Wiki
Clone wikicomp-house.repo / debian-openvpn
Вариант сетевой организации. Openvpn работает отдельно от файрволла, при этом отдельного соединения с файрволлом нет, а иметь отдельную зону для подключившихся очень хочется.
Выход - создать самый простой и быстрый локальный gre-тунель на файрвол и на нем уже создать бридж для подключения клиентов к openvpn.
Соответственно, на файрволе и сервере появляются сетевые интерфейсы со своей маршрутизацией. Клиенты получают в openvpn адреса из подсети туннеля и весь трафик от них автоматом идет на файрволл, проходит правила и возвращается обратно.
Исходные данные:
- Название туннеля: tofw
- Адрес файрволла: 192.168.YYY.1
- Адрес сервера: 192.168.YYY.2
- ключ gre (необязательный): 1111
- Адрес файрволла в туннеле: 192.168.XXX.1
- Адрес сервера в туннеле: 192.168.XXX.2
- Подсеть туннеля (и клиентов): 255.255.255.0
- Сеть и широковещательный адрес для них же: 192.168.XXX.0 и 192.168.XXX.255 соответственно.
Файл /etc/network/interfaces
auto tofw iface tofw inet static mtu 1400 address 192.168.XXX.2 netmask 255.255.255.0 network 192.168.XXX.0 broadcast 192.168.XXX.255 bridge_ports tofw tap0 pre-up iptunnel add tofw mode gre local 192.168.YYY.2 remote 192.168.YYY.1 key 1111 ttl 255 pre-up openvpn --mktun --dev tap0 post-down openvpn --rmtun --dev tap0 post-down iptunnel del tofw
Updated