L8SaE-RexHn1 Posted September 3, 2015 Доброго времени суток, aLL Дано: центральный офис, удаленные филиалы, подключение от филиалов к центральному офису по OpenVPN на каждой клиентской машине удаленного филиала. Необходимо: внедрить шлюз OpenVPN на удаленных офисах с пробросом VLANов (минимум 2 vlan'a - дата и войс (для IP-телефонов для asterisk'a)). IP-телефоны серии Cisco 7940, 7912. Каким образом сие реализовать правильно на Linux+OpenVPN? Как правильно пробрасывать vlan'ы через vpn-туннель? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted September 3, 2015 vlan - суть чисто броадкастовая, или нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted September 3, 2015 vlan - суть чисто броадкастовая, или нет? Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается. Задачу можно решить бриджеванием tap с eth интерфейсом с обеих сторон, но тогда получим паразитный трафик в канале (arp, бродкасты и пр.), что не есть гуд (в одном центральном офисе в этой сети более 200 хостов - к чему гонять сие по каналам, а резать ebtables каким - не очень решение...). Посему, первое, что пришло на ум - отделить мух от котлет вланами (раз циски хотят именно вланы). Создал с помощью vconfig субинтерфейсы типа eth1.99, eth1.10 (войс и дата соотвественно), дал им адреса, сбриджевал с tap0 - трафик не идет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted September 3, 2015 (edited) А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля? PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь. Edited September 3, 2015 by vop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted September 3, 2015 А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля? PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь. В том-то и дело, что не идет трафик никак. Бриджую с физическим интерфейсом - все ок. С влан - ноль на массе. Почему же через тап не полезет? https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html например Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted September 3, 2015 Тогда не понятно, что там ломается. Никаких особых ограничений по бриджеванию vlan'ов я не встречал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
White_Alex Posted September 4, 2015 Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается. бред же :-) Вы чет не так делаете, факт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
t0ly Posted September 4, 2015 действительно нужен Л2 доступ от телефона к астериску? думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере а вообще по идее должно хватить обычной Л3 маршрутизации, сип ведь протокол не с верху Л2 ходит, а как минимум поверх Л3-4. кажется топик стартер ищет проблему не там. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roysbike Posted September 4, 2015 Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted September 4, 2015 Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)? Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted September 4, 2015 Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)? Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :) опенвсвитч позволит пробросить что угодно и как угодно но произвдительность будет не на высоте Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
micol Posted September 4, 2015 79-е циски работают откуда угодно... не ищите проблем там где их нет... никакого l2 им в помине не надо... вы их точно в сип прошили? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted September 4, 2015 думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере да. и еще нужно астериску сказать про сип аккаунт nat=yes Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается. их надо настраивать не "иначе", а по мануалам. все отлично работает через пол шарика, и через впн и без. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...