Jump to content
Калькуляторы

Проброс VLAN через OpenVPN

Доброго времени суток, aLL

 

Дано: центральный офис, удаленные филиалы, подключение от филиалов к центральному офису по OpenVPN на каждой клиентской машине удаленного филиала.

Необходимо: внедрить шлюз OpenVPN на удаленных офисах с пробросом VLANов (минимум 2 vlan'a - дата и войс (для IP-телефонов для asterisk'a)).

IP-телефоны серии Cisco 7940, 7912.

Каким образом сие реализовать правильно на Linux+OpenVPN? Как правильно пробрасывать vlan'ы через vpn-туннель?

Share this post


Link to post
Share on other sites

vlan - суть чисто броадкастовая, или нет?

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

Задачу можно решить бриджеванием tap с eth интерфейсом с обеих сторон, но тогда получим паразитный трафик в канале (arp, бродкасты и пр.), что не есть гуд (в одном центральном офисе в этой сети более 200 хостов - к чему гонять сие по каналам, а резать ebtables каким - не очень решение...). Посему, первое, что пришло на ум - отделить мух от котлет вланами (раз циски хотят именно вланы).

Создал с помощью vconfig субинтерфейсы типа eth1.99, eth1.10 (войс и дата соотвественно), дал им адреса, сбриджевал с tap0 - трафик не идет.

Share this post


Link to post
Share on other sites

А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля?

 

PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь.

Edited by vop

Share this post


Link to post
Share on other sites

А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля?

PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь.

В том-то и дело, что не идет трафик никак. Бриджую с физическим интерфейсом - все ок. С влан - ноль на массе.

Почему же через тап не полезет? https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html например

Share this post


Link to post
Share on other sites

Тогда не понятно, что там ломается. Никаких особых ограничений по бриджеванию vlan'ов я не встречал.

Share this post


Link to post
Share on other sites

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

бред же :-) Вы чет не так делаете, факт.

Share this post


Link to post
Share on other sites

действительно нужен Л2 доступ от телефона к астериску?

думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере

а вообще по идее должно хватить обычной Л3 маршрутизации, сип ведь протокол не с верху Л2 ходит, а как минимум поверх Л3-4.

 

кажется топик стартер ищет проблему не там.

Share this post


Link to post
Share on other sites

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

Share this post


Link to post
Share on other sites

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

 

Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :)

Share this post


Link to post
Share on other sites

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

 

Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :)

опенвсвитч позволит пробросить что угодно и как угодно но произвдительность будет не на высоте

Share this post


Link to post
Share on other sites

79-е циски работают откуда угодно... не ищите проблем там где их нет... никакого l2 им в помине не надо... вы их точно в сип прошили?

Share this post


Link to post
Share on other sites

думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере

да.

 

и еще нужно астериску сказать про сип аккаунт nat=yes

 

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

их надо настраивать не "иначе", а по мануалам.

 

все отлично работает через пол шарика, и через впн и без.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this