L8SaE-RexHn1 Опубликовано 3 сентября, 2015 · Жалоба Доброго времени суток, aLL Дано: центральный офис, удаленные филиалы, подключение от филиалов к центральному офису по OpenVPN на каждой клиентской машине удаленного филиала. Необходимо: внедрить шлюз OpenVPN на удаленных офисах с пробросом VLANов (минимум 2 vlan'a - дата и войс (для IP-телефонов для asterisk'a)). IP-телефоны серии Cisco 7940, 7912. Каким образом сие реализовать правильно на Linux+OpenVPN? Как правильно пробрасывать vlan'ы через vpn-туннель? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 3 сентября, 2015 · Жалоба vlan - суть чисто броадкастовая, или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L8SaE-RexHn1 Опубликовано 3 сентября, 2015 · Жалоба vlan - суть чисто броадкастовая, или нет? Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается. Задачу можно решить бриджеванием tap с eth интерфейсом с обеих сторон, но тогда получим паразитный трафик в канале (arp, бродкасты и пр.), что не есть гуд (в одном центральном офисе в этой сети более 200 хостов - к чему гонять сие по каналам, а резать ebtables каким - не очень решение...). Посему, первое, что пришло на ум - отделить мух от котлет вланами (раз циски хотят именно вланы). Создал с помощью vconfig субинтерфейсы типа eth1.99, eth1.10 (войс и дата соотвественно), дал им адреса, сбриджевал с tap0 - трафик не идет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 3 сентября, 2015 (изменено) · Жалоба А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля? PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь. Изменено 3 сентября, 2015 пользователем vop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L8SaE-RexHn1 Опубликовано 3 сентября, 2015 · Жалоба А если бриджевать только один из vlan'ов, трафик идет? Если да - то почему бы не поднять два тоннеля? PS Через tap теги влановские не пролезут - не к чему их там прикрепить, если не ошибаюсь. В том-то и дело, что не идет трафик никак. Бриджую с физическим интерфейсом - все ок. С влан - ноль на массе. Почему же через тап не полезет? https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html например Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 3 сентября, 2015 · Жалоба Тогда не понятно, что там ломается. Никаких особых ограничений по бриджеванию vlan'ов я не встречал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 4 сентября, 2015 · Жалоба Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается. бред же :-) Вы чет не так делаете, факт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 4 сентября, 2015 · Жалоба действительно нужен Л2 доступ от телефона к астериску? думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере а вообще по идее должно хватить обычной Л3 маршрутизации, сип ведь протокол не с верху Л2 ходит, а как минимум поверх Л3-4. кажется топик стартер ищет проблему не там. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 4 сентября, 2015 · Жалоба Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 4 сентября, 2015 · Жалоба Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)? Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 4 сентября, 2015 · Жалоба Ну а вообще , возможно ли пробросить через openvpn VLAN(Q-in-Q)? Если удастся к peertopeer соединению приделать теги vlan, то да... наверно. :) опенвсвитч позволит пробросить что угодно и как угодно но произвдительность будет не на высоте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 4 сентября, 2015 · Жалоба 79-е циски работают откуда угодно... не ищите проблем там где их нет... никакого l2 им в помине не надо... вы их точно в сип прошили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 4 сентября, 2015 · Жалоба думаю если циска общается с астериском, а не с каким то своим "загадочным сервером" то хватилобы трансляций на роутере да. и еще нужно астериску сказать про сип аккаунт nat=yes Вся суть всей задачи такова, что cisco-фоны должны находиться в одной физической (на 2-ом уровне) сети с asterisk'ом. Иначе их настроить не получается. их надо настраивать не "иначе", а по мануалам. все отлично работает через пол шарика, и через впн и без. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...