openvpn, NAT, routing
Jan Nemsak
janko na janko.sk
Pondělí Srpen 1 19:01:35 CEST 2005
Mne to funguje
Ziaden forward udp portu som nemusel robit, jeden ma verejnu ip a druhy
sa na nu pripaja, takze ten druhy nemusi mat forward portu lebo packetu
sa k nemu dostanu, lebo su related/estabilished
Ked chces mozme viac cez icq/jabber zajtra, dnes uz musim ist.
Ale ja mam rozchodemych asi aj viac ako 10 vpn a vsetky ficia, maloktore
maju oba konce verejnu ip.
A aj kombinacie linux-win aj linux-linux
Pekny den
Jano
On Po, 2005-08-01 at 17:42 +0200, Marek Barton wrote:
> > Podla mna to zle konfigurujes,
>
> mozny je vsechno, proto se ptam ;-)
>
> > vymsyli si siet, nejaku aky nemas, napr. 10.10.0.0/24
> >
>
> mam 10.0.0.0/24
>
> > bude to takto:
> >
> > <lan1 = 192.168.1.0/24> <router s verenouip a ip_vpn 10.10.0.1> <router
> > s neverejnou a ip vpn 10.10.0.2> <lan2 =192.168.2.0/24>
>
> presne takhle to mam.
>
> > konfiguracia na strane s verejnou ip
> >
> > okrem ineho tak:
> > ifconfig 10.10.0.1 10.10.0.2
> >
> >
> > konfigurcia na strane routeru s neverejnou ip
> > ifconfig 10.10.0.2 10.10.0.1
> > remote <verejna ip toho druheho
> >
> > v taktomto stave ked sa ti spoja mal by si vediet pingnut z jednohu
> > adresu 10.10.0.1 a z druheho 10.10.0.2
>
> vsechno funguje, jak jsem psal v prvnim mailu.
>
> > potom musis ce iptables povolit forward na zariadenie tun na jednom aj
> > druhom routeri(to mas asi)
>
> nevim co presne myslis, ale default policy ve FORWARD mam ACCEPT, takze
> dalsi explicitni pravidla nejsou treba (si myslim).
>
> > potom musis do konfigurakov pridat
> >
> > up pridat_routovanie.sh
> >
> >
> > v tom subore budes mas
> > route add -net 192.168.2.0 netmask 255.255.255.0 gw $5
> >
> > v druhom
> > route add -net 192.168.1.0 netmask 255.255.255.0 gw $5
> >
>
> mam, a jak jsem psal v prvnim mailu, ve variante kdy oba vpn konce maji
> verejnou adresu, tak mi komunikace mezi lan1 a lan2 jede, takze routing
> chybu nema.
>
> >
> > podla mna si nemal dobre UP -scripty alebo nemas povoleny forward z tun
> > infterfejsu
>
> pokud delam ping z lan2 192.168.2.10 na ip_vpn bodu A 10.0.0.1, tak
> routing pro subnety je nepodstatny. Me uz nejde totiz tento ping na
> vzdalenou ip_vpn. (Z bodu B jde).
>
> Ten forward mi prosim rozved, ale pokud myslis tohle:
> iptables -A FORWARD -i tun+ -j ACCEPT
>
> tak to je v pripade default policy ACCEPT podle me zbytecny. Presto jsem
> to zkusil a vysledek, je furt stejny.
>
> Chybu v konfiguraci samozrejme mit muzu, ale znovu opakuji, ze mi to cele
> bezelo bez problemu, pokud oba vpn konce meli verejnou ip. Po zmene jedno
> na neverejnou se zmenilo v konfiguraci pouze remote a pridal se
> portforward upd portu na NAT box, ktery preklada druhy vpn konec. Nic vic.
> Podle me a z toho vypisu tcpdumpu to dost vypliva, ze je problem pro
> openvpn ty dva preklady za sebou. ;-( Nebo tobe to snad funguje?
>
> Marek Barton
--
Jan Nemsak (janko na janko.sk)
ICQ: 59817311
WWW: http://www.janko.sk
------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Toto je digitálne podpísaná časť správy
URL: <http://www.linux.cz/pipermail/linux/attachments/20050801/c85a5ddc/attachment.sig>
Další informace o konferenci Linux