Описание тега ibm

О этот ответ (учебник):

Этот учебник предназначен для демонстрации на уроках "ситуации успеха" для Кеа по DHCP от ISC (DHCPv4) конфигурации и развертывания. В частности, продемонстрировать нажатием маршруты DHCP-клиентам. Другие точки тоже считаются для конкретного случая и там, чтобы сделать демонстрации более менторским.

В конкретном случае (моделирование используя VirtualBox) мы используем для OpenVPN туннель и мы продемонстрируем, как сделать маршрутизацию, чтобы использовать его двумя способами в локальной сети к локальной сети инфраструктуры.

Этот учебник построен с учетом сценария, где у нас есть сервер в Интернете (Serverloft) под управлением гипервизора (Зен) на одном конце и VPN в корпоративной сети в другом конце VPN, где все серверы обеих сетей возможность общаться в прозрачную сторону.

Другие соображения по всему этому руководству и мы рекомендуем прочитать его полностью.

Мы чувствуем необходимость сделать этот учебник, поскольку ничего "практического", как он может быть найден в интернете. Этот учебник также нацелена на аудиторию, которая как мы имеет большую сложность с основными понятиями, представленные здесь.

Прежде чем мы продолжим, мы хотели бы поблагодарить многих людей, которые помогали в этом процессе. В частности, мы благодарим пользователей: @Филипе Бранденбургер , @Руи Ф Рибейро , @А. Б @Исаак, @ОДС и другим (к сожалению, мы не можем процитировать все).

Сервера в этом уроке:

Сервер #1 - Клиент DHCPv4 (ИПС заканчивая 3);
Сервер #2 - Клиент DHCPv4 и OpenVPN сервер (ИПС заканчивая 4);
Сервер #3 - DHCPv4 клиента и клиента OpenVPN (ИПС заканчивая 5);
Сервер #4 - клиентов DHCPv4 (ИПС заканчивая 6);
Сервер #5 - Кеа DHCP-сервер цои (DHCPv4) сервер (ИПС заканчивая 2).

Примечание: все сервера в CentOS 7.

Подсетей:

192.168.56.0/24
10.1.2.0/24
10.1.4.0/24
10.1.6.0/24
10.8.0.1/24 (VPN-туннель)

Сервер #5 - Кеа DHCP-сервер цои (DHCPv4-сервера):

. Установка Кеа по DHCP от ISC (DHCPv4) на CentOS 7

ням-г установить gcc-c++ и в OpenSSL-Devel, который через wget

компакт-диски /usr/местные/src в/
с wget https://dl.bintray.com/boostorg/release/1.67.0/source/boost_1_67_0.tar.gz
тар-zxvf boost_1_67_0.tar.gz
компакт-диск boost_1_67_0
./bootstrap.sh
./В2 установите
РМ -РФ /usr/местные/src/и boost_1_67_0*

компакт-диски /usr/местные/src в/
с wget https://github.com/log4cplus/log4cplus/releases/download/REL_2_0_1/log4cplus-2.0.1.tar.gz
тар zxvf log4cplus-2.0.1.tar.gz
компакт-диск log4cplus-2.0.1
./настроить
сделать
сделать установить
РМ -РФ /usr/местные/src/и log4cplus-2.0.1*

компакт-диски /usr/местные/src в/
с wget https://ftp.isc.org/isc/kea/1.4.0/kea-1.4.0.tar.gz
тар zxvf kea-1.4.0.tar.gz
компакт-диск Кеа-1.4.0
./настройки --включить-оболочки
сделать
сделать установить
РМ -РФ /usr/местные/src в/Кеа-1.4.0*

. Создать настройки (параметры запуска) на услуги Кеа в systemd (systemctl)...

в. 'в/usr/lib в/systemd в/системы/Кеа-dhcp4.служба'

[Блок]
Описание=Кеа DHCPv4-Сервера
Документация=человек:Кеа-dhcp4(8)
Хочет=сеть-онлайн.цель
После=сеть-онлайн.цель
После=время-синхронизация.цель

[Услуги]
ExecStart=/usr/местные/sbin/Кеа-dhcp4 -с /usr/местные/и т. д./Киа/Киа-dhcp4.конф

[Установите]
WantedBy=Multi-потребителя.цель

в. 'в/usr/lib в/systemd в/системы/Кеа-dhcp6.служба'

[Блок]
Описание=Кеа Сервера DHCPv6 
Документация=человек:Кеа-dhcp6(8)
Хочет=сеть-онлайн.цель
После=сеть-онлайн.цель
После=время-синхронизация.цель

[Услуги]
ExecStart=/usr/местные/sbin/Кеа-dhcp6 -с /usr/местные/и т. д./Киа/Киа-dhcp6.конф

[Установите]
WantedBy=Multi-потребителя.цель

в. 'в/usr/lib в/systemd в/системы/Кеа-протокола DHCP-сервера DDNS.служба'

[Блок]
Описание=Кеа для DHCP-сервер DDNS
Документация=человек:Кеа-протокола DHCP-сервера DDNS(8)
Хочет=сеть-онлайн.цель
После=сеть-онлайн.цель
После=время-синхронизация.цель

[Услуги]
ExecStart=/usr/местные/sbin/Кеа-протокола DHCP-сервера DDNS -с /usr/местные/и т. д./Киа/Киа-протокола DHCP-сервера DDNS.конф

[Установите]
WantedBy=Multi-потребителя.цель

. Создать (настроить) настройки файл "/usr/местные/и т. д./Киа/Киа-dhcp4.конф"...

СР '/usr/местные/и т. д./Киа/Киа-dhcp4.conf' и '/usr/местные/и т. д./Киа/Киа-dhcp4.conf_BAK'

ви '/usr/местные/и т. д./Киа/Киа-dhcp4.conf'и

{
 "Dhcp4": {
 "интерфейсы-конфиг": {
 "интерфейсы": ["enp0s8", "enp0s9", "enp0s10", "enp0s17"]
},
 "управление-исполнение": {
 "гнездо" типа: "Юникс",
 "гнездо-имя": "/tmp/и-кеа-dhcp4-упр.носок"
},
 "аренда-база данных": {
 "тип": "memfile",
 "жусс-интервал": 1800
},
 "истек-аренда-переработка": {
 "восстановить таймер-времени ожидания": 10,
 "флеш-регенерат-таймер-подождите-время": 25,
 "держи-регенерат-время": 3600,
 "максимум-вернуть-лизинг": 100,
 "максимум-вернуть-время": 250,
 "непредупреждение-вернуть-циклов": 5
},
 "действительной жизни": 4000,
 "обновить-таймер": 1000,
 "перепривязать-таймер": 2000,

 // Определяет "rfc3442-бесклассовые статические маршруты" вариант.
 // Подробнее https://unix.stackexchange.com/a/460147/61742 .
 "вариант-деф": [{
 "имя": "rfc3442-бесклассовые статические маршруты",
 "код": 121,
 "космос": "dhcp4",
 "тип": "запись",
 "массив": правда,
 "рекорд-типы": "тип uint8,тип uint8,тип uint8,тип uint8,тип uint8,тип uint8,тип uint8,тип uint8"
}
],

 "subnet4": [{
 "интерфейс": "enp0s8",
 "подсеть": "10.1.2.0/24",
 "бассейны": [{
 "бассейн": "10.1.2.3 - 10.1.2.254"
}
]
 }, {
 "интерфейс": "enp0s9",
 "подсеть": "10.1.4.0/24",
 "бассейны": [{
 "бассейн": "10.1.4.3 - 10.1.4.254"
}
],

 // Резервирование IP-адреса для интерфейсов, которые имеют эти MAC-адреса в этой сети.
 "оговорки": [{
 // Сервер 3# (4)
 "гв-адрес": "08:00:27:71:77:07",
 "IP-адрес": "10.1.4.5"
 }, {
 // Сервер 4# (6)
 "гв-адрес": "08:00:27:Е0:С2:С8",
 "IP-адрес": "10.1.4.6"
}
],

 // Определяет маршрут, чтобы быть помещена в эту подсеть.
 // Подробнее https://unix.stackexchange.com/a/460147/61742 .
 "вариант-данные": [{
 "имя": "rfc3442-бесклассовые статические маршруты",
 "сведения": "24,10,1,6,10,1,4,5"
}
]

 }, {
 "интерфейс": "enp0s10",
 "подсеть": "10.1.6.0/24",
 "бассейны": [{
 "бассейн": "10.1.6.3 - 10.1.6.254"
}
],

 // Резервирование IP-адреса для интерфейсов, которые имеют эти MAC-адреса в этой сети.
 "оговорки": [{
 // Сервер-1# (3)
 "гв-адрес": "08:00:27:56:84:1Ф",
 "IP-адрес": "10.1.6.3"
 }, {
 // Сервер 2# (4)
 "гв-адрес": "08:00:27:2С:Д1:58",
 "IP-адрес": "10.1.6.4"
}
],

 // Определяет маршрут, чтобы быть помещена в эту подсеть.
 // Подробнее https://unix.stackexchange.com/a/460147/61742 .
 "вариант-данные": [{
 // Сервер 3# (4) е сервер 4# (6)
 "имя": "rfc3442-бесклассовые статические маршруты",
 "сведения": "24,10,1,4,10,1,6,4"
}
]

 }, {
 "интерфейс": "enp0s17",
 "подсеть": "192.168.56.0/24",
 "бассейны": [{
 "бассейн": "192.168.56.3 - 192.168.56.254"
}
],
 "вариант-данные": [{
 "имя": "доменное-имя-сервера",
 "сведения": "192.168.56.1"
 }, {
 "имя": "маршрутизаторы",
 "сведения": "192.168.56.1"
}
],

 // Резервирование IP-адреса для интерфейсов, которые имеют эти MAC-адреса в этой сети.
 "оговорки": [{
 // Сервер-1# (3)
 "гв-адрес": "08:00:12:26:Е2:6С",
 "IP-адрес": "192.168.56.3"
 }, {
 // Сервер 2# (4)
 "гв-адрес": "08:00:1С:А6:В9:59",
 "IP-адрес": "192.168.56.4"
 }, {
 // Сервер 3# (5)
 "гв-адрес": "08:00:ЕА:4Э:40:ае",
 "IP-адрес": "192.168.56.5"
 }, {
 // Сервер 4# (6)
 "гв-адрес": "08:00:27:АА:Е7:60",
 "IP-адрес": "192.168.56.6"
}
]
}
]
},
 "Вход": {
 "лесорубы": [{
 "имя": "Кеа-dhcp4",
 "output_options": [{
 "выход": "/usr/местные/ВАР/лог/Кеа-dhcp4.журнал"
}
],
 "тяжесть": "информация",
 "debuglevel": 0
}
]
}
}

. Настройка сетевых интерфейсов

Эти сетевые интерфейсы будут предоставить сервер DHCP для всех машин (см. "Кеа-dhcp4.конф" выше).

Примечание: В сценарии реального мира машины, которые находятся на "стороне для OpenVPN сервер сети" будет собственный DHCP-сервера и машины, которые находятся на "OpenVPN в сети со стороны клиента" будет владеть другой DHCP-сервер. Этот отдел работает отлично, а речь идет о "слое 2" в модели OSI, которая является, следовательно, изолированы от "слоя 3", где будет "маршрутизация", "ИС вперед" и т. д., которые станут частью интеграции двух сетей.

ви 'в/etc/sysconfig/сети-скрипты/файл ifcfg-enp0s17'

Переменной bootproto=статическое
Устройство=enp0s17
Сервера dns1=192.168.56.1
Шлюз=192.168.56.1
При=192.168.56.2
IPV6INIT=НЕТ
Маска подсети=255.255.255.0
NM_CONTROLLED=да
Наоборот-при восстановлении=да
USERCTL=НЕТ

ви 'в/etc/sysconfig/сети-скрипты/файл ifcfg-enp0s8'

Переменной bootproto=статическое
Устройство=enp0s8
При=10.1.2.2
IPV6INIT=НЕТ
Маска подсети=255.255.255.0
NM_CONTROLLED=да
Наоборот-при восстановлении=да
USERCTL=НЕТ

ви 'в/etc/sysconfig/сети-скрипты/файл ifcfg-enp0s9'

Переменной bootproto=статическое
Устройство=enp0s9
При=10.1.4.2
IPV6INIT=НЕТ
Маска подсети=255.255.255.0
NM_CONTROLLED=да
Наоборот-при восстановлении=да
USERCTL=НЕТ

ви 'в/etc/sysconfig/сети-скрипты/файл ifcfg-enp0s10'

Переменной bootproto=статическое
Устройство=enp0s10
При=10.1.6.2
IPV6INIT=НЕТ
Маска подсети=255.255.255.0
NM_CONTROLLED=да
Наоборот-при восстановлении=да
USERCTL=НЕТ

Сервер #2 - DHCPv4 клиента и сервера OpenVPN:

. Настройка сервера OpenVPN

ви 'в/etc/openvpn подключения/сервера/сервера.conf'и

Важно: мы только рассматриваем конфигурации, строго необходимые для работы OpenVPN в предлагаемой инфраструктуры ("сервер.conf" и "client0"). Требуется другие параметры. Для получения дополнительной информации, проверьте с OpenVPN документации. Более подробную информацию о потребности обращалась сюда по этой ссылке https://openvpn.net/index.php/open-source/documentation/howto.html#scope .

Дэв Тун
топология подсети
сервер 10.8.0.0 255.255.255.0
нажимаем "маршрут 10.1.6.0 255.255.255.0"
нажимаем "маршрут 10.1.4.0 255.255.255.0"
клиент-клиент
команду ifconfig 10.8.0.1 255.255.255.0

. Настройка клиента OpenVPN

Примечание: эти параметры расходуются клиентом на стороне сервера.

ви 'в/etc/openvpn в/ГТД/client0'

команду ifconfig-пуш 10.8.0.6 255.255.255.0
iroute 10.1.4.0 255.255.255.0
маршрут 10.1.4.0 255.255.255.0

Сервер #3 - клиент DHCPv4 и клиента OpenVPN

. Настройка клиента OpenVPN

ви 'в/etc/openvpn в/клиента/client0.conf'и

Дэв Тун
дистанционное 192.168.56.4 1194

Сервер #2 е #3:

. Откройте брандмауэр для "OpenVPN" (сервер #2 и #3)

Примечание: OpenVPN-это не фокус, поэтому мы не будем здесь вдаваться в подробности!

в firewall-cmd --постоянного --добавить-OpenVPN сервис
в firewall-cmd --постоянного --добавить-маскарад
брандмауэр cmd --перезагрузить

. Разрешить "ip_forward" (сервер #2 и #3)

Эхо -н "нет.протокол IPv4.ip_forward=1

">> /и т. д./sysctl.д/ip_forward.конф
команды sysctl -w в сети.протокол IPv4.ip_forward=1

Сервер #1, #2, #3 е #4:

. Настройка сетевых интерфейсов

ви 'в/etc/sysconfig/сети-скрипты/файл ifcfg-enp0s8'

Примечание: все интерфейсы на всех машинах, следуют этой же модели, так как конфигурации сети будет предоставляться на сервере #5 (Кеа DHCP-сервера).

Переменной bootproto=DHCP-сервер
Устройство=enp0s8
IPV6INIT=НЕТ
Наоборот-при восстановлении=да
Зоны=общественные

ви 'в/etc/sysconfig/сети'

Сети=да

Тест:

. Этот учебник будет успешно выполнен, если все эти тесты являются положительными:

Сервер #1
 пинг 10.1.4.5 # (#3)
 СШ <пользователь>@10.1.4.5 # (#3)
 пинг 10.1.4.6 # (#4)
 СШ <пользователь>10.1.4.6 # (#4)
Сервер #2
 пинг 10.1.4.5 # (#3)
 СШ <пользователь>10.1.4.5 # (#3)
 пинг 10.1.4.6 # (#4)
 СШ <пользователь>10.1.4.6 # (#4)
Сервер #3
 пинг 10.1.6.3 # (#1)
 СШ <пользователь>10.1.6.3 # (#1)
 пинг 10.1.6.4 # (#2)
 СШ <пользователь>10.1.6.4 # (#2)
Сервер #4
 пинг 10.1.6.3 # (#1)
 СШ <пользователь>10.1.6.3 # (#1)
 пинг 10.1.6.4 # (#2)
 СШ <пользователь>10.1.6.4 # (#2)

Советы:

Интернет (WAN) тест

завиток http://www.google.com

Обновить DHCP на клиентах

программа dhclient -Р

Удалить настройки DHCP арендует у клиентов:

Примечание: важно проверить работу DHCP-сервера.

РМ -РФ $(найти /ВАР/Либ/диспетчер связи/ -имя "*.аренды" | для egrep <NETWORK_INTERFACE_NAME>)

Удалить настройки DHCP адреса от сервера:

Примечание: важно проверить работу DHCP-сервера.

РМ -РФ /usr/местные/ВАР/Киа/Киа-leases4.КШМ*

Другие рекомендации:

Общие рекомендации и о среде, используемые в этом учебнике:

1. Этот учебник конфигурация была построена в тестовой среде, используя VirtualBox;

2. Все сети в "внутрикомпьютерный" и один из них (192.168.56.0/24) есть интернет (см. раздел 3). Никто из них не должен есть VirtualBox DHCP включен;

3. По умолчанию "узлом" сети не имеют доступа к интернету ( https://www.virtualbox.org/manual/ch06.html#networkingmodes ). Однако, в этом учебнике https://forum.manjaro.org/t/manjaro-and-virtualbox-host-only-with-internet/28722/12 я учу, как "обойти" это ограничение;

4. Интернет (WAN) сети 192.168.56.0/24 должна быть активирована только тогда, когда это необходимо. Должны быть отключены для выполнения тестов, за исключением проверки доступ в интернет (завиток http://www.google.com) на серверах #1, #2, #3 и #4 (см. 3);

5. Такие услуги, как "раздача" и "сетевой экран" должен быть отключен на хосте, когда в сети тесты (пинг, SSH и т. д) (см. раздел 3);

6. Вообще говоря, нет DHCP должен быть на уровне 2 сети в ходе тестов, кроме того, что на сервере #5.

Используйте бочку с краном (для OpenVPN) - Обсуждение:

Мы транспонировать ниже Часть чата ( chat.stackexchange.com ) между @Эдуардо Люсио и @Исаака о развертывании модели в этом ответе. Мы ( @Эдуардо Люсио ) выбрал, на данный момент, для использования "Тун", хотя это был "более трудоемкий" конфигурации. Однако если вы хотите по-настоящему прозрачная интеграция между сетями на обеих сторонах VPN опт для крана (со всеми своими плюсами и минусами). Я считаю, что разъяснения @Исаак очень актуальны, чтобы решить, что использовать (TAP или tun) и так перемешаны здесь так, что он может достичь большего числа людей.

Эдуардо Люсио СБ 15:22 @Исаак https://serverfault.com/questions/21157/should-i-use-tap-or-tun-for-openvpn/21168#21168 Я считаю, что это способ получить вещи сделано без маршрутизатора. Смотреть: "если вам нужно преодолеть два Ethernet сегментов в двух разных местах затем с помощью крана. в такой установке можно компьютеры в одной IP-подсети (например 10.0.0.0/24) на обоих концах VPN-соединение". Так что "VPN будет действовать как коммутатор Ethernet". Но тут появляется другой вопрос ... с этим модель я мог бы, например, машины, которые есть в сети. 10.7.1.0/24 (ВПН стороны) общения прозрачно с сетью 192.168.58.0/24 (сеть VPN сторона B)?

Исаак сидел 22:19 Вы начинаете принимать правильные вопросы.

Но у вас есть маршрутизатор в каждой сети!! Ну, вроде того.

Есть только два пути, по которым пакет будет добраться до компьютера: (1) Компьютер является частью того же провода , а другой компьютер ( одного слоя 2 рамки) как все порты (простого) выключателя (или старый название хаб) или принадлежат к одной VLAN (если вы не имеете опыта в ЛС пожалуйста, просто сохранить данные для дальнейшего использования и забудь, что я когда-либо упоминал об этом сейчас).

Исаак сидел 22:52 (2) пакет будет маршрутизировать между двумя слоя 2 прицелы маршрутизатором. Решение о маршрутизации пакета (или нет) берется по таблице маршрутизации коммутатора.

До этого момента это просто общее описание того, что вы может найти никакого отношения к вашему конкретному случаю использования, пока вы не поймете что когда вы говорите компьютер, чтобы пересылать пакеты, компьютер действуя в качестве устройства маршрутизации, короче, маршрутизатор. Что роутер должен есть таблицы маршрутизации. Например, если предположить ( у вас действительно есть беспорядок цифры на каждый вопрос они разные, это делает довольно трудно чтобы быть конкретным) сервер 4 (в 10.1.4.6), который является VPN-клиентом надо вперед активирован и должен быть установлен для прохождения всех пакетов вижу, что у 10.1.6.X в качестве назначения к интерфейсу Тун. В пакеты введите VPN и выход VPN на другой стороне. Сервер 3 (в той же сети диапазон 10.1.4.г в 10.1.4.5) просто нужно иметь по умолчанию (шлюз) маршрут для отправки всех пакетов, которые не в его собственную сеть диапазон (10.1.4.0/24) на ГВт 10.1.4.6.

Как только пакеты от VPN достичь другого компьютера server2 (в 10.1.6.4) они должны направляться также на маршрутизатор и маршрутизатор в офисе должны иметь димые для отправки любой пакет с пунктом 10.1.4.х с сервером 2. Сервер 2 должен внутренне маршрут (и такие записи маршрута) все пакеты, то получите в интерфейс Тун. Он ясно объяснил? Все, что маршрутизация нужен, потому что устройство используется Тун (устройство слоя 3).

Гораздо проще (и более небезопасным устройством) кран (устройство 2 слоя). Думайте об этом как коммутатор, к которому вы добавляете компьютеры. Он будет вперед все пакеты он получит, будут те, направлено против какой-либо (Уровень 3) IP-адрес или эти широковещательные пакеты, резолюций АРП и другие. В таких ощущение, что откроет компьютеров в вашем офисе локальную сеть на ARP атак из компьютеры на другую сторону сети. Все компьютеры на обоих сторонах VPN станет большой радостью (всем доверяет другие семьи). Сказав это, тогда да-пакетов, поступающих на ИС адрес 10.7.1.0/24 появится на другой стороне сети. Но как вам фраза вашего вопроса: (машин на 10.7.1.0/24 и 192.168.58.0/24 будет возможность пообщаться?) сил нет ответить. Единственный способ, которым компьютеры на разнородные (частных) сетей общаться друг с другом, когда они имеют свои локальные адреса перевод внешнего (удаленного) адресов через NAT (сетевой адрес Перевод) или аналогичный. Поэтому каждой стороны нац увидите тот же диапазон сети. Все выше просто чехлы для IPv4. Вам нужно будет просмотреть это и расширение для IPv6.