Объединение двух локальных сетей [Решено]
DARIUS - 20 Июнь, 2012 - 10:01
Здравствуйте. Помогите пожалуйста решить следующий вопрос:
Имеем две локальные сети, в каждой из которых имеется по одному серверу или шлюзу (не знаю как правильно назвать) с двумя сетевыми картами
Сервер_1 - IP: 192.168.2.12 MASK: 255.255.255.0 соединен с Сервером_2 через интернет IP: 10.10.10.12 MASK: 255.0.0.0
Сервер_2 - IP: 192.168.3.11 MASK: 255.255.255.0 соединен с Сервером_1 через интернет IP: 10.10.10.11 MASK: 255.0.0.0
Как мне сделать чтобы локальные сети были друг для друга прозрачными, то есть с любого ПК из одной сети можно было пинговать любой ПК другой сети и наоборот?
Заранее благодарен.
Смотрите в сторону openvpn. Поднимаете на одном из шлюзов сервер openvpn, на другом ставите клиента. Настраиваете маршрутизацию и вауля - готово. Более конкретно поищите в том же гугле, например. Помню попадалась мне статья где описывался примерно ваш случай.
Да я уже все обыскал. Попадается, но не совсем то. Есть много описания настройки под pptp, перепробовал все, но все равно не пингуется. Поэтому и написал сюда - если можно пошагово.
У pptp есть небольшая проблема. Вернее в протоколе ipcp. Он немного не умеет передавать маршруты. Поэтому, скорее всего, проблема у тебя именно с машрутами, либо клиентскими фаерволами, которые режут весь входящий трафик, отличный от подсети, гле обитают юзвери.
Попробуй почитать вот эту статейку.
А под freeBSD и под кубунтой будут одинаковые настройки?
Конфиги - да.
Ну разве что немного изменить расположение файлов под себя.
Что бы более полно все объяснить не хватает информации.
1. Какая система на серверах и есть ли на них firewall
2. Что означает полный доступ? Нужен ли широковещательный трафик?
pptp не работал, но у меня несколько отделов поключены через openvpn. На серверах стоит debian.
Еще меня смущает вот это
соединен с Сервером_2 через интернет IP: 10.10.10.12 MASK: 255.0.0.0Это такой ip получает сервер? Он что за nat'ом сидит?
Система стоит kubuntu 12.04
Полный доступ - это значит что я с любого компьютера одной сети могу зайти (пропинговать) любой компьютер другой сети. (Ну например с компьютера 192.168.2.17 должен пинговаться компутер 192.168.3.15) и т.д.
10.10.10.12 с маской 255.0.0.0 - это психоделические адреса (эмулируют выделенные IP)
То есть в данном случае я создал модель с двумя компьютерами которые соединены друг с другом по адресу с одной стороны 10.10.10.11 и с другой стороны 10.10.10.11 напрямую (шнурок между двумя сетевыми на сервере 1 и сервере 2). На второй сетевой карте первого сервера локалка 192.168.2.12, а второго соответственно 192.168.3.11 (ниже приведен схематический чертеж)
http://mannix.ru/security/ustanovska-i-nastrojka-openvpn-na-linux.html
Попробуйте по этому описанию. Если что конкретно не получится или возникнут вопросы пишите сюда.
Огромное спасибо за статью, сделал все как там описывалось (ну конечно же под свои настройки - то есть вместо 82.12.20.34 у меня 10.10.10.12 ...) Единственное что - у меня при не дает доступ к файлу vpn.log (хотя ввожу через sudo). И еще #echo tun >> /etc/modules тоже не дала доступ, пришлось через nano вводить, хотя это не айс - надо же потом настройки сохранять чтобы они при загрузке устанавливались.
В конечном итоге сервера пингуют друг друга (причем как тонельные адреса, так и локальные). Правда на этом все и закончилось. Другие компы в сетях не пингуются. ifconfig почему-то в tun1 выдает маску 255.255.255.255 (хотя может это так и должно быть). Подскажите как мне теперь добиться пинга с любого компа в одной сети любого компа в другой. Заранее спасибо.
Боюсь, что теперь придётся настраивать каждый сервер отдельно. Ну, чтобы он пропускал и отдавал данные адреса. Хватит ли ковыряния в iptables я не знаю. Может возникнуть необходимость ковыряться ещё с чем-то.
Прочитал ещё раз. Если компьютеры не видны, то я бы очень серьёзно проверил команды "openvpn --remote" и "route add". Кроме них безобразничать некому.
Приведите таблицу маршрутов скажем на сервере1. Перенаправление пакетов между сетевыми интерфейсами разрешено? Параметр /proc/sys/net/ipv4/ip_forward - он должен быть в установлен в 1 Иначе ядро не будет перенаправлять пакеты между сетевыми интерфейсами. Еще бы хотелось посмотреть таблицу маршрутизации на клиентской машине.
Нет-нет-нет! Мы всё неправильно делаем. Мы пытаемся дать человеку какую-то обрывочную информацию. Так делать нельзя -- понимание того, что он делает будет ускользать.
Понимание... Я сейчас еще раз внимательно посмотрел, что написано и понял, что он vpn поднимает просто командой. Гораздо же проще работать через конфигурационные файлы. Там в самом начале есть даже примеры конфигов как для сервера, так и для клиента. Когда давал ссылку думал, что DARIUS будет действовать именно так. Хотя разницы конечно нет.
Это я как раз понимаю: человеку хотелось побыстрее, потому и не прописал конфиги. Пока ещё нету понимания, что здесь нахрапом не всегда получится. :-)
в ip_forward ставил 1 - никакой разницы.
Вот результат работы route при поднятом vpn^
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.2.1 0.0.0.0 UG 0 0 0 eth0
10.0.0.0 * 255.0.0.0 U 1 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth0
192.168.2.0 * 255.255.255.0 U 1 0 0 eth0
192.168.3.0 192.168.254.1 255.255.255.0 UG 0 0 0 tun1
192.168.254.2 * 255.255.255.255 UH 0 0 0 tun1
еще бы вывод команды ifconfig
И таблицу маршрутизации на машине из сети (за свичем)
ifconfig
eth0 Link encap:Ethernet HWaddr 50:e5:49:9d:e8:97
inet addr:192.168.2.12 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::52e5:49ff:fe9d:e897/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:146 errors:0 dropped:0 overruns:0 frame:0
TX packets:132 errors:0 dropped:0 overruns:0 carrier:1
collisions:0 txqueuelen:1000
RX bytes:14219 (14.2 KB) TX bytes:13555 (13.5 KB)
Interrupt:43
eth1 Link encap:Ethernet HWaddr 00:1b:21:ab:4c:f3
inet addr:10.10.10.12 Bcast:10.255.255.255 Mask:255.0.0.0
inet6 addr: fe80::21b:21ff:feab:4cf3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:65 errors:0 dropped:0 overruns:0 frame:0
TX packets:146 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:13799 (13.7 KB) TX bytes:23948 (23.9 KB)
lo Link encap:Локальная петля (Loopback)
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:68 errors:0 dropped:0 overruns:0 frame:0
TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5850 (5.8 KB) TX bytes:5850 (5.8 KB)
tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.254.1 P-t-P:192.168.254.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3 errors:0 dropped:0 overruns:0 frame:0
TX packets:15 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:252 (252.0 B) TX bytes:1260 (1.2 KB)
Что касается машины из сети, то на них windows xp
ipconfig выдает:
IP адрес: 192.168.2.15
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.2.1
И так на всех.
С сервера 1 они пингуются нормально, а вот с сервера 2 и его подсети 2 глухо
на ХР нужно выполнить route print. Но судя по тому, что написано нужно выполнить что то вроде этого (это на ХР)
route add 192.168.3.0 MASK 255.255.255.0 192.168.2.12Просто шлюз по умолчанию задан как 192.168.2.1 тогда как VPN сервер имеет адрес 192.168.2.12
Со стороны второго сервера нужно на ХР машинах сделать тоже самое, если, конечно умолчательный шлюз не совпадает с адресом машины на которой поднят VPN. Да и про ip_forward не забывайте - на обоих машинах с VPN должен быть 1.
Огромное спасибо!!!!!!!!! На локальных машинах поменял шлюзы и все заработало :-) Теперь вот надо автоматизировать процесс, чтобы при загрузке сразу подключался vpn. Это возможно сделать?
указать название сети в файле /etc/default/openvpn ?
# This is the configuration file for /etc/init.d/openvpn
#
# Start only these VPNs automatically via init script.
# Allowed values are "all", "none" or space separated list of
# names of the VPNs. If empty, "all" is assumed.
#
#AUTOSTART="all"
#AUTOSTART="none"
AUTOSTART="crasher dyug khmara izmail local"
#
# Refresh interval (in seconds) of default status files
# located in /var/run/openvpn.$NAME.status
# Defaults to 10, 0 disables status file generation
#
STATUSREFRESH=20
#STATUSREFRESH=0
# Optional arguments to openvpn's command line
OPTARGS=""
Во всяком случае, у меня это работает.
Название туннелей у меня соответствует их количеству.
Кстати, пару можно уже погасить... :-(
Создать конфигурационный файл с нужными параметрами и положить его в папочку /etc/openvpn. Файлу дать любое название с расширением .conf. В OpenVPN автоматически обрабатываются все файлы с расширением .conf находящиеся в папке /etc/openvpn
Да мне по большому счету побыстрее не надо, просто у меня опыта вообще нет в этом деле, вот я и спрашиваю профессионалов
Извиняюсь за долгое отсутствие. Проблема автоматизация решена? Или еще нет?
Еще нет, пока нужно было только настроить канал. Автоматизировать буду в августе (после отпуска). Большое спасибо за участие. Я в любом случае напишу о результатах.
Стало быть, так. Необходимо прочитать вот этот документ. И спросить, если что неясно. Также, если данного документа не будет хватать, нужно пройтись по ссылке в нём и прочитать более развёрнутую документацию. На дату документа смотреть не нужно -- он до сих пор вполне актуален.
Если после этого положение не удастся исправить, тогда будем буквально построчно разбирать, что есть и чего нету в iptables. Все другие пути ведут к недопониманию.
мне кажется, что firewall тут не причем. Проблема именно в маршрутах. Хотя честно говоря информацию приходится вытаскивать клещами. На вопрос об настройках файрволла я спрашивал выше.
Есть у меня мнение, что тривиально не прописаны всяческие "iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT" и оно же OUT. Потому никого и никуда не пускают. Но я могу ошибаться: конфигов я ведь не видел.
а где это можно посмотреть?
sudo iptables -L
sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Читать тот документ, ссылку на который я дал. Боюсь, что без этого никак.
Отправить комментарий