Dario Penesi
2010-10-27 03:35:30 UTC
hola a todos!!
les hago una consulta, he estado probando openvpn para conectar clientes a
una red privada y me he encontrado con el problema de que cuando quiero
acceder a los recursos de un peer el trafico pasa si o si por el servidor.
Lo que andaría buscando es hacer Full Mesh.
He visto que por defecto trae un mode p2p , pero en la doc es point to
point.
Tambien vi que permite peer to peer usando TLS, pero lo he configurado y no
tengo muchos resultados.( no se si será por alguna combinación de mode
server, mode p2p , tls-server, tls-client, client, si debe ser tun o tap,
quizas hay alguna config que lo permita. )
Necesito que sea Full Mesh para evitar pasar por el server vpn ya que me
duplica los tiempos de respuesta, ¿alguien tiene implementada algo asi con
openvpn.?
Les paso mis config, quizas algo esté haciendo mal.
**************SERVER****************
mode server
port 1194
proto udp
dev tun0
ca keys/key/ca.crt
cert keys/key/server.crt
key keys/key/server.key
dh keys/key/dh2048.pem
server 172.16.0.0 255.255.255.128
crl-verify keys/key/crl.pem
ifconfig-pool-persist servers/Server/logs/ipp.txt
tls-auth servers/Server/ta.key 0
cipher AES-256-CBC
user openvpn
group adm
status servers/Server/logs/openvpn-status.log
log-append servers/Server/logs/openvpn.log
verb 5
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/Server/ccd
tls-server
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
*************CLIENTE 1*******************
client
mode p2p
proto udp
dev tun
ca ca.crt
dh dh2048.pem
cert cliente1.crt
key cliente1.key
remote vpn.midominio.com 1194
tls-client
tls-auth ta.key 1
cipher AES-256-CBC
user openvpn
group adm
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
log cliente1.log
**************CLIENTE 2*********************
IDEM 1, cambian los certificados
Pruebas:
SERVER
IP Publica: 100.100.100.1
IP VPN 172.16.0.1
Cliente 1
IP Publica 200.200.200.1
IP VPN 172.16.0.2
Cliente 2
IP Publica: 220.220.220.1
IP VPN 172.16.0.3
Desde el server:
ping 200.200.200.1 50 ms
ping 220.220.220.1 60 ms
ping 172.16.0.2 51 ms
ping 172.16.0.3 61 ms
Desde Cliente 1 a 2 o 2 a 1 pasa lo mismo
ping 172.16.0.1 51 ms
ping 100.100.100.1 50 ms
ping 220.220.220.1 50 ms
ping 172.16.0.3 112 ms (pasa por el server vpn sin modo p2p
aparentemente y suma el ttl obviamente)
Por lo que me genera tráfico que no deseo en el server vpn,
y también ralentiza todo obviamente.
Ojalá puedan aclararme el camino.
Saludos cordiales
Dario
les hago una consulta, he estado probando openvpn para conectar clientes a
una red privada y me he encontrado con el problema de que cuando quiero
acceder a los recursos de un peer el trafico pasa si o si por el servidor.
Lo que andaría buscando es hacer Full Mesh.
He visto que por defecto trae un mode p2p , pero en la doc es point to
point.
Tambien vi que permite peer to peer usando TLS, pero lo he configurado y no
tengo muchos resultados.( no se si será por alguna combinación de mode
server, mode p2p , tls-server, tls-client, client, si debe ser tun o tap,
quizas hay alguna config que lo permita. )
Necesito que sea Full Mesh para evitar pasar por el server vpn ya que me
duplica los tiempos de respuesta, ¿alguien tiene implementada algo asi con
openvpn.?
Les paso mis config, quizas algo esté haciendo mal.
**************SERVER****************
mode server
port 1194
proto udp
dev tun0
ca keys/key/ca.crt
cert keys/key/server.crt
key keys/key/server.key
dh keys/key/dh2048.pem
server 172.16.0.0 255.255.255.128
crl-verify keys/key/crl.pem
ifconfig-pool-persist servers/Server/logs/ipp.txt
tls-auth servers/Server/ta.key 0
cipher AES-256-CBC
user openvpn
group adm
status servers/Server/logs/openvpn-status.log
log-append servers/Server/logs/openvpn.log
verb 5
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/Server/ccd
tls-server
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
*************CLIENTE 1*******************
client
mode p2p
proto udp
dev tun
ca ca.crt
dh dh2048.pem
cert cliente1.crt
key cliente1.key
remote vpn.midominio.com 1194
tls-client
tls-auth ta.key 1
cipher AES-256-CBC
user openvpn
group adm
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
log cliente1.log
**************CLIENTE 2*********************
IDEM 1, cambian los certificados
Pruebas:
SERVER
IP Publica: 100.100.100.1
IP VPN 172.16.0.1
Cliente 1
IP Publica 200.200.200.1
IP VPN 172.16.0.2
Cliente 2
IP Publica: 220.220.220.1
IP VPN 172.16.0.3
Desde el server:
ping 200.200.200.1 50 ms
ping 220.220.220.1 60 ms
ping 172.16.0.2 51 ms
ping 172.16.0.3 61 ms
Desde Cliente 1 a 2 o 2 a 1 pasa lo mismo
ping 172.16.0.1 51 ms
ping 100.100.100.1 50 ms
ping 220.220.220.1 50 ms
ping 172.16.0.3 112 ms (pasa por el server vpn sin modo p2p
aparentemente y suma el ttl obviamente)
Por lo que me genera tráfico que no deseo en el server vpn,
y también ralentiza todo obviamente.
Ojalá puedan aclararme el camino.
Saludos cordiales
Dario