Всем привет! Хотел узнать, можно ли вручную настроить site-to-site VPN между двумя USG, которые управляются разными cloud key контроллерами. Оба USG имеют публичные IP (подключены через мостовые кабельные модемы) и используют Dynamic DNS, так что публичные IP доступны через полностью квалифицированные DNS-имена. На обоих стоит 5.4.15 cloud key, а на USG — бета 4.3.48 на одном сайте и последняя публичная прошивка 4.3.41 на другом.
Вот проблема — OpenVPN для site-to-site обычно хочет, чтобы один конец был клиентом, а другой — сервером. Можно ли оставить поле «Remote Host» пустым на стороне сервера, чтобы добиться этого?
Вот мои предполагаемые настройки:
Создать новую сеть -> Site to Site VPN -> VPN тип OpenVPN
Клиентская сторона:
Remote Host: DNS-имя (публичный IP сервера)
Remote Address: туннельный IP удаленной стороны, например, 10.0.0.1/24
Port: 1194
Local Address: туннельный IP локальной стороны, например, 10.0.0.2/24
Port: 1194
Shared secret key: одинаковый с обоих сторон
Серверная сторона:
Remote Host: оставить пустым? (или DNS имя публичного IP клиента??? ужас какой-то)
Remote Address: 10.0.0.2/24 (локальный адрес клиента)
Local Address: 10.0.0.1/24 (удаленный адрес клиента)
Shared secret key: одинаковый с обоих сторон
Сработает ли такое? Я бы экспериментировал, но у меня нет двух USG с разными контроллерами для теста на стенде. Надо делать на рабочем сайте, поэтому хочется быть уверенным, что проблем не возникнет.
USG выступают роутерами на сайтах и полностью контролируют все сети, делают NAT, так что проблем с двойным NAT нет. Публичные IP берут по DHCP у провайдера, и dynamic DNS отлично работает для удаленного доступа. Сейчас оба работают как PPTP VPN серверы, и я пользуюсь ими или облачным доступом.
Зачем это нужно: чтобы сайт 1 мог получить доступ к hotspot менеджеру сайта 2 и создавать ваучеры. Если бы делал заново, наверное, объединил бы оба сайта под одним контроллером.
Буду благодарен за любую информацию!
Вот проблема — OpenVPN для site-to-site обычно хочет, чтобы один конец был клиентом, а другой — сервером. Можно ли оставить поле «Remote Host» пустым на стороне сервера, чтобы добиться этого?
Вот мои предполагаемые настройки:
Создать новую сеть -> Site to Site VPN -> VPN тип OpenVPN
Клиентская сторона:
Remote Host: DNS-имя (публичный IP сервера)
Remote Address: туннельный IP удаленной стороны, например, 10.0.0.1/24
Port: 1194
Local Address: туннельный IP локальной стороны, например, 10.0.0.2/24
Port: 1194
Shared secret key: одинаковый с обоих сторон
Серверная сторона:
Remote Host: оставить пустым? (или DNS имя публичного IP клиента??? ужас какой-то)
Remote Address: 10.0.0.2/24 (локальный адрес клиента)
Local Address: 10.0.0.1/24 (удаленный адрес клиента)
Shared secret key: одинаковый с обоих сторон
Сработает ли такое? Я бы экспериментировал, но у меня нет двух USG с разными контроллерами для теста на стенде. Надо делать на рабочем сайте, поэтому хочется быть уверенным, что проблем не возникнет.
USG выступают роутерами на сайтах и полностью контролируют все сети, делают NAT, так что проблем с двойным NAT нет. Публичные IP берут по DHCP у провайдера, и dynamic DNS отлично работает для удаленного доступа. Сейчас оба работают как PPTP VPN серверы, и я пользуюсь ими или облачным доступом.
Зачем это нужно: чтобы сайт 1 мог получить доступ к hotspot менеджеру сайта 2 и создавать ваучеры. Если бы делал заново, наверное, объединил бы оба сайта под одним контроллером.
Буду благодарен за любую информацию!