Как прописать маршрут OpenVPN серверу для соединения от клиента к клиенту?

Question

[pkMIXER]

Здравствуйте. Имеется OpenVPN-сервер поднятый на debian(10.128.0.х), к нему подключено около 10 офисов с внутренней сетью(10.128.1.х, 10.128.2.х.........10.128.10.х), каждый офис видит друг друга, все маршруты настроены. Вопрос в том, можно ли в такой схеме реализовать прямое общение клиентов друг с другом(например 10.128.2.х - 10.128.7.х), минуя подключение к главному серверу?

На данный момент пакет отправляется на сервер от сервера к адресату(например 10.128.2.х -> 10.128.0.х - > 10.128.7.x), ответ соответственно приходит по тому же маршруту, в обратном порядке, хотелось бы понять возможно ли настроить сервер\клиентов так, чтобы при общении клиентов миновался сервер и задержки связанные с ним?
Есть предположение что нужно указать маршруты c шлюзом на каждую подсеть, но есть сомнения в этой схеме и возможности такой реализации.

Answer 1

[waryag_twar]

Вам нужно все офисы, которые должны видеть друг-друга напрямую, подключить между собой отдельными каналами, и просто сделать таблицы ospf. Тогда будет и резервирование каналов, и прямая видимость при штатной работе.

Answer 2

[ValdikSS]

OpenVPN не поддерживает прямые соединения. Вам нужны Full Mesh VPN-решения.

Comments

[meDveD_spb]

что такое тогда client-to-client в openvpn?

[ValdikSS]

meDveD_spb, опция, отключающая отправку пакетов от клиента другому клиенту через сетевые подсистемы ядра операционной системы. Пакеты от клиента к клиенту будут маршрутизироваться средствами самого openvpn-сервера, а не netfilter.

[meDveD_spb]

ValdikSS, это как раз то что нужно топикстартеру.

[ValdikSS]

meDveD_spb, топикстартер спрашивает про маршрутизацию между клиентами напрямую, минуя сервер. Опция client-to-client никак не меняет сетевую маршрутизацию трафика (все пакеты всё равно будут маршрутизироваться через сервер OpenVPN, создавая задержку и уменьшая скорость), просто их обработка будет выполняться самим openvpn-демоном, а не ядром ОС.

[meDveD_spb]

ValdikSS, так это и есть то, что нужно. в вопросе есть условие, существующий сервер openvpn.
Сейчас связь между клиентами маршрутизируется на уровене IP, в client-to-client cетевой стек узла вообще не участвует.

[ValdikSS]

meDveD_spb, это не то, что нужно. Автор хочет установить прямые соединения клиент-клиент, не маршрутизирутизируя трафик через сервер вообще (в физическом, а не логическом смысле).

возможно ли настроить сервер\клиентов так, чтобы при общении клиентов миновался сервер и задержки связанные с ним?

По-моему, вопрос поставлен понятно и однозначно. Опция client-to-client автору не поможет, она не уменьшит задержки.

[meDveD_spb]

ValdikSS,
если поднять zerotier и сравнить его openvpn client-to-client,
у первого должно быть меньше задержек? если убрать еще каки-то факторы?

[ValdikSS]

meDveD_spb, я не знаю, как работает zerotier, но полагаю, что он устанавливает прямые соединения, если это возможно, соответственно не маршрутизирует весь трафик через сервер.

Это не имеет отношения к поставленному вопросу.

[meDveD_spb]

ValdikSS,
ну вы говорили, про Full Mesh VPN
я сравнил, насколько существенны будут различия

[pkMIXER]

meDveD_spb, в вашем случае трафик от клиента до клиента идет все равно через сервер, в вашем случае потери могут быть несущественны, но мой сервер в 30-50мс пинга до каждого клиента, поэтому связь между клиентами будет 60-100мс с потерями в скорости передачи инфы.

Answer 3

[Drno]

А сами подумайте. За счет чего клиенты видят друг друга? Что будет если отключить их от сервера?
Вот Вам и ответ

Answer 4

[meDveD_spb]

это называется Inter-Client Communication.
Если клиент-клиент включен, VPN-сервер пересылает пакеты клиент-клиент внутри, не отправляя их на уровень IP хоста (т. е. в ядро). Сетевой стек узла вообще не видит эти пакеты.