Современные бизнес-процессы часто требуют объединения удалённых сетей, чтобы устройства в разных локациях могли взаимодействовать как будто они подключены к одному коммутатору. Например, представьте офис и склад в разных местах. Благодаря OpenVPN в режиме TAP (виртуальный Ethernet-кабель), можно создать такое соединение.
Примеры использования:
- Общий доступ к сетевым принтерам, NAS, IP-камерам.
- Единый DHCP и DNS без необходимости дополнительной маршрутизации.
- Упрощённое управление устройствами в единой сети.
Типовая схема реализации
Задача: необходимо объединить две удаленные сети в одну посредством OpenVPN
Сеть A (192.168.88.0/24) ←[OpenVPN TAP]→ Сеть B (192.168.88.0/24)
Отличие от обычного (TUN) VPN:
- TUN: Разные подсети, требуется маршрутизация между ними.
- TAP: Одна подсеть, как в одном физическом офисе.
Уточнение: Обе стороны должны использовать одну и ту же IP-подсеть (например, 192.168.88.0/24).
Подготовка: сертификаты и ключи
Для безопасного соединения через OpenVPN необходимы:
- CA (центр сертификации).
- Сертификат и ключ сервера.
- Сертификат и ключ клиента.
Как получить: Инструкция по созданию сертификатов с помощью XCA.
Настройка сервера на LT7x
1. Создание конфигурационного файла .ovpn
Пример шаблонного файла для сервера:
dev tap0 proto udp port 1194 ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server-bridge nogw // не раздаём IP, только мост. keepalive 10 60 comp-lzo persist-key persist-tun verb 3
2. Добавление параметров через веб-интерфейс:
Для загрузки файла конфигурации .ovpn через Web, перейдите в меню "VPN - OpenVPN", в пункте "Загрузка конфигурационного файла OVPN" задайте название, выберите файл конфигурации и нажмите кнопку "Загрузить":
3. Открытие порта в межсетевом экране:
4. Добавление TAP-интерфейса в мост (bridge):
Настройка клиента (на удалённом роутере)
1. Создание конфигурационного файла .ovpn
Пример шаблонного файла для клиента:
client dev tap0 proto udp remote SERVER IP 1194 ca /etc/openvpn/ca.crt cert /etc/openvpn/client.crt key /etc/openvpn/client.key comp-lzo persist-key persist-tun verb 3 nobind
Требуется изменить SERVER IP в строке remote, а также пути до сертификатов, если необходимо.
.ovpn файла.
Запуск и проверка
Запуск из Web:
Перейдите в раздел управления OpenVPN в веб-интерфейсе роутера и нажмите кнопку "Запустить".
Проверка логов:
logread | grep openvpn
Пинги с сервера и клиента до узлов:
Вывод ARP-таблицы:
В выводе команды
arp мы наблюдаем, что на L2 уровне оба устройства видят друг друга
Заключение
Настройка OpenVPN в режиме TAP позволяет эффективно объединять удалённые сети в единую подсеть. Это решение идеально подходит для задач, где требуется прозрачное взаимодействие устройств, как если бы они находились в одном физическом месте. Благодаря простоте настройки и высокому уровню безопасности, этот метод становится популярным выбором для малого и среднего бизнеса.
