У меня есть несколько вопросов о нашей существующей настройке сервера OpenVPN и о том, что нам нужно расширить доступ.
Наша текущая настройка выглядит следующим образом:
При текущем использовании эта установка работает без проблем. Каждое подключенное устройство / пользователь получает IP и все в порядке. Однако у нас есть требование иметь возможность подключаться к устройствам iOS / Android, и я понимаю из документации и из https://community.openvpn.net/openvpn/wiki/BridgingAndRouting что для этого требуется установка OpenVPN для TUN. Кроме того, похоже, что каждый экземпляр сервера OpenVPN может работать только в одном режиме, у вас не может быть одновременно TAP и TUN в одной конфигурации OpenVPN.
Вот вопросы:
Если мы настроим другой экземпляр OpenVPN на текущем сервере OVPN и установим его в режим TUN: сможет ли клиентское устройство, подключенное к этому OpenVPN, ТОЛЬКО видеть, что является локальным на сервере OVPN? Или он сможет видеть все устройства в подсети из-за уже существующей настройки TAP OVPN?
Если ответ на приведенный выше вопрос заключается в том, что это клиентское устройство сможет видеть только то, что находится на сервере OVPN, и ничего больше, есть ли альтернативы этой настройке, которые люди использовали для облегчения доступа к мобильным устройствам? Можем ли мы настроить сервер OVPN на одной из виртуальных машин, которая теперь подключается через TAP в качестве клиента, и использовать там TUN, чтобы разрешить доступ к этой машине?
К сожалению, из-за ограничений в среде мы не можем переключить существующий TAP OVPN на TUN и оставить его (если я не неправильно понимаю конфигурацию TUN, и это будет работать как альтернатива нашей текущей настройке и разрешить всем текущим виртуальным машинам и клиентским устройствам подключить а Android / iOS подключать?).
Благодарим вас за любую информацию, которую вы можете дать по этому вопросу.
В режиме TUN подсеть, предоставляющая IP-адреса для клиентов VPN, является «виртуальной» на сервере VPN. TUN-режим работает на уровне 3, и для этой подсети нет уровня 2. OpenVPN использует собственные механизмы для передачи трафика, направленного на IP-адрес VPN клиента, в правильный туннель (так, чтобы он достиг клиента). Из-за этого нет возможности смешивать клиентов vpn и локальные машины в одной подсети (клиент vpn). Они всегда должны находиться в разных подсетях и должны быть доступны в обоих направлениях с помощью маршрутизации.
Поэтому, если у вас нет локальных правил брандмауэра, ваши клиенты vpn, подключенные через tun, должны иметь возможность достигать всех целей, для которых конфигурация маршрутизации на сервере openvpn имеет путь и есть путь назад. Последний пункт наиболее важен. На каждом локальном компьютере, к которому вы хотите подключиться, должен существовать путь к подсети клиента vpn. Сервер VPN должен быть известен как шлюз для этой подсети в конфигурации локальной маршрутизации.
Есть ли альтернативы этой настройке, которые люди использовали для облегчения доступа к мобильным устройствам?
Нет хороших. В Play Store есть клиент OpenVPN, который имитирует уровень 2, недоступный в API VPN, который работает в некоторых (большинстве?) Случаях. Но это своего рода взлом и разработчики официального клиента отказались от этого.
Можем ли мы настроить сервер OVPN на одной из виртуальных машин, которая теперь подключается через TAP в качестве клиента, и использовать там TUN, чтобы разрешить доступ к этой машине?
Да. Вам потребуется возможность подключиться к этому серверу OpenVPN из любого места, где вы хотите использовать туннель TUN-VPN. Так что, скорее всего, вам понадобится общедоступный маршрутизированный IP. В этом случае локальная маршрутизация на машине не должна быть проблемой.