The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Openvpn -> inet -> Router -> OpenVPN + Vrrpd"  +/
Сообщение от 2dfx (ok) on 06-Окт-09, 20:56 
Прошу помочь по настройкам…

Есть роутер, смотрит в интернет и в локальную сеть.
Есть два сервера openvpn c vrrpd.
Есть ещё один сервер с openvpn для удаленной стороны.

Загвоздка у меня вот в этом:
При подключении из «вне» не получается подключиться к openvpn серверу.
Не знаю даже куда смотреть. При пробросе порта на ip vrrpd шифрованный трафик перестает ходить, но если сделать аналогичное правило, например на ISA server, то соединение проходит на ура. Так же на виртуальный IP соединение проходит, когда «удаленный сервер» находится в локальной сети.


Правила на роутере:
iptables -A INPUT -d $EXT_GW1_IP1 -p udp --dport $OPVPN_PORT -j ACCEPT

iptables -t nat -A PREROUTING -d $EXT_GW1_IP1 -p udp --dport $OPVPN_PORT -j DNAT --to-destination $OPENVPN_CLS

iptables -t nat -A POSTROUTING -s $OPENVPN_SERVER1 -p udp --sport $OPVPN_PORT -o vlan3 -j SNAT --to-source $EXT_GW1_IP1
iptables -t nat -A POSTROUTING -s $OPENVPN_SERVER2 -p udp --sport $OPVPN_PORT -o vlan3 -j SNAT --to-source $EXT_GW1_IP1
iptables -t nat -A POSTROUTING -s $OPENVPN_CLS -p udp --sport $OPVPN_PORT -o vlan3 -j SNAT --to-source $EXT_GW1_IP1

OpenVPN сервера настроены на использование tun интерфейса и протокол udp
VRRPD на обоих серверах:   vrrpd -i eth1 -v 1 -n -p 50 $OPENVPN_CLS

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Openvpn -> inet -> Router -> OpenVPN + Vrrpd"  +/
Сообщение от ALex_hha (ok) on 06-Окт-09, 21:42 
Без схемы ничего не понятно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Openvpn -> inet -> Router -> OpenVPN + Vrrpd"  +/
Сообщение от 2dfx (ok) on 07-Окт-09, 13:11 
>Без схемы ничего не понятно

Удаленный сервер  -   Интернет  -  Роутер  -  VRRPD-два сервера OPENVPN

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Openvpn -> inet -> Router -> OpenVPN + Vrrpd"  +/
Сообщение от ALex_hha (ok) on 07-Окт-09, 15:06 
>>Без схемы ничего не понятно
>
>Удаленный сервер  -   Интернет  -  Роутер  
>-  VRRPD-два сервера OPENVPN

VRRPD - это отдельный сервер в локальной сети? Откуда в схеме взялся ISA сервер?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Openvpn -> inet -> Router -> OpenVPN + Vrrpd"  +/
Сообщение от 2dfx (ok) on 07-Окт-09, 16:07 
>>>Без схемы ничего не понятно
>>
>>Удаленный сервер  -   Интернет  -  Роутер  
>>-  VRRPD-два сервера OPENVPN
>
>VRRPD - это отдельный сервер в локальной сети? Откуда в схеме взялся
>ISA сервер?

ISA server использовался исключительно для тестов. В данной схеме он не нужен.
VRRPD это программа а-ля "Failover Cluster". Стоит на серверах вместе с openvpn

Может тогда лучше по другому спросить - кто-нибудь пробовал делать Failover Cluster из серверов OpenVPN?

Я долго копался и пришел к тому, что он создает шифованые пакеты с явно забитым IP получателя и отправителя, а пакеты с удаленного сервера приходят на виртуальный IP и он не понимает что делать с ними дальше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Openvpn -> inet -> Router -> OpenVPN + Vrrpd"  +/
Сообщение от ALex_hha (ok) on 07-Окт-09, 17:02 
>[оверквотинг удален]
>>VRRPD - это отдельный сервер в локальной сети? Откуда в схеме взялся
>>ISA сервер?
>
>ISA server использовался исключительно для тестов. В данной схеме он не нужен.
>
>VRRPD это программа а-ля "Failover Cluster". Стоит на серверах вместе с openvpn
>
>
>Может тогда лучше по другому спросить - кто-нибудь пробовал делать Failover Cluster
>из серверов OpenVPN?

нет, но не вижу проблем. RedHat Cluster Suite в помощь.

Или еще нужна и балансировка нагрузки?


>Я долго копался и пришел к тому, что он создает шифованые пакеты
>с явно забитым IP получателя и отправителя, а пакеты с удаленного
>сервера приходят на виртуальный IP и он не понимает что делать
>с ними дальше.

сложно сказать ибо не знаю как работает VRRPD. А без него подключается?
Кстати какой тип подключения? точка-точка?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру