Re: OpenVPN + отдельный DHCP
30.08.2010 22:01, Вереск пишет:
ifconfig-pool-persist ipp.txt
пул. Однако встроенный DHCP OpenVPN'a выдаёт явно по собственному
Правильно, потому что это пул.
Вы можете прописать каждому клиенту свой ip.
Для этого надо сделать директорию и прописать ее:
client-config-dir <---->/etc/openvpn/ccd
и положить туда файлы - по одному для каждого клиента, где имя файла =
CN 509x сертификата клиента без расширения (".p12"),
а содержание - его строчка конфига, например:
ifconfig-push 192.168.111.111 255.255.255.0
общие push правила могут быть в общем конфиге openvpn.
Далее, в iptales и tc вы можете настроить его правила и шейпинг
соответственно.
Также стоит оставить и pool с одним ip - если кто-то его получит -
значит произошла обшибка - его CN нет в списке - это можно отслеживать
через
status ><------><------>/etc/openvpn/openvpn-status.log
Кстати, пул можно задать строчкой с диапазоном адресов:
ifconfig-pool 192.168.111.7 192.168.111.9
кроме того, не обязательно использовать одинаковые сети - вы можете
сделать свою для vpn
В конфиге сервера
local xxx.xxx.xxx.5 - внешний ip сервера
dev tap4 - вы можете (и это удобно) указать номер tap
port 80 - (порт 80 и 8080 наиболее безпроблемные, если есть лишний ip
без Апача)
ifconfig <-----><------>192.168.111.5 255.255.255.0 - внутренний ip
openvpn сервера через который будут работь клиенты.
В ip tables:
Для сервера c ip ...111.5
-A PREROUTING -d xxx.xxx.111.5 -j ACCEPT
-A POSTROUTING -d 192.168.111.0/24 -j SNAT --to-source 192.168.111.5
Раздача ip из "реальной" сети клиентам:
-A PREROUTING -d xxx.xxx.111.0/24 -j NETMAP --to 192.168.111.0/24.
-A POSTROUTING -s 192.168.111.0/24 -j NETMAP --to xxx.xxx.111.0/24.
Удачи.
--
Sincerely,
Nicholas
Reply to: