Απορίες περί opeVPN - vpn γενικά...

Πληροφορίες σχετικές με τα τοπικά δίκτυα, WiFi, τον εξοπλισμό, τις εφαρμογές τους και σχετικό λογισμικό.

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Απορίες περί opeVPN - vpn γενικά...

Δημοσίευση από mechpanos » 30 Αύγ 2013 10:23

Καλημέρα! Στήνω το δικό μου openVPN στο τοπικό δίκτυο του γραφείου, με βασικό σκοπό να μπορώ να συνδέομαι (εγώ ή συνεργάτες), για να έχουμε πρόσβαση σε κάποιες εφαρμογές που τρέχουν στο δίκτυο.

Ωστόσο, με το που εγκατέστησα και άνοιξα το openVPN, μου έβγαλε την προειδοποίηση, ότι το δίκτυο είναι της μορφής 192.168.1.X που είναι κοινότυπο, και μπορεί να δημιουργεί conflicts αν πάω να συνδεθώ από παρόμοιο δίκτυο.
Αυτό δεν το είχα σκεφτεί και πράγματι έχει λογική, όμως το να καθίσω να αλλάξω ip range και subnet mask σε όλο το δίκτυο δεν το βλέπω, θα πρέπει να ρυθμιστούν όλοι οι Servers από την αρχή.
Από την άλλη, άντε πες κάθομαι και αλλάζω τις ρυθμίσεις του σπιτιού, που είναι το ίδιο ip range, σε κάτι άλλο. Δεν μπορώ όμως να κάνω το ίδιο για τους συνεργάτες, ούτε να εξαρτώμαστε από αυτό.
Θα ήθελα να μάθω, αν υπάρχει κάποια άλλη λύση/ ρύθμιση / γνώμη, σε αυτό.
Κατά τα άλλα, το openVPN δούλεψε, αλλά ο server είχε διεύθυνση 10.8.0.1 και εγώ 10.8.0.5 και πέραν αυτού δεν έβλεπα κανένα άλλο μηχάνημα, ενώ και η εφαρμογή που τρέχει επάνω του είναι ρυθμισμένη να απαντά σε διευθύνσεις από 192.168.1.Χ και δεν μου άνοιγε απομακρυσμένα...


Επίσης το άλλο που έχω απορία (άσχετη με το πρόβλημά μου όμως), εφόσον βγαίνεις στο internet μέσω της public ip σου, πώς είναι δυνατόν να ρυθμίσεις να μπαίνεις μέσω του vpn, αφού αυτό είναι απομακρυσμένο? Ή το κάνεις μόνο για http traffic? Και τί ρυθμίζεις για να μην κατεβάζεις από την δική σου πραγματική ip, αλλά από του vpn?
Πύργος θεός Πανηλειακός!!

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10250
Εγγραφή: 28 Ιούλ 2001 03:00

Απορίες περί opeVPN - vpn γενικά...

Δημοσίευση από Cha0s » 02 Σεπ 2013 13:41

Αρχικά το θέμα με το conflict μεταξύ των δικτύων είναι κάτι που αναλόγως του τι θες να κάνεις με το VPN λύνεται ή όχι.

Αν σε νοιάζει μόνο να έχεις πρόσβαση σε μία συγκεκριμένη υπηρεσία/εφαρμογή, με λίγο NAT όλα γίνονται.
Αν θες να έχεις πρόσβαση σε όλο το δίκτυο του γραφείου σαν να ήσουν εκεί με το Laptop σου πχ, τότε αν παίζει conflict του δικτύου του σπιτιού σου πχ με το δίκτυο του γραφείου, τότε δεν μπορείς να κάνεις και πολλά πέρα από το renumbering ή 1:1 NAT.

Είπες ότι δούλεψε αλλά δεν έβλεπες κανένα άλλο μηχάνημα.
Τα υπόλοιπα μηχανήματα είναι στο ίδιο subnet (10.8.0.0/24) ;

Γιατί αν δεν είναι τότε είναι λογικό να μην τα έβλεπες.

Πχ αν το δίκτυο του γραφείου είναι 192.168.1.0/24 και οι IPs του VPN 10.8.0.0/24
Αφενός χρειάζεσαι static route προς το subnet 192.18.1.0/24 ώστε να ξέρει το PC σου ότι αυτά τα πακέτα θα τα δρομολογήσει μέσω του VPN, αφετέρου αν το μηχάνημα που τρέχει το OpenVPN server δεν είναι ο router του δικτύου σου, θα χρειαστεί είτε static route στον router του γραφείου να λέει ότι το 10.8.0.0/24 θα δρομολογηθεί μέσω της IP του OpenVPN server είτε κάποιο NAT ώστε τα πακέτα από το VPN να μεταφράζονται σε 192.168.2.χ και να μπορείς να δεις τα μηχανήματα στο δίκτυο.


Σχετικά με την τελευταία σου ερώτηση δεν πολύ κατάλαβα τι εννοείς.
Αν σετάρεις το VPN να σου δρομολογεί όλη την κίνηση μέσω αυτού (use ως default gateway το VPN δηλαδή) τότε το μόνο connection που θα κάνεις με την public IP σου θα είναι προς το VPN.
Όλα τα υπόλοιπα θα είναι μέσα από το VPN.

Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Απορίες περί opeVPN - vpn γενικά...

Δημοσίευση από mechpanos » 02 Σεπ 2013 14:09

Ευχαριστώ για τις διευκρινίσεις, γενικά δεν το έχω καταλάβει το θέμα vpn καθόλου και τώρα σιγά - σιγά το ψάχνω.

Όλο το δίκτυο του γραφείου, λοιπόν, είναι 192.168.1.0/24.
Ομοίως και του σπιτιού.
Εμένα βασικά με ενδιαφέρει η πρόσβαση (σε πρώτη φάση), σε έναν server που έχει IP 192.168.1.6, ο οποίος τρέχει μια συγκεκριμένη εφαρμογή.
Στον server αυτόν, έχω εγκαταστήσει και το openvpn server, όπου πήρε διεύθυνση 10.8.0.1 για το openvpn interface, χωρίς να κάνω εγώ κάποια ρύθμιση (από default).
Ωστόσο από το laptop (client) που πήρε διεύθυνση 10.8.0.5, ενώ ήταν επιτυχής η σύνδεση με τον server, δεν ήταν δυνατόν να ανοίξει η εφαρμογή γιατί είναι ρυθμισμένη να απαντάει στο δίκτυο 192.168.1.Χ...
Ο οδηγός που χρησιμοποίησα, ήταν αυτός:
https://community.openvpn.net/openvpn/w ... dows_Guide

Επομένως, το ξέρω ότι είναι λογικό αυτό που έγινε και ότι δεν τρέχει, αλλά δεν ξέρω τι πρέπει να κάνω. Αυτό το "λιγο NAT" μπορείς να το εξηγήσεις λίγο περισσότερο όταν έχεις ευχέρεια χρόνου;
Πύργος θεός Πανηλειακός!!

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10250
Εγγραφή: 28 Ιούλ 2001 03:00

Απορίες περί opeVPN - vpn γενικά...

Δημοσίευση από Cha0s » 02 Σεπ 2013 15:00

Σχετικά με το ότι δεν παίζει η εφαρμογή ενώ βλέπεις τον server, είναι θέμα της εφαρμογής υποθέτω.

Τώρα, για το NAT στην ουσία είναι ότι κάνει το modem σου για να βγεις στο internet.

Στο LAN σου έχεις 192.168.χ.χ διευθύνσεις που δεν δρομολογούνται στο internet.
Έτσι ο router σου κάνει NAT (Network Address Translation) μεταφράζοντας τις IPs του LAN σου στην public IP σου που έχει πάρει από τον ISP σου.

Αντίστοιχα η τεχνική του NAT μπορεί να χρησιμοποιηθεί ώστε μέσω του VPN να μπορείς να δεις διευθύνσεις που δεν ρουτάρονται απευθείας.
Πχ παίρνεις IP 10.8.0.X αλλά δεν μπορείς να δεις κανένα άλλο μηχάνημα στο γραφείο επειδή τα μηχανήματα του γραφείου δεν ξέρουν πως να επιστρέψουν τα πακέτα σε αυτή την IP (γιαυτό ανέφερα ένα static route στον router του γραφείου)
Οπότε κάνοντας NAT όλα τα connections από το VPN προς το γραφείο, θα μεταφράζονται με NAT από 10.8.0.Χ σε 192.168.1.6 (την IP του server) και έτσι τα μηχανήματα του γραφείου που ξέρουν πως να φτάσουν στην 192.168.1.6 θα μπορούν να απαντήσουν στα requests σου.

Ή με το 1:1 NAT στην ουσία χρησιμοποιείς κάποιο ξεκάρφωτο range πχ 10.233.233.0/24 το οποίο όποτε το χτυπάς από το VPN το μεταφράζει αυτόματα σε 192.168.1.χ

Έτσι αν θες από το δίκτυο του σπιτιού που μπορεί να έχει και αυτό 192.168.1.x να δεις το δίκτυο του γραφείου που έχει το ίδιο range, μπορείς με το κατάλληλο NAT να βάλεις χτυπώντας την IP 10.233.233.6 να την μεταφράζει αυτόματα σε 192.168.1.6 και έτσι να βλέπεις το γραφείο.

Ωστόσο αυτό προϋποθέτει εξοπλισμό/software που να τα κάνει όλα αυτά.

Σε Windows με σκέτο OpenVPN δεν νομίζω να γίνεται (δεν ξέρω κιόλας - δεν έχω ασχοληθεί πολύ με τα VPNs στα Windows).

Με ένα Mikrotik Routerboard όμως (από ~30ευρώ ξεκινάνε) μπορείς να κάνεις αυτά και άλλα τόσα χωρίς να χρειαστείς να τρέχεις τίποτα στον windows server (openvpn ή ότιδήποτε άλλο).

Η και με ένα linux router θα μπορούσε να γίνει η δουλειά ανάλογα τις γνώσεις σου πάνω σε αυτό.

Ενδεχομένως να υπάρχουν σχετικά software να υλοποιηθεί κάτι τέτοιο και σε windows, απλά προσωπικά δεν χρησιμοποιώ πουθενά windows για routing/firewall/vpn/whatever :P οπότε δεν ξέρω να σου προτείνω κάτι.


Πάντως η γνώμη μου είναι αν μπορείς να αποφύγεις το NAT κάντο. Το ιδανικό είναι όλα τα connections να είναι routed χωρίς NAT.
Λύνει πολλούς πονοκεφάλους αν κάτι δεν παίζει κάποια στιγμή, και μπορείς έπειτα να δουλέψεις και πρωτόκολλα τύπου VoIP μέσω του VPN.

Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Απορίες περί opeVPN - vpn γενικά...

Δημοσίευση από mechpanos » 02 Σεπ 2013 15:06

cha0s κάποια στιγμή έτσι θα γίνει.
Για παράδειγμα, αργά ή γρήγορα θα καθιερωθεί voip τηλεφωνικό κέντρο, οπότε μπορεί να είμαι σπίτι και με την κατάλληλη ρύθμιση και με vpn να έχω μια συσκευή που θα λειτουργεί σαν να ήμουν στο γραφείο.
Έχε χάρη που όταν έκανε διάφορα προβλήματα το παλιό τηλεφωνικό κέντρο, πρόλαβε ο ΟΤΕ και μας πούλησε ένα τηλ. κέντρο Astra Detewe χωρίς να το ψάξουμε για κάτι εναλλακτικό πχ Asterisk!
Πύργος θεός Πανηλειακός!!

Απάντηση

Επιστροφή στο “Δίκτυα, WiFi και εφαρμογές”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες