openvpn, NAT, routing

Marek Barton bivoj na pohoda.com
Pondělí Srpen 1 17:42:54 CEST 2005 

> Podla mna to zle konfigurujes,

mozny je vsechno, proto se ptam ;-)

> vymsyli si siet, nejaku aky nemas, napr. 10.10.0.0/24
>

mam 10.0.0.0/24

> bude to takto:
>
> <lan1 = 192.168.1.0/24> <router s verenouip a ip_vpn 10.10.0.1> <router
> s neverejnou a ip vpn 10.10.0.2> <lan2 =192.168.2.0/24>

presne takhle to mam.

> konfiguracia na strane s verejnou ip
>
> okrem ineho tak:
> ifconfig 10.10.0.1 10.10.0.2
>
>
> konfigurcia na strane routeru s neverejnou ip
> ifconfig 10.10.0.2 10.10.0.1
> remote <verejna ip toho druheho
>
> v taktomto stave ked sa ti spoja mal by si vediet pingnut z jednohu
> adresu 10.10.0.1 a z druheho 10.10.0.2

vsechno funguje, jak jsem psal v prvnim mailu.

> potom musis ce iptables povolit forward na zariadenie tun na jednom aj
> druhom routeri(to mas asi)

nevim co presne myslis, ale default policy ve FORWARD mam ACCEPT, takze
dalsi explicitni pravidla nejsou treba (si myslim).

> potom musis do konfigurakov pridat
>
> up pridat_routovanie.sh
>
>
> v tom subore budes mas
> route add -net 192.168.2.0 netmask 255.255.255.0 gw $5
>
> v druhom
> route add -net 192.168.1.0 netmask 255.255.255.0 gw $5
>

mam, a jak jsem psal v prvnim mailu, ve variante kdy oba vpn konce maji
verejnou adresu, tak mi komunikace mezi lan1 a lan2 jede, takze routing
chybu nema.

>
> podla mna si nemal dobre UP -scripty alebo nemas povoleny forward z tun
> infterfejsu

pokud delam ping z lan2 192.168.2.10 na ip_vpn bodu A 10.0.0.1, tak
routing pro subnety je nepodstatny. Me uz nejde totiz tento ping na
vzdalenou ip_vpn. (Z bodu B jde).

Ten forward mi prosim rozved, ale pokud myslis tohle:
iptables -A FORWARD -i tun+ -j ACCEPT

tak to je v pripade default policy ACCEPT podle me zbytecny. Presto jsem
to zkusil a vysledek, je furt stejny.

Chybu v konfiguraci samozrejme mit muzu, ale znovu opakuji, ze mi to cele
bezelo bez problemu, pokud oba vpn konce meli verejnou ip. Po zmene jedno
na neverejnou se zmenilo v konfiguraci pouze remote a pridal se
portforward upd portu na NAT box, ktery preklada druhy vpn konec. Nic vic.
Podle me a z toho vypisu tcpdumpu to dost vypliva, ze je problem pro
openvpn ty dva preklady za sebou. ;-( Nebo tobe to snad funguje?

Marek Barton

Další informace o konferenci Linux