Прошу помощи в настройке нетривиальной маршртутизации

0

2

Дорогие друзья, здравствуйте! Прошу помощи в решении задачи. Есть сервер с виртуализацией на Proxmox который имеет внешний интерфейс со статическим адресом и vmbr-интерфейс-мост, который вещает локальную сеть на свои контейнеры и виртуальные машины сетью 192.168.1.0/24. Виртуалки в нем ходят в инет через NAT настроенный shorewoll-ом на гипервизоре, все довольны. Так же shorewoll-ом проброшены некоторые порты с гипервизора на локальные виртуалки для доступа из вне. Одна из виртуалок несет собой роль OpenVpn-сервера и имеет адрес 192.168.1.2 для локального интерфейса и 10.8.0.1 для tun-интерфейса, которым и раздает сеть 10.8.0.0/24 своим ovpn клиента, которые подключаются к ней из-вне редиректом порта через NAT на гипервизоре. Все работает на этом моменте, без проблем. Клиент видит сервер и наоборот. Совсем в другом физически месте так же есть сеть, во главе с аппаратным Mikrotik, который так же имеет внешний статический адрес и дает локальную четь 10.255.255.0/24 своим клиентам. Задача состоит в том, что необходимо объединить локальные сети микротика (10.255.255.0/24) и гипервизора (192.168.1.0/24), посредством openvpn, клиент которого успешно поднят мной на микроте. Т.е. овпн-сервер и микротик-клиент успешно пингуют друг друга в рамках впн-сети 10.8.0.0/24 но не более того. Нарисовал небольшую картинку, что бы помогающим было проще вникать, живет тут: https://yadi.sk/i/c_WSxB8LrePmgQ Пожалуйста, помогите. Увы - не силен в маршрутизации. Все необходимы конфиги могу приложить, если нужно. Заранее спасибо!

Ссылка

←	Загрузочный сервер (PXE-server)

strongswan l2tp + ike2

→

Выложи картинку куда-нибудь ещё, этот твой joxi показывает рекламу, но не картинку, даже если выполнение сторонних скриптов включить

XMs ★★★★★
(10.12.19 12:19:27 MSK)

Ответ на: комментарий от XMs 10.12.19 12:19:27 MSK

Пардоньте, уважаемые. Перезалил на ЯД: https://yadi.sk/i/c_WSxB8LrePmgQ

ROMANOFF174
(10.12.19 12:22:18 MSK) автор топика

google: openvpn site-to-site

Deleted
(10.12.19 12:25:43 MSK)

Ссылка

Ответ на: комментарий от ROMANOFF174 10.12.19 12:22:18 MSK

Так а в чём, собственно, проблема? Банальная маршрутизация из сети в сеть, разве нет?

XMs ★★★★★
(10.12.19 12:37:23 MSK)

Ответ на: комментарий от XMs 10.12.19 12:37:23 MSK

Понимаю, что надо вписать пару маршрутов, но не могу понять где и как. Зарылся. Прошу - тыкните носом.

ROMANOFF174
(10.12.19 12:40:06 MSK) автор топика

Ответ на: комментарий от ROMANOFF174 10.12.19 12:22:18 MSK

Тебе нужно настроиться, что бы на микротике был прописан маршрут:
192.168.1.0/24 via 10.0.8.1

А на шлюзе сети 192.168.1.0/24 был прописан маршрут:
10.255.255.0/24 via 10.0.8.2

Что у тебя является шлюзом для всех клиентов сети 192.168.1.0/24 тебе виднее.

infomeh ★★
(10.12.19 12:43:23 MSK)

Ответ на: комментарий от infomeh 10.12.19 12:43:23 MSK

Спасибо, сейчас попробую

ROMANOFF174
(10.12.19 12:49:33 MSK) автор топика

Ответ на: комментарий от ROMANOFF174 10.12.19 12:40:06 MSK

Уже ответили, но добавлю: после того, как пропишешь маршруты руками и убедишься, что всё работает, погугли, как через openvpn раздавать маршруты клиентам. Чтоб после каждой перезагрузки не прописывать

XMs ★★★★★
(10.12.19 12:50:36 MSK)

Ссылка

Ответ на: комментарий от ROMANOFF174 10.12.19 12:49:33 MSK

Тебе нужно настроиться, что бы на микротике был прописан маршрут: 192.168.1.0/24 via 10.0.8.1

Для этого в конфиг openvpn-сервера надо добавить строку:

push "route 192.168.1.0 255.255.255.0"

Serge10 ★★★★★
(10.12.19 15:18:09 MSK)

Ответ на: комментарий от Serge10 10.12.19 15:18:09 MSK

Маловато будет

Tun - отдельный маршрутизатор не принимающий системные маршруты. нужен отдельный конфиг для каждого клиента с:

[code]iroute <сеть клиента>[/code]

libert0
(10.12.19 16:55:35 MSK)
Последнее исправление: libert0 10.12.19 17:00:17 MSK (всего исправлений: 1)

Ответ на: Маловато будет от libert0 10.12.19 16:55:35 MSK

Tun - отдельный маршрутизатор не принимающий системные маршруты. нужен отдельный конфиг для каждого клиента

Ничего не понял :(. У автора всего один клиент, судя по исходному сообщению. Который получит соответствующий маршрут с сервера при наличии в конфиге сервера строчки, которую я приводил выше.

Или Вы про то, что нужен еще маршрут из сети 192.168.1.0 в сеть 10.255.255.0? Так его надо на шлюзе по умолчанию для сети 192.168.1.0/24 прописывать, выше об этом уже написали.

Serge10 ★★★★★
(10.12.19 18:27:13 MSK)

Ответ на: комментарий от Serge10 10.12.19 18:27:13 MSK

В vpn на tun надо все маршруты вносить в конфиг vpn. Vpn в этом режиме - отдельный роутер.

libert0
(11.12.19 07:28:52 MSK)

Ссылка

Частично уже ответили выше, подводя итог.
1. На сервере ovpn в конфиг или в ccd клиента(по вкусу) push "route 192.168.1.0 255.255.255.0"
2. На сервере ovpn в ccd клиента прописать
iroute 10.255.255.0 255.255.255.0
3. На 192.168.1.1
ip route add 10.255.255.0/24 via 192.168.1.2

anc ★★★★★
(11.12.19 12:44:38 MSK)

Ответ на: комментарий от anc 11.12.19 12:44:38 MSK

Спасибо, все именно так. Помогло.

ROMANOFF174
(22.12.19 12:07:15 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Загрузочный сервер (PXE-server)

Admin

strongswan l2tp + ike2

→

Маловато будет

Похожие темы