www.kokos.cz

Způsobů, jak vytvořit sito-to-site vpn je spousta. Podobnou konfiguraci jsem použil pro přístup do EC2 cloudu. Lze sice doinstalovat openvpn na téměř jakýkoliv stroj který vám v cloudu běží, ale ostatní stroje jsou pak na něm závislí a vzniká určité omezení. Pokud jsou veškeré routovací funkce v jednom samostatném img, správa se stává jednodušší a přehlednější.

Proč openvpn? Je předvídatelné, jasně si definuji na jakém jednom portu poběží, zda tcp, udp, prochází bez problémů přes NAT a je jednoduché pro něj nastavit fw pravidla, projde i přes EC2 AWS fw, narozdíl od l2tp ipsecu.

Takže k zadání – propojit vzdálenou site a lokální site prostÅ™ednictvím internetu a spojit tak obÄ› sítÄ›.

Nejdříve si vyrobíme statický klíč, ten rozdistribuujeme na obě strany

openvpn –genkey –secret /root/secret

configure
set interfaces openvpn vtun0
set interfaces openvpn vtun0 remote-address 10.0.0.1
set interfaces openvpn vtun0 local-address 10.0.0.2
set interfaces openvpn vtun0 remote-host 1.2.3.4
#remote hostů muze byt definovano vice
set interfaces openvpn vtun0 mode site-to-site
set interfaces openvpn vtun0 shared-secret-key-file /root/secret
commit

Druhá strana samozřejmě s obrácením local-address- remote-address a správným remote-host.

Dalšími parametry jde samozřejmě měnit porty, šifrování, nicméně v této podobě bude spojení funkční, routing záleží na specifickém nastavení vaší infrastruktury, zda použijete statický nebo dynamický, atd.