openvpn, NAT, routing

Jan Nemsak janko na janko.sk
Pondělí Srpen 1 19:01:35 CEST 2005 

Mne to funguje
Ziaden forward udp portu som nemusel robit, jeden ma verejnu ip a druhy
sa na nu pripaja, takze ten druhy nemusi mat forward portu lebo packetu
sa k nemu dostanu, lebo su related/estabilished

Ked chces mozme viac cez icq/jabber zajtra, dnes uz musim ist.
Ale ja mam rozchodemych asi aj viac ako 10 vpn a vsetky ficia, maloktore
maju oba konce verejnu ip.
A aj kombinacie linux-win aj linux-linux

Pekny den

Jano
On Po, 2005-08-01 at 17:42 +0200, Marek Barton wrote:
> > Podla mna to zle konfigurujes,
> 
> mozny je vsechno, proto se ptam ;-)
> 
> > vymsyli si siet, nejaku aky nemas, napr. 10.10.0.0/24
> >
> 
> mam 10.0.0.0/24
> 
> > bude to takto:
> >
> > <lan1 = 192.168.1.0/24> <router s verenouip a ip_vpn 10.10.0.1> <router
> > s neverejnou a ip vpn 10.10.0.2> <lan2 =192.168.2.0/24>
> 
> presne takhle to mam.
> 
> > konfiguracia na strane s verejnou ip
> >
> > okrem ineho tak:
> > ifconfig 10.10.0.1 10.10.0.2
> >
> >
> > konfigurcia na strane routeru s neverejnou ip
> > ifconfig 10.10.0.2 10.10.0.1
> > remote <verejna ip toho druheho
> >
> > v taktomto stave ked sa ti spoja mal by si vediet pingnut z jednohu
> > adresu 10.10.0.1 a z druheho 10.10.0.2
> 
> vsechno funguje, jak jsem psal v prvnim mailu.
> 
> > potom musis ce iptables povolit forward na zariadenie tun na jednom aj
> > druhom routeri(to mas asi)
> 
> nevim co presne myslis, ale default policy ve FORWARD mam ACCEPT, takze
> dalsi explicitni pravidla nejsou treba (si myslim).
> 
> > potom musis do konfigurakov pridat
> >
> > up pridat_routovanie.sh
> >
> >
> > v tom subore budes mas
> > route add -net 192.168.2.0 netmask 255.255.255.0 gw $5
> >
> > v druhom
> > route add -net 192.168.1.0 netmask 255.255.255.0 gw $5
> >
> 
> mam, a jak jsem psal v prvnim mailu, ve variante kdy oba vpn konce maji
> verejnou adresu, tak mi komunikace mezi lan1 a lan2 jede, takze routing
> chybu nema.
> 
> >
> > podla mna si nemal dobre UP -scripty alebo nemas povoleny forward z tun
> > infterfejsu
> 
> pokud delam ping z lan2 192.168.2.10 na ip_vpn bodu A 10.0.0.1, tak
> routing pro subnety je nepodstatny. Me uz nejde totiz tento ping na
> vzdalenou ip_vpn. (Z bodu B jde).
> 
> Ten forward mi prosim rozved, ale pokud myslis tohle:
> iptables -A FORWARD -i tun+ -j ACCEPT
> 
> tak to je v pripade default policy ACCEPT podle me zbytecny. Presto jsem
> to zkusil a vysledek, je furt stejny.
> 
> Chybu v konfiguraci samozrejme mit muzu, ale znovu opakuji, ze mi to cele
> bezelo bez problemu, pokud oba vpn konce meli verejnou ip. Po zmene jedno
> na neverejnou se zmenilo v konfiguraci pouze remote a pridal se
> portforward upd portu na NAT box, ktery preklada druhy vpn konec. Nic vic.
> Podle me a z toho vypisu tcpdumpu to dost vypliva, ze je problem pro
> openvpn ty dva preklady za sebou. ;-( Nebo tobe to snad funguje?
> 
> Marek Barton

-- 
Jan Nemsak (janko na janko.sk)
ICQ: 59817311
WWW: http://www.janko.sk
------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Toto je digitálne podpísaná časť správy
URL: <http://www.linux.cz/pipermail/linux/attachments/20050801/c85a5ddc/attachment.sig>

Další informace o konferenci Linux