Одновременная работа с двумя подключениями openvpn?
Добрый день!
Имеется сервер VPN в локальной сети, через который ходят исключительно в локалку (терминал, 1С, файловые шары) и есть OpenVPN сервер удаленный на VPSке, который используют исключительно для хождения в интернет (подключаются при необходимости подмены IP). Проблема в том, что при подключении к первому VPN (для локалки) - все окей, локалка работает как надо, интернет идет отдельно. При подключении отдельно ко второву VPN - все окей, локалка работает сама по себе, а интернет идет через VPS... а вот при подключении к ним одновременно (2 tun интерфейса), интернет и СМЕЖНАЯ локальная сеть работает через удаленную VPS. Клиент в своей сети все пингует локально, а в соседней, в которую маршрутизация идет через микротик, пакеты идут через удаленный VPS (что крайне неприемлемо, так как VPS находится в США + гоняет трафик по узкому интернет каналу). Прошу помочь решить проблему. На какие настройки в конфиге серверов надо обратить внимание? Или тут дело не в настройке openvpn?
Когда я выполняю на клиенте
route delete 128.0.0.0 mask 128.0.0.0
Локальная сеть начинает работать нормально, но пропадает проброс интернета через VPS'ку.
Это нормально поведение, вы же меняете шлюз по умолчанию и весь трафик идет через него.
Чтобы 'починить', на клиенте надо прописать статический маршрут до сервера "VPN в локальной сети" через провайдерский шлюз по умолчанию.
Можете еще сильнее подтолкнуть к решению?) Можно ногой. ОпенВпн "локалки" работает на вирте в сетке x.x.2.0 (шлюз x.x.2.1). Локалки x.x.1.0 и x.x.2.0
Не на клиенте можно этот вопрос решить? Через конфиг openvpn на сервере например.
Сейчас на сервере 2 такие строчки
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
"прописать статический маршрут до сервера "VPN в локальной сети" через провайдерский шлюз по умолчанию."
До IP адреса в локальной сети? ВМка имеет IP 192.168.2.104. Но подключение к VPN проводится по доменному имени микротика и, далее, через проброс портов.
Не на клиенте можно этот вопрос решить? Через конфиг openvpn на сервере например.
В теории можно, но на практике я не пушил белые маршруты, надо пробовать. К томе же, если вы не управляете штатовским ОВПН сервером (а просто используете сервис), то не на клиенте это сделать практически невозможно.
Сильно проще прописать маршрут на клиенте, решается одной командой. Как вариант, в конфиге клиента для штатовского сервера можно использовать route-up параметр, который будет поднимать роут автоматически при подключении
До IP адреса в локальной сети?
До IP адреса в который резолвится доменное имя сервера "VPN в локальной сети"
mureevms, оба сервера наши. Просто второй (для прокидывания инета) на ВПСке арендованной. Есть варианты с такими условиями?) На самом деле vpsки 3. В Штатах, Швеции и Нидерландах. Настройки везде одинаковые. Доступ к ним полный.
mureevms, по возможности хотелось бы делать это не на стороне клиентов. Это реально? Просто какие то конфиги менять на клиенте - всегда подключаться к ним по тимвиверу тому же. Скажем так... есть трудности и неудобства с этим. Это единственный путь?
Плюс важно чтобы работало все по одиночке. Отдельно запущенный тунель в локалку/отдельно запущенный тунель на впс/одновременно оба запущенные/не запущен ни один. И чтобы все 4 варианты не влияли друг на друга своими настройками.
До IP адреса в который резолвится доменное имя сервера
IP ведет на микротик и уже он пробрасывает порт. Плюс IP может быть изменен и потом придется править все конфиги у клиентов на домашних компах. Очень неудобное решение для нас(
Евгений Воробьев, Если такой способ и существует, то я его не знаю.
Все проблемы решаются одной строчкой в конфиге, а неудобства написанием файла конфига с этой строчкой и инструкции куда его копировать. Файлы-то ваши пользователи умеют копировать с заменой?
А если не секрет, зачем вам столько впн серверов в разных локациях?
mureevms, ничего криминального. Просто для удобства работы с поставщиками и банками. Чтобы от нас всегда весь трафик шел не с кучи адресов, которые у разных сотрудников дома и в самих наших офисах, а всего лишь с трех-четырех.
То есть мне задать "route-up /путь/к/bat/файлу", в которому будет команда "route add ..."?
А как быть с маршрутом, если IP внешний не ведет напрямую на OVPN сервер?
Евгений Воробьев, вот такая штука есть, должна помочь.
Только вместо route 0.0.0.0 192.0.0.0 net_gateway
вписать route x.x.x.x 255.255.255.255 net_gateway
В конфиг клиента, где x.x.x.x IP адрес офисного OVPN.
mureevms, так как (указывал выше) менять конфиг на клиенте не очень приемлемо... я изменил конфиг на сервере USA-VPS... дообавив туда аналог клиенткой опции "route" - серверную "push route"...
push "route 543.945.453.272 255.255.255.255 net_gateway" (такого формата)
Скажите, это корректно же?
и... кажется все получилось) По крайней мере будучи дома... я могу пинговать подсеть x.x.2.0 в офисе... и при этом на 2ip светится мой адрес удаленной VPSки из США. И даже IP из подсети x.x.1.80 в офисе пингуется (хотя у меня дома такая же локальная подсеть).
Еще проверю завтра на работе в "боевых условиях". Пока что большое спасибо за помощь) Надеюсь все получилось так как должно было быть). Все таки пришлось использовать прямые IP.. но думаю сменить их на 3х серверах не так сложно будет, в случае смены внешнего IP у провайдера. Да и это будет на серверах и пользователей в таком случае не затронет. Главное не забыть.
Средний
Сложный
Простой
