Jump to content
Калькуляторы

Проброс VLAN через OpenVPN

Доброго времени суток, aLL

 

Дано: центральный офис, удаленные филиалы, подключение от филиалов к центральному офису по OpenVPN на каждой клиентской машине удаленного филиала.

Необходимо: внедрить шлюз OpenVPN на удаленных офисах с пробросом VLANов (минимум 2 vlan'a - дата и войс (для IP-телефонов для asterisk'a)).

IP-телефоны серии Cisco 7940, 7912.

Каким образом сие реализовать правильно на Linux+OpenVPN? Как правильно пробрасывать vlan'ы через vpn-туннель?

Share this post


Link to post
Share on other sites

vlan - суть чисто броадкастовая, или нет?

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

Задачу можно решить бриджеванием tap с eth интерфейсом с обеих сторон, но тогда получим паразитный трафик в канале (arp, бродкасты и пр.), что не есть гуд (в одном центральном офисе в этой сети более 200 хостов - к чему гонять сие по каналам, а резать ebtables каким - не очень решение...). Посему, первое, что пришло на ум - отделить мух от котлет вланами (раз циски хотят именно вланы).

Создал с помощью vconfig субинтерфейсы типа eth1.99, eth1.10 (войс и дата соотвественно), дал им адреса, сбриджевал с tap0 - трафик не идет.

Share this post


Link to post
Share on other sites

А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля?

 

PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь.

Edited by vop

Share this post


Link to post
Share on other sites

А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля?

PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь.

В том-то и дело, что не идет трафик никак. Бриджую с физическим интерфейсом - все ок. С влан - ноль на массе.

Почему же через тап не полезет? https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html например

Share this post


Link to post
Share on other sites

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

бред же :-) Вы чет не так делаете, факт.

Share this post


Link to post
Share on other sites

действительно нужен Л2 доступ от телефона к астериску?

думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере

а вообще по идее должно хватить обычной Л3 маршрутизации, сип ведь протокол не с верху Л2 ходит, а как минимум поверх Л3-4.

 

кажется топик стартер ищет проблему не там.

Share this post


Link to post
Share on other sites

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

 

Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :)

Share this post


Link to post
Share on other sites

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

 

Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :)

опенвсвитч позволит пробросить что угодно и как угодно но произвдительность будет не на высоте

Share this post


Link to post
Share on other sites

79-е циски работают откуда угодно... не ищите проблем там где их нет... никакого l2 им в помине не надо... вы их точно в сип прошили?

Share this post


Link to post
Share on other sites

думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере

да.

 

и еще нужно астериску сказать про сип аккаунт nat=yes

 

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

их надо настраивать не "иначе", а по мануалам.

 

все отлично работает через пол шарика, и через впн и без.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.