VPN na stejném rozsahu, jako LAN

Můžete mi PROSÍM někdo poradit, jak napsat konfigurák pro OpenVPN server tak, aby:

  • fungoval na proto TCP i UDP
  • adaptér byl TUN (ne TAP)
  • trafic z klientů VPN šel všechen přes turris
  • a hlavně, aby klienti byli na stejném subnetu, jako stávající LAN.

První tři body jsem byl schopen rozchodit. Nicméně dostat klienty VPN do rozsahu 192.168.1.0 jsem nedokázal.

Schválně jsem to počítal a vyšlo mi, že jsem vyzkoušel 39 kombinací parametrů a nic…
Použil bych server-bridge, ale ten je omezen jen na TAP.

Problém se stejným rozsahem je ten, že toho můžeš dosáhnout pouze s TAP rozhraním. TAP je L2 rozhraní a dá se bridgovat s existujícím rozhraním jako např. lokální LAN.

TUN je L3 rozhraní a pokud mu zadám stejný rozsah jako na jiném rozhraní, systém neví, kterým rozhraním má pakety do sítě odesílat. Dá se to vyřešit více routovacím tabulkama, ale pak to budou dvě nezávislé sítě a klienti z LAN nebudou komunikovat do VPN a naopak.

Ajaj, to jsem nechtěl slyšet… A jde nějakým způsobem (LAN bude mít 192.168.1.0 a VPN 192.168.100.0), aby se klienti obou sítí viděli? Jako pingnu je vzájemně, dostanu se na ně přes ssh apod. Jen bych potřeboval je vidět i ve windows. Nemám moc času, tak se vyjadřuji, jako retard, vím to…

Tohle určitě jde, pokud budeš mít turris v obou sítích jako výchozí bránu, máš routování zmáklé. Jinak musíš klientům v sítích říct (přidat routu) kudy se dostanou do druhé sítě. Pak se musíš ujistit, zda máš na firewallu (iptables) povolený provoz mezi sítěma.

Nevím přesně co myslíš tím “vidět i ve windows”. Jestli myslíš sdílení tiskáren atp, že se ti klienti automaticky načtou, tak vím, že windowsy broadcastují hromadu nesmyslů a broadcasty fungují pouze na úrovní L2 segmentu, takže jedné sítě. Nejsem na widle odborník, ale mělo by to taky jít zmáknout s doménou, kdy budeš mít např. nějaké ADčko (nebo Sambu na turris) a bude koukat do obou sítí. Windowsáci pak budou součástí téhle domény.

Myslím, že pokud to budeš mít víceméně standardní konfiguraci, mohlo by to vyřešit jen nastavení firewallu / forwardingu. Já osobně mám dané VPN a LAN sítě v jedné zóně, a stačí to.

config zone
	option name 'lan'
	list network 'lan'
	list network 'vpn0'
	list network 'wifi'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'

EDIT: A ted jsem doctl (poradne) tvuj post, v tom pripade to uz nebude o sitich nebo viditelnosti, jako spis o Sambe a nastaveni… jestli ti funguje navzajem ssh, tak provoz izolovany/omezeny mezi tema dvema sitemi nejspis mit nebudes.

Takto jsem to zkoušel též, nicméně u mne bez úspěchu. Nyní si načítám info o IPSec a asi to budu řešit touto cestou…

Na standartní konfiguraci, naklikané přes foris se obě sítě LAN a VPN normálně vidí. Však jsou ve stejné zóně a samba funguje taky normálně. To jestli funguje windows skenování sítě nevím, protože to používat nepotřebuju a na sdílené složky pristupuju rovnou přes \ip_adresa

IPSec nepomůže, taky je to L3 tunel (jiný subnet)

Jak jsem pochopil z této diskuse https://www.turris.cz/forum/topic_show.pl%3Ftid=1284.html, tak by to jít mělo. Konkrétně:

rightsourceip=%dhcp # (klient dostane IP od LANkového DHCP)