OpenVPN Gán địa chỉ IP với netmask không liền kề

Tôi đang làm việc bằng cách sử dụng OpenVPN để kết nối một số điểm truy cập ở các vị trí khác nhau. Tôi đã có ý định gán địa chỉ IP cho các thiết bị để NAT không được sử dụng trong mạng bằng cách sử dụng khối 10.0.0.0/16 theo cách sau:

10.0.0.1 OpenVPN Server
10.0.1.1 OpenVPN Client/Access Point
10.0.2.1 OpenVPN Client/Access Point

Mỗi điểm truy cập (ứng dụng khách OpenVPN) sẽ gán địa chỉ IP từ 10.0.x.2 đến 10.0.x.254 cho các máy khách của nó.

Để hệ thống này hoạt động, OpenVPN sẽ cần phân phát địa chỉ IP cho các máy khách OpenVPN (tức là các điểm truy cập) với mặt nạ mạng con là 255.255.0.255. Tuy nhiên, khi tôi thử điều này, tôi gặp lỗi sau:

Options error: --server directive network/netmask combination is invalid

Có cách nào để làm cho máy chủ OpenVPN gán địa chỉ IP bằng cách sử dụng netmask với các bit không liền kề không? Chẳng hạn, nó sẽ cung cấp cho mỗi máy khách OpenVPN một địa chỉ của biểu mẫu 10.0.x.1.

— Wesley Chalmer
nguồn

Tôi không hiểu Phạm vi địa chỉ IP từ 10.0.x.2 đến 10.0.x.254 vẫn là một mạng lưới 255.255.255.0. Bạn có thể làm rõ? Xin vui lòng không trả lời trong các ý kiến; chỉnh sửa câu hỏi của bạn để làm cho nó rõ ràng và đầy đủ hơn.

— G-Man

Đối với những gì anh ta muốn làm, netmask có thể sẽ là 255.255.0.0 vì DHCP của anh ta không chỉ gán địa chỉ cho octet cuối cùng mà còn từ cái thứ ba. Vấn đề sẽ là (rất có thể) OpenVPN sẽ chỉ định một IP ngẫu nhiên từ nhóm đó. Vì vậy, bạn có thể có 10.0.32.77 và không chỉ được gán 10.0.32.1. Để định tuyến, nó sẽ là 255.255.255.0, đúng vậy.

— Seth

Nếu Điểm truy cập của bạn là để tự gán địa chỉ, bạn không thể sử dụng gán động trên mạng VPN. // Sử dụng 10.0/16trên kết nối sẽ không hoạt động như bạn mong đợi, nhân tiện: Làm thế nào để AP 10.0.1.1biết rằng 10.0.2.123có thể truy cập thông qua 10.0.2.1? Bạn sẽ phải sử dụng proxy_arphoặc tương tự.

— Daniel B

Cảm ơn đã cho tôi biết về proxy_arp; Tôi đã lên kế hoạch để phát điên với ip route addviệc định tuyến hoạt động. Bạn đã tiết kiệm cho tôi rất nhiều thời gian :)

— Wesley Chalmer

Vâng, lời khuyên của tôi là nhiều hơn theo dòng của Don Do not. Bạn đang thiết kế một mạng hoàn toàn dưới sự kiểm soát của bạn. Tại sao phải bận tâm với hack?

— Daniel B

Bạn không thể có netmask là 255.255.0.255. Về mặt kỹ thuật là không thể và không được hỗ trợ. Một netmask mô tả các bit của một địa chỉ được sử dụng để xác định một máy chủ tương phản với chính mạng. Nếu bạn quan tâm đến việc tra cứu này, cách thức hoạt động của mạng con. Có rất nhiều bài viết về nó.

Nếu bạn đang xem một số lượng khách hàng cố định, chỉ cần sử dụng cấu hình IP cố định thay vì cấu hình DHCP. Hãy xem Làm thế nào để đặt IP tĩnh (phía máy khách) trong OpenVPN? trên ServerFault để biết thêm thông tin. Một trong những câu trả lời có thể phù hợp với trường hợp của bạn.

— Seth
nguồn