Назад | Перейти на главную страницу

Сервер OpenVPN с двумя интерфейсами Tap, как разрешить tap0 видеть tap1

Я новичок в OpenVPN, но мне удалось установить его на машине Ubuntu. Требуется разрешить Mikrotik, а затем клиентам переносных компьютеров подключаться к VPN. Мне удалось выполнить эту работу, запустив два сервера openvpn на одном компьютере, один из которых настроен на proto tcp и один для proto udp каждый прослушивает разные порты. Версия tcp использует 10.8.0.0/24 а версия udp использует 10.9.0.0/24.

Если я сделаю ifconfig на сервере Ubuntu я вижу eth0, tap0 и tap1. Mikrotik может подключаться к VPN, а ноутбуки могут подключаться к VPN через соответствующие порты и иметь надлежащее подключение.

Как я могу разрешить использование устройств tap0, т.е. сеть 10.8.0.0/24 видеть устройства на tap1, т.е. сеть 10.9.0.0/24.

Будет мостом tap0 и tap1 работать, и если да, то как это можно сделать. Или как это возможно?

Вам необходимо установить маршрут на серверах для ваших клиентов, чтобы они могли знать о других подсетях. Поскольку вы не упомянули версию OpenVPN, я полагаю, вы используете 2.4.x.

Если вы используете настраиваемую конфигурацию клиента на обоих серверах, чтобы вашим клиентам мог быть назначен статический IP-адрес, в конфигурации сервера:

option client_config_dir '/path/to/openvpn/client/directory'

Каждый клиент может иметь конфигурацию, которая после подключения OpenVPN будет искать имя клиента как общее имя клиента X509, OpenVPN руководство.

Латс говорит, что у вашего клиента Mikrotik общее имя X509 Mikrotik, вы добавите к /path/to/openvpn/client/directory/Mikrotik следующим образом

ifconfig-push 10.8.0.101 255.255.255.0
iroute 10.9.0.0 255.255.255.0

Это гарантирует, что ваш Mikrotik получит адрес 10.8.0.101 и внутренний маршрут 10.9.0.0 с сетевой маской 255.255.255.0

На том же сервере (10.8.0.0/24) вам нужно протолкнуть маршруты

list push 'route 10.9.0.0 255.255.255.0'

То же самое нужно сделать для VPN для ноутбуков с изменением IP-адресов в конфигурации сервера.

Обратите внимание, что вам также необходимо разрешить пересылку на вашем сервере.