openvpn, NAT, routing

Marek Barton bivoj na pohoda.com
Úterý Srpen 2 00:03:33 CEST 2005 

> > [LAN1]--[A]--[C(real ip)]--[B(non-real ip)]--[LAN2]
> Sory, blbost, zle som cital. Zacinam mat dojem, ze konfiguraciu mas zbytocne
> komplikovanu. Napriklad naco potrebujes DNAT? Openvpn funguje aj bez toho,
> pokial ma druha strana verejnu IP (raz dakto v liste spominal, zevraj sa to da
> aj ked maju obaja len neverejnu, ale nijake podrobnejsie udaje som nenasiel a
> sam som to neskusal).

ano, DNAT (port-foward) je tam skutecne navic. Nevedel jsem, ze se openvpn
umi spojit i bez toho, ale to je jedina vec navic. Cim je konfigurace
komplikovana? Cim ji muzu zjednodusit?

> > $IPTABLES -t nat -A POSTROUTING -s $LOCAL_NET -j SNAT --to-source $INET_IP
> Tu je problem. Maskaraduje totiz aj pakety iduce cez tunel. To vysvetluje aj,
> preco to jednym smerom ide a druhym nie. Pridaj do toho riadku
> -o $INET_INTERFACE
> a tym by sa to malo vyriesit.

tim se to nevyresilo. Naopak. Kdyz si na bodu A spustim:

$ tcpdump -i tun0

a pustim ping z LAN2

tak dostavam:
20:32:32.068981 IP 192.168.10.10 > 10.0.0.2: icmp 64: echo request seq 3

pritom 192.168.10.10 bych zde vubec nemel videt.

po aplikaci -o $INET_INTERFACE vidim dokonce:

20:32:20.888626 IP 192.168.1.10 > 10.0.0.2: icmp 64: echo request seq 10

tzn. ze zde zadny nat zde neprobeh.

vysvetlivky:

192.168.1.10 - ip z lan2
192.168.10.10 - neverejna inet ip bodu B

pritom tyto ip se zde vubec nemaji vyskytnout, bod A je nemuze znat,
proto pong nemuze dojit zpet. Podle me zde ma byt:

20:32:20.888626 IP 1.2.3.4  > 10.0.0.2: icmp 64: echo request seq 10

nebo

20:32:20.888626 IP 10.0.0.1 > 10.0.0.2: icmp 64: echo request seq 10

1.2.3.4 - inet ip bodu C
10.0.0.1 - vpn ip bodu B

> [reklama]
> Mozno by si mohol skusit Shurdix, ten sa o tieto veci stara sam. Napr. pri
> openvpn das do /mnt/ramdisk/tun0
>
> IP=10.0.0.156
> VPNMODE=openvpn
> LOCALIP=192.168.0.1
> REMOTEIP=192.168.0.2
> ROUTE=10.1.0.0 255.255.255.0
> SECRET=/mnt/ramdisk/openvpn.key
>
> Na druhej strane to iste obratene a bez IP=, a je hotove, sam nastavi aj
> routovanie aj maskaradu aj firewall. Pripadne to mozem ponuknut aj za peniaze so
> specialnym HW bez pohyblivych casti.
> [/reklama]

;-) tzn. nastavuju to samy, akorat v jinym konfiguraku. Dekuji za nabidku,
muzu zkusit, ale ja potrebuju vedet, kde je chyba a ne aby to za me resil
'black box'

Marek Barton

Další informace o konferenci Linux