná a tvarovatelná v jednom jediném místě.

[gmann1]

Super, asi uz chapem .... dik za postrcenie  (a ide sa skusat)