Проброс VLAN через OpenVPN

[L8SaE-RexHn1]

Доброго времени суток, aLL

 

Дано: центральный офис, удаленные филиалы, подключение от филиалов к центральному офису по OpenVPN на каждой клиентской машине удаленного филиала.

Необходимо: внедрить шлюз OpenVPN на удаленных офисах с пробросом VLANов (минимум 2 vlan'a - дата и войс (для IP-телефонов для asterisk'a)).

IP-телефоны серии Cisco 7940, 7912.

Каким образом сие реализовать правильно на Linux+OpenVPN? Как правильно пробрасывать vlan'ы через vpn-туннель?

[vop]

vlan - суть чисто броадкастовая, или нет?

[L8SaE-RexHn1]

vlan - суть чисто броадкастовая, или нет?

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

Задачу можно решить бриджеванием tap с eth интерфейсом с обеих сторон, но тогда получим паразитный трафик в канале (arp, бродкасты и пр.), что не есть гуд (в одном центральном офисе в этой сети более 200 хостов - к чему гонять сие по каналам, а резать ebtables каким - не очень решение...). Посему, первое, что пришло на ум - отделить мух от котлет вланами (раз циски хотят именно вланы).

Создал с помощью vconfig субинтерфейсы типа eth1.99, eth1.10 (войс и дата соотвественно), дал им адреса, сбриджевал с tap0 - трафик не идет.

[vop]

А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля?

 

PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь.

Edited September 3, 2015 by vop

[L8SaE-RexHn1]

А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля?

PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь.

В том-то и дело, что не идет трафик никак. Бриджую с физическим интерфейсом - все ок. С влан - ноль на массе.

Почему же через тап не полезет? https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html например

[vop]

Тогда не понятно, что там ломается. Никаких особых ограничений по бриджеванию vlan'ов я не встречал.

[White_Alex]

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

бред же :-) Вы чет не так делаете, факт.

[t0ly]

действительно нужен Л2 доступ от телефона к астериску?

думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере

а вообще по идее должно хватить обычной Л3 маршрутизации, сип ведь протокол не с верху Л2 ходит, а как минимум поверх Л3-4.

 

кажется топик стартер ищет проблему не там.

[roysbike]

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

[vop]

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

 

Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :)

[sirmax]

Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)?

 

Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :)

опенвсвитч позволит пробросить что угодно и как угодно но произвдительность будет не на высоте

[micol]

79-е циски работают откуда угодно... не ищите проблем там где их нет... никакого l2 им в помине не надо... вы их точно в сип прошили?

[stas_k]

думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере

да.

 

и еще нужно астериску сказать про сип аккаунт nat=yes

 

Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается.

их надо настраивать не "иначе", а по мануалам.

 

все отлично работает через пол шарика, и через впн и без.