News:

Всегда выбирайте самый трудный путь - на нем вы не встретите конкурентов. Шарль де Голль

Main Menu

OpenVPN + организация связи между компьютерами в офисе и филиалах

Started by Андрей Половников, 24 May 2020, 14:15

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Андрей Половников

Добрый день!


Помогите, пожалуйста, разобрать со следующей задачей:

1. Главный офис с внутренней сетью 192.168.1.0, адрес VPN сервера 10.9.0.1, локальный адрес 192.168.1.90, роутер 192.168.1.1.

2. Филиал №1 с внутренней сетью 192.168.100.0, адрес VPN сервера 10.9.0.3, локальный адрес 192.168.100.8, роутер 192.168.100.1.

3. Филиал №2 с внутренней сетью 192.168.0.0, адрес VPN сервера 10.9.0.4, локальный адрес 192.168.0.100, роутер 192.168.0.1.

Везде стоят ОС Windows. Сервер OpenVPN и клиентские компьютеры OpenVPN пингуют друг друга как по 10.9.0.*, так и по внутренним IP.

Компьютеры в сетях за клиентскими OpenVPN не пингуют сервер OpenVPN и компьютеры, которые находятся в сети за сервером OpenVPN, но компьютеры в сети за сервером OpenVPN могут пинговать клиентские компьютеры OpenVPN и компьютеры в сетях за клиентскими OpenVPN.

На сервере и на клинских OpenVPN предоставлен доступ TAP-Windows Adapter V9 через локальный адаптер подключения к локальной сети.

Самое интересное, если я на сервере OpenVPN через локальный адаптер подключения к локальной сети убираю доступ для OpenVPV, а потом снова разрешаю (при этом исправляя в адаптере OpenVPN ip 192.168.137.111 на 10.9.0.1 или ставлю получать IP адрес автоматически), то начинают наоборот пинговаться компьютеры в сети за сервером OpenVPN c компьютеров в сети за клиенскими OpenVPN.

Если я перезагружаю сервер OpenVPN, то опять компьютеры в сетях за клиентскими OpenVPN не пингуют компьютеры, которые находятся в сети за сервером OpenVPN, но компьютеры в сети за сервером OpenVPN могут пинговать компьютеры в сетях за клиентскими OpenVPN.


Установил openvpn-install-2.4.9-I601-Win10.exe


Файл ServerVPN.ovpn:

dev-node "ServerVPN"

mode server

port 8989

proto tcp4-server

dev tun

tls-server
tls-auth c:\\OpenVPN\\ssl\\Secret.key 0

tun-mtu 1492
tun-mtu-extra 32
mssfix 1450

dh c:\\OpenVPN\\ssl\\dh2048.pem

ca c:\\OpenVPN\\ssl\\ca.crt

cert c:\\OpenVPN\\ssl\\ServerVPN.crt

key c:\\OpenVPN\\ssl\\ServerVPN.key

server 10.9.0.0 255.255.255.0

client-to-client

keepalive 10 120

cipher AES-256-CBC

comp-lzo
persist-key
persist-tun

client-config-dir "c:\\OpenVPN\\config"

verb 3

route 10.9.0.0 255.255.255.0

route 192.168.100.0 255.255.255.0 10.9.0.3
route 192.168.0.0 255.255.255.0 10.9.0.4

push "route 192.168.1.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"

route-delay 5

route-method exe

route-gateway 10.9.0.1

topology subnet



Файл ClientVPN1_SHM:

ifconfig-push 10.9.0.3 255.255.255.0

iroute 192.168.100.0 255.255.255.0

push "192.168.100.0 255.255.255.0"

push "route-gateway 10.9.0.1"



Файл ClientVPN2_SHM:

ifconfig-push 10.9.0.4 255.255.255.0

iroute 192.168.0.0 255.255.255.0

push "route 192.168.0.0 255.255.255.0"

push "route-gateway 10.9.0.1"


Файл ClientVPN1_SHM.ovpn

remote *.*.*.*

client

port 8989

proto tcp4-client

dev tun

tls-client

remote-cert-tls server

tls-auth c:\\OpenVPN\\ssl_SHM\\secret.key 1
tun-mtu 1492
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10

ca c:\\OpenVPN\\ssl_SHM\\ca.crt

cert c:\\OpenVPN\\ssl_SHM\\ClientVPN1_SHM.crt

key c:\\OpenVPN\\ssl_SHM\\ClientVPN1_SHM.key

cipher AES-256-CBC

comp-lzo
persist-key
persist-tun

pull

verb 3

mute 20

route-delay 5
route-method exe


Уваров А.С.

Прописывать адреса руками - вчерашний день. Поэтому в конфиге сервера:

ifconfig-pool-persist ipp.txt
Затем вместо этого блока:

route 10.9.0.0 255.255.255.0

route 192.168.100.0 255.255.255.0 10.9.0.3
route 192.168.0.0 255.255.255.0 10.9.0.4

push "route 192.168.1.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"

Оставляем только:

route 192.168.100.0 255.255.255.0
route 192.168.0.0 255.255.255.0

push "route 192.168.1.0 255.255.255.0"

В ccd первого офиса:

iroute 192.168.100.0 255.255.255.0

push "192.168.0.0 255.255.255.0"

второго

iroute 192.168.0.0 255.255.255.0

push "192.168.100.0 255.255.255.0"


Затем на роутерах необходимо добавить маршруты:

Центральный офис:

192.168.0.0/24 gw 192.168.1.90
192.168.100.0/24 gw 192.168.1.90


Офис 1

192.168.1.0/24 gw 192.168.100.8
192.168.0.0/24 gw 192.168.100.8

Офис 2

192.168.1.0/24 gw 192.168.0.100
192.168.100.0/24 gw 192.168.0.100


Ну и почистить конфиг от всякого мусора не помешает, у вас там куча устаревших и бесполезных инструкций. Вместе с поставкой OpenVPN идут sample-файлы с образцовыми конфигами, возьмите их за основу и отредактируйте.