Как соединить сети через vtun?

Работаю в организации которая занимается импортом автомобильной продукции, организация имеет ряд региональных дилеров разной степени "крутости", от крупных сетей автосалонов до мелких лавочников.

Номенклатуру продукции получаем из базы данных крупного западного автопроизводителя через VPN на базе Cisco. Крупным дилерам доступ к номенклатуре предоставляем таким же образом. Поскольку оборудование Cisco рекомендованное автопроизводителем удовольствие не дешевое, для доступа к номенклатуре дилерам рангом по ниже используем VPN на базе связки Linux+Vtun. До появления дилера из стольного града Усть-Каменогорска, схема с использованием Vtun работала да и работает отлично, кроме описанного дилера.

Суть проблемы заключается в том, что наша локальная сеть и локальная сеть дилера - 192.168.0.0/24 .

В результате чего, я не могу корректно настроить маршрут из нашей локальной сети в их локальную сеть.

Листинг vtund.conf на нашем хосте:

Host1 {
passwd ********;
type tun;
proto tcp;
encrypt yes;
keepalive yes;
up {
ifconfig "%% 192.168.20.37 pointopoint 192.168.20.38 mtu 1450";
# route "add -net 192.168.0.0/24 gateway 192.168.20.37"; - по идее тут должно быть так
};
down {
ifconfig "%% down";
# route "delete -net 192.168.0.0";
};
}

Листинг vtund.conf на хосте дилера
Нost1 {
passwd ********;
type tun;
proto tcp;
encrypt yes;
keepalive yes;
up {
ifconfig "%% 192.168.20.38 pointopoint 192.168.20.37 mtu 1450";
route "add -net 10.112.0.0 netmask 255.255.0.0 gateway 192.168.20.38"; - сеть автопроизводителя
};
down {
ifconfig "%% down";
route "delete -net 10.112.192.0";
};
}

Как быть в данной ситуации ума не приложу.
  • Вопрос задан
  • 3153 просмотра
Пригласить эксперта
Ответы на вопрос 3
@insekt
А за НАТ сеть у дилера спрятать есть возможность? Тогда для вас дилер будет представлен только адресом 192.168.20.38.
Ответ написан
Нужно что-то вроде:
Вы(192.168.0.0/24)<->NAT<->тунель<->NAT<->Дилер(192.168.0.0/24)
На обоих NAT'ах пробрасывать нужные порты для доступа к внутренним ресурсам.
Но это через одно место, лучше договориться и сменить у кого нибудь сеть, например у дилера, один раз обсудить и немного попыхтеть, потом не будет проблем. Вообще в таких случаях лучше владельцу VPN принудительно раздавать подсети для клиентов, иначе будет бардак и прийдётся постоянно решать такого рода задачки.

А в идеале в VPN используйте сети отличные от 192.168.0.0/24 и 192.168.1.0/24 (они как правило по умолчанию в модемах и маршрутизаторах и многие их не меняют), например из диапазона 10.0.0.0/8
Ответ написан
IlyaEvseev
@IlyaEvseev
Opensource geek
В Линуксе для этого есть NETMAP:
habrahabr.ru/post/117320/
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы