Исходное сообщение
"openVPN и openVZ" Отправлено sHaggY_caT, 23-Мрт-11 12:24
>[оверквотинг удален] > На рисунке выше - схематично то что есть. > Вопросы: > 1) можно ли сделать так что бы виртуалка на сервере и клиенты > openvpn видели друг-друга (все порты и прочее без NAT) > 2) являются ли venet интерфейсы виртуалки полноценными интерфейсами? заметил что у них > нету мак-адресов. > На данный момент развешиваю нужные порты на 10.0.0.1 и делаю через него > NAT на адреса 192.168.0.0 но это не удобно (много портов на > разных виртуалках). Как сделать это всё прозрачнее (что бы для клиентов > VPN виртуалки были доступны как "хосты")? У нас несколько VPN-серверов в OpenVZ-контейнерах(кстати, тоже посоветовала бы не держать сервис не в контейнере,из соображений security и правильной нарезки ресурсов, не стоит никакой софт ставить на ноду). Ключевые моменты: 1) у контейнера должны быть права доступа к сетевому стеку, и нужен tun/tap-девайс, дырка в /dev/, для доступа к tun/tup драйверу Вот что должно быть в конфиге контейнера: DEVICES="c:10:200:rw " CAPABILITY="NET_ADMIN:on " Либо ставьте через vzctl(8) На контейнер нужно пробросить (IPtables DNAT) порт OpenVPN 2) клиенты через NAT работают превосходно, если у сервера публичный IP, или проброшен порт, как обычно у нас. 3) пример конфига сервера: dev tun proto udp keepalive 10 120 comp-lzo log /var/log/openvpn.log status /var/log/openvpn/openvpn-status.log verb 3 link-mtu <индивидуально> mssfix  <индивидуально> fragment <индивидуально> server <VPN NETWORK> 255.255.0.0 up /usr/sbin/rc.route_add_wrapper.sh #Конфигурационная директория для клиентов client-config-dir /etc/openvpn/ccd tls-server port <port> tls-auth /etc/openvpn/keys/ta.key 0 #ifconfig-pool-persist /etc/openvpn/ipp.txt dh /etc/openvpn/keys/dh1024.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/<host>.crt key /etc/openvpn/keys/<host>.key Пример клиента(UNIX, под виндой аналогично): dev tun proto udp keepalive 10 120 comp-lzo log /var/log/openvpn.log status /var/log/openvpn/openvpn-status.log verb 3                                                                                                     #link-mtu       <индивидуально>                                                                           link-mtu <индивидуально>                                                                                             mssfix <индивидуально>                                                                           fragment <индивидуально>                                                                           resolv-retry infinite nobind client tls-client tls-auth /etc/openvpn/keys/ta.key 1 remote <host> <port> ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/<host>.crt key /etc/openvpn/keys/<host>.key 4) добавляем роуты на сервере скриптом: cat /usr/sbin/rc.route_add_wrapper.sh #!/bin/bash /usr/sbin/rc.route_add.sh start <VPN NETWORK> 255.255.0.0 sleep 2 /etc/init.d/firewall restart 5) для каждого клиента так же добавляем роуты, но в конфиге на сервере, например: cat /etc/openvpn/ccd/<host> #Прописываем клиентские подсети на сервере iroute #Прописываем подсети для клиента push "route <NET1> 255.255.255.0" push "route <NET2> 255.255.255.0" push "route <NET3> 255.255.255.0" #Прописываем роут на OpenVPN сеть push "route <VPN NET> 255.255.0.0" #Передаем удаленным сетям маршруты в нашу push "dhcp-option DNS <LAN DNS>" #работает только в оффтопике