Нужна помощь. Пожалуйста, не направляйте на другие топики или ссылки если он напрямую не касаются моей проблемы.
Как только смогу успешно завести сеть, обещаю в течение 2 недель напишу подробную статейку и скину сюда на форум.
Я прочитал 2 книги по OpenVPN (Beginning to OpenVPN and OpenVPN Cookbook) но все же есть вопросы.
У нас имеются 14 филиалов. Взяли у провайдера сеть типа 10.0.23.0/30 для каждого филиала. Первый адрес для шлюза, а второй для OpenVPN сервера. В каждом филиале по 2-4 станции и OpenVPN сервер. Скорость канала в главном офисе 1024 кб/сек, а в филиалах 256. В главном офисе имеются сервера Database, Web, Active Directory, DNS, DHCP, NTP и др. Рисунок 1. Общая структура сети. http://foto.mail.ru/bk/hika/_myphoto/57.html
Необходимо объединить филиалы в одну сеть, но чтобы филиалы друг-друга не видели, а только головной офис. Также шеф не хочет чтобы на каждой станции хранились ключи и сертификаты. Поэтому решил организовать Site to Site OpenVPN сеть, где о сети VPN знают только сервера OpenVPN, а для всех других шлюзом являются OpenVPN сервера.
Все клиентские станции должны аутентифицироваться в Active Directory (windows 2003) domain. Только после этого им разрешается доступ к Web server.
Знаю, что имеются 2 режима: Ethernet bridging и routing.
Вопросы:
Стоит ли использовать Ethernet bridging. Если да, то вся сеть будет как локальной? Если да, то как мне отсечь филиалы друг от друга?
Если использовать routing, то, как мне передавать удаленным станциям IP адрес от DHCP server в головном офисе?
Если это невозможно, то могу ли я через DHCP relay передавать запросы?
Какие подводные камни имеются при использовании Active Directory через OpenVPN?
Не стоит. гонять все широковещалки канального уровня главного офиса еще и по филиалам, да еще и с такими небольшими скоростями соединение с филиалами, смысла мало. Хотя это отчасти решало бы проблему с DHCP.
Вопрос поставлен не очень правильно, что для вас локальная сеть не понятно. Сам не разу такой режим не настраивал, но из названия выходит что передаться в тунели будут не tcp\ip пакеты, а пакеты Ethernet. То есть спускаемся на канальный уровень.
В файле настроек сервера есть параметр
client-to-client
если он активирован, клиенты могут общаться между собой, по умолчанию он неактивен.
Если хотите централизовано то наверно надо что то придумывать с DHCP relay, но как говорится не пробовал, не знаю получится или нет. Второй вариант в каждом филиале свой DHCP или вообще вручную ip адреса указывать, машин вроде не много у вас, может так и проще.
Вообще openVPN сервер, своим клиентам адреса раздает, в файле можно все настроить, в вашем случае под клиентами я понимаю шлюзы в филиалах, которые будут соединятся с сервером в основном офисе. Но вот выдавать адреса во внутреннюю сеть он точно не умеет.
Ну в данной схеме с отдельным шлюзом устанавливающим соединение, с Active Directory это вообще ни как не связано, и камней по идеи быть не должно, кроме пожалуй медленного и не надежного канала к контроллеру домена. И необходимость использовать DNS сервер главного офиса или в каждом филиале по кеширующему серверу с хитрыми настройками зон.
Это все можно организовать примерно в таком виде:
*в головном офисе VPN server (ну и DHCP, DNS и прочее по желанию)
*в филиалах шлюзы с VPN клиентом и DHCP сервером.
*каждая сеть будет иметь свой диапазон ip адресов. Например, головной офис 192.168.0.0/24, филал 1 - 192.168.1.0/24 и т.д.
у Вас в итоге должно получиться - сеть провайдера 10.0.23.0/30, сеть VPN (например 172.16.0.0/24) и сети офсов 192.168.х.0/24.
дальше нужно будет просто настроить маршрутизацию.
По ходу пропиарю ресурс draft.xboct.org.
Я его сделал как черновик для будущих статей или просто сбора полезной информации.
Поэтому, просьба (не отходя от кассы или пока горячо) выложить туда описание, примеры конфигов и прочее, что может помочь другим в решении подобных проблем.