asterisk.ru

Возник вопрос: Есть тупое ethernet устройство типа телефона, которое может просто выставить IP на интерфейсе.
Его необходимо ввести в сеть через OpenVPN, т.е. чтобы оно имело внутренний IP сети. Само по себе оно VPN поднять не сможет. Решение - между ними какой-нить тазик на Атоме/VIA/Geode... который будет поднимать VPN сеть.
Сейчас получается схема типа
Устройство (LAN1.IP1) - (LAN1.IP2) Тазик для VPN (TUN0.IP1) - ... - (TUN0.IP2) VPN Сервер
Т.е. между устройством и VPN-сетью вылазит NAT, чего бы не хотелось. Вопрос: можно ли как-то транслировать выдаваемый VPN-сервером IPшник на устройство?

Samael28 писал(а):Решение - между ними какой-нить тазик на Атоме/VIA/Geode... который будет поднимать VPN сеть.

(громко шепчет) Микротик, Микротик
И OpenVPN интерфейс сбриджевать с портом куда вставлен телефон.

между устройством и VPN-сетью вылазит NAT

это от кривости рук

роуты прописать нормально чтоб при поднятии VPN применялись и разрешить IP форвардинг на обоих тазиках.
железяка будет в другой подсети, но ходить будет без маскарадинга.

True!
В схеме Устройство (LAN1.IP1) - (LAN1.IP2) Тазик для VPN (TUN0.IP1) - ... - (TUN0.IP2) VPN Сервер
нет никакого НАТа.

Например: Устройство (192.168.0.100) - (192.168.0.1) Тазик для VPN (tun0 = 10.1.2.3) - ... - (tun0 = 10.1.2.4) VPN Сервер 172.16.22.50
На устройстве Тазик для VPN должен быть маршрут
route add -net 172.16.0.0/16 -dev tun0
а на VPN Сервере -
route add -net 192.168.0.0/24 -dev tun0

NAT не от кривости рук, а от необходимости. Если таких устройств несколько, а ВПН сервер один, то что, каждому давать подсеть и писать роуты на VPN сервере? Ну 10 можно прописать. А 1000?
А вот можно поподробнее про микротик в этом решении? Просто я не совсем понимаю, как бридж тут поможет.
Хотелось бы чтобы устройство получало IPшник напрямую в сети OpenVPN.

Я думаю что в принципе нативный линукс тоже это все должен уметь (поскольку микротик на нем основан).
Но его я настолько хорошо не знаю поэтому решал бы так.

Насколько я понял задачу то для ее решения с помощью микротиков можно следующее сделать:
- есть VPN-концентратор
- есть клиентский роутер который устанавливает VPN-соедиенние с этим концентратором
- поверх этого соединения подымаем EoIP (Ethernet over IP) тунель
- со стороны VPN-концентратора бриджуем этот туннель в тот интерфейс где у нас SIP- и DHCP-сервера
- со стороны клиентского роутера бриджуем этот туннель на интерфейсы где подключены телефоны

Таким образом телефоны оказываются в одном Ethernet-сегменте с SIP-сервером (не нужен NAT) и могут получать адреса по DHCP.
Минусом являются накладные расходы на инкапсуляцию изернета в айпи но они как я помню небольшие, в пределах 10%.

Я бы такую задачу решал так... минуты на 2 мышью поклацать

Как я понял, Ethernet over IP - это фишка чисто Микротика.

Исходно да.
Но люди с таким смирится не могут
http://forum.nag.ru/forum/index.php?showtopic=63073

Забыл в первом сообщении написать - телефоны Yealink / IPMatika в последних прошивках уже имеют OpenVPN клиента.

Ок, спасибо, почитаю. Это не для телефонов, это для видеосистем. Для обхода проблем с NAT клиентов.