יום שישי, אוגוסט 10, 2012

להתחבר ב openvpn ע"ג HSDPA לתוך SSG5


המחשב שלי מתחבר באמצעות HSDPA (או לפעמים סתם 3G) לאינטרנט באמצעות שימוש בחבילת דאטה,
הבעיה היא שכתובת הIP שאני יוצא ממנה מתחלפת אחת ל X זמן (לפעמים אפילו מדובר בפרקי זמן של 7 דקות) פעולה שמחייבת שימוש באיזשהוא dynamic dns.מהמחשב אני מתחבר  לנתב של רשת האירגונית שגם הוא מחליף את הכתובת החיצונית (הציבורית) שלו אחת ל Y זמן. (ואין לי מושג מה הקשר בין Y ו X).


הבעיה ממשיכה כי אין לי שליטה על נקודת היציאה שלי (הכתובות ממנה אני יוצא הם דינמיות וגם מבצעות NAT) ובשביל להתחבר לרשת אירגונית אני גם צריך לעבור דרך SSG5. והשרת עליו אני מתחבר הוא windows 7 .

בגלל שאין לי גישה לכל הנתבים אני רוצה שמרחב הכתובות שיינתן ע"י openvpn יהיה זהה כמו בנתב (לא משנה אם אני מחוץ למשרד או בפנים אני צריך את אותו מרחב הכתובות).


אז:

הנתב יושב ע"ג somenonexistingserver.no-ip.info
הכתובת הפנימית של הנתב 192.168.10.1
מרחב הכתובות שאני רוצה לקבל כאשר אני מחוץ למשרד 192.168.10.128-192.168.10.254
כתובת המחשב שמריץ את openvpn היא 192.168.10.4


דבר ראשון הגדרת SSG5 לאפשר מעבר של openvpn לתוך הרשת האירגונית :

1. בתוך : policy->policy elements->services->custom לייצר service חדש :
service name: openvpn
transport protocol tcp , source port 0->65535 , dest protocol 1194->1194
transport protocol udp , source port 0->65535 , dest protocol 1194->1194

2. בתוך policies וליצור מעבר מuntrust ל trust ואז new.
source address: New address: mobile provider subnet (GGSN?)
dest address : New Address : VIP(ethernetx/x)
בתוך service בחרו openvpn
בתוך action בחרו permit

3. בתוך network->interfaces->list בחרו את ethernetx/x ושם edit
בחרו vip
בחרו new vip service
בתוך virtual ip בחרו את ה IP הציבורי שלכם (ברירת מחדל)
בתוך virtual port את הפורט שמאזין בחוץ ברירת מחדל במקרה שלנו היא 1194
בתוך map to service בחרו openvpn
map to ip : תמלאו את ה IP הפנימי עליו רץ שירות ה openvpn בדוגמה הזאת (192.168.10.4)

בנקודה זו הסתיימה הגדרת SSG5 הסתיימה.

הגדרות openvpn :

בגלל שמדובר בסביבת windows ובגלל שאני צריך גישה לwindows share וגם להשאר באותו מרחב הכתובות אני משתמש ב bridged,  כמו כן בגלל שינוי ה IP אני משתמש באפשרות float ,ובשביל להקל עלי את החיים משתמש ב tap הפרוטוקול שבחרתי הננו TCP.

אני ייצרתי שתי CA שונים אחד שחותם על השרת והשני יחתום על חותמות ה client (אבל אין זה חובה).

הורידו את מנהל ההתקנה והתקינו לפי הצורך (אני לא בחרתי בservice כי אני רוצה לוודא מתי התהליך ירוץ ולהכריח הפעלה ידנית).


העתיקו את קובץ ההגדרות של (server.ovpn) לתיקיית config
שנו מtun ל tap
שנו את השם של  הtap device   למה שייצרתם בnetwork settings 
dev-node name-as-in-network-settings
אני שיניתי את הפרוטוקול מudp ל tcp
הוסיפו שורת server-bridge:

server-bridge 192.168.10.4 255.255.255.0 192.168.10.128 192.168.10.254

זהוא נגמר בצד השרת.

בצד הלקוח :
בצעו החלפה מtun ל tap
וודאו שפרוטוקול התקשורת זהה למה שקיים בצד השרת.
החליפו את שם השרת המארח :
remote my-server-1 1194
ל  remote somenonexistingserver.no-ip.info 1194
הוסיפו שורת ns-cert-type server


אחרי שביצעתם חיבור לopenvpn :
אני מוסיף ידנית את טבלת הניתוב בשביל subnet אחרים שנגישים פיזית מהרשת הראשונה אליה אני מתחבר.
ואם אתם רוצים גם שכל התעבורה תצא משם אז :


למידע נוסף:
מדריך מלא להתקנה עבור מקרה bridged

אין תגובות:

הוסף רשומת תגובה