openvpn, NAT, routing
Peter Surda
surda na shurdix.com
Pondělí Srpen 1 19:54:09 CEST 2005
On Mon, 1 Aug 2005 17:51:11 +0200 (CEST) Marek Barton <bivoj na pohoda.com> wrote:
>> [LAN1]--[A]--[C(real ip)]--[B(non-real ip)]--[LAN2]
>>
>> >no z tcpdumpu jsem zjistil zhruba toto: Kdyz pingnu z LAN2 na vpn ip bodu
>> >A, tak ping tam dojde, ale jako zdrojovou adresu ma neverejnou adresu bodu
>> >B, nikoliv verejnou bodu C tudiz reply se nemuze dorucit.
>> Podla popisu z toho vyplyva, ze na B robis SNAT alebo MASQUERADE tam, kde
>+nemas.
Sory, blbost, zle som cital. Zacinam mat dojem, ze konfiguraciu mas zbytocne
komplikovanu. Napriklad naco potrebujes DNAT? Openvpn funguje aj bez toho,
pokial ma druha strana verejnu IP (raz dakto v liste spominal, zevraj sa to da
aj ked maju obaja len neverejnu, ale nijake podrobnejsie udaje som nenasiel a
sam som to neskusal).
> $IPTABLES -t nat -A POSTROUTING -s $LOCAL_NET -j SNAT --to-source $INET_IP
Tu je problem. Maskaraduje totiz aj pakety iduce cez tunel. To vysvetluje aj,
preco to jednym smerom ide a druhym nie. Pridaj do toho riadku
-o $INET_INTERFACE
a tym by sa to malo vyriesit.
[reklama]
Mozno by si mohol skusit Shurdix, ten sa o tieto veci stara sam. Napr. pri
openvpn das do /mnt/ramdisk/tun0
IP=10.0.0.156
VPNMODE=openvpn
LOCALIP=192.168.0.1
REMOTEIP=192.168.0.2
ROUTE=10.1.0.0 255.255.255.0
SECRET=/mnt/ramdisk/openvpn.key
Na druhej strane to iste obratene a bez IP=, a je hotove, sam nastavi aj
routovanie aj maskaradu aj firewall. Pripadne to mozem ponuknut aj za peniaze so
specialnym HW bez pohyblivych casti.
[/reklama]
>Marek Barton
S pozdravom,
Peter
Další informace o konferenci Linux