Propojení dvou subnetů skrz WAN

Propojení dvou subnetů skrz WAN
« kdy: 11. 05. 2020, 08:38:05 »
Jak lzepropojit dva subnety ve stejnem rozsahu skrz verejne IP?
IP adresy samozrejme nejsou duplicitni.
Jde o to, ze je potreba premistit stanice z fyzickeho A do B a vyresit tento prechodny stav.
Stanice jsou za NATem a vse na linuxu.

Kód: [Vybrat]
10.1.1.0/24 <--> WAN <--> 10.1.1.0/24
« Poslední změna: 11. 05. 2020, 08:49:31 od Petr Krčmář »


ksfj

Re:Propojení dvou subnetů skrz WAN
« Odpověď #1 kdy: 11. 05. 2020, 09:01:43 »
potrebujes udelat nejaky bridge. Stejny rozsah je nutnost? Idealne zmenit na B na neco jineho a udelat site2site ipsec.
jinak treba OPENVPN jde nakonfigurovat jako BRIDGE. Pak by to slo i takto - ale zas vykon nebude nic moc (podle toho na cem ti to pobezi).

Re:Propojení dvou subnetů skrz WAN
« Odpověď #2 kdy: 11. 05. 2020, 09:18:12 »
Protoze se na to ptate, tak stejne rozsahy nelze. Dejte tam VPN a jednu stranu na urovni VPN NATujte na odlisny rozsah.

Re:Propojení dvou subnetů skrz WAN
« Odpověď #3 kdy: 11. 05. 2020, 10:51:36 »
Udělal bych to přesně tak, jak tu bylo navrženo, a to s použitím VPN. OpenVPN umí fungovat ve dvou režimech, a to na linkové (2. - režim "tap", pokud se dobře pamatuju) nebo síťovové vrstvě (3., režim "tun"). Na té linkové vrstvě to bude fungovat právě jako ten bridge a budou moci být na obou stranách adresy ze stejných rozsahů, na strojích s OpenVPN na obou koncích linky pak bude ještě třeba vytvořit bridge nad virtuálním OpenVPN tap rozhraním a lokálním ethernet rozhraním. Není to optimální řešení, ale jako přechodné řešení za dané situace bych to asi jinak nedělal.

Re:Propojení dvou subnetů skrz WAN
« Odpověď #4 kdy: 11. 05. 2020, 11:24:20 »
OpenVPN bych se vyhnul obloukem.
Spojovat dva stejné segmenty do bridge technicky jde, ale přinese to spoustu problémů. Jednodušší je mít sítě odlišné a mezni nimi tradičně routovat. Na to pak "postačuje" standardní ipip a/nebo gre tunel.


Re:Propojení dvou subnetů skrz WAN
« Odpověď #5 kdy: 11. 05. 2020, 13:30:42 »
Sam to pouzivam jiz nekolik let v me "domaci siti" bez problemu - dokonce takto propojuji 4 lokality (uprostred VPS s debianem, na koncich routriky (1xomnia, 3xruzne tp-linky s openwrt)

Jediny "problem" je v preslechu DHCP, ten se nicmene da jednoduse filtrovat rulemi nad bridge.
DHCP v "subsitich" mam samostatne kvuli tomu, aby sit fungovala bez potizi i v momentu, kdy se VPN rozpadne.

Vyhoda bridge v mem pripade jsou ruzne autodiscovery sitovych veci (napr. DLNA).

V zasade je treba jit rezimem tap a ten mit bridgnuty s interfacem lokalni site na obou stranach propoje.