openvpn, NAT, routing

[Peter Surda]

On Tue, 2 Aug 2005 00:03:33 +0200 (CEST) Marek Barton <bivoj na pohoda.com> wrote:

>ano, DNAT (port-foward) je tam skutecne navic. Nevedel jsem, ze se openvpn
>umi spojit i bez toho, ale to je jedina vec navic. Cim je konfigurace
>komplikovana? Cim ji muzu zjednodusit?
Ze si to nakreslis a pouzijes hlavu.

Ja som si to teda nakreslil a uz tomu pomaly zacinam rozumiet :-).

>tak dostavam:
>20:32:32.068981 IP 192.168.10.10 > 10.0.0.2: icmp 64: echo request seq 3
>pritom 192.168.10.10 bych zde vubec nemel videt.
Ano, to je pravda.

>po aplikaci -o $INET_INTERFACE vidim dokonce:
>20:32:20.888626 IP 192.168.1.10 > 10.0.0.2: icmp 64: echo request seq 10
>tzn. ze zde zadny nat zde neprobeh.
Ano, tak som to myslel a podla mojej kresby je to tak spravne.

>pritom tyto ip se zde vubec nemaji vyskytnout, bod A je nemuze znat,
>proto pong nemuze dojit zpet. Podle me zde ma byt:
Samozrejme ze ich ma znat. Musis im nastavit routu.

>20:32:20.888626 IP 1.2.3.4  > 10.0.0.2: icmp 64: echo request seq 10
Toto je blbost, lebo odpoved pojde inym smerom.

>nebo
>20:32:20.888626 IP 10.0.0.1 > 10.0.0.2: icmp 64: echo request seq 10
Toto je mozne, ale nebudes mat plnohodnotne prepojenie sieti.

Jednoducho na A ti chyba routa do siete LAN2. Do konfiguracie openvpn v bode A
pridaj:
--route 192.168.1.0 255.255.255.0

Ak tam ta ruta podla rutovacej tabulky je, tak by som problem hladal v nastaveni
firewallu.

>> ... Shurdix ...
>;-) tzn. nastavuju to samy, akorat v jinym konfiguraku. Dekuji za nabidku,
>muzu zkusit, ale ja potrebuju vedet, kde je chyba a ne aby to za me resil
>'black box'
No, ono to nie je black box, je to normalny linux, akurat ma tieto zalezitosti
viac automatizovane ako bezny linux. Mas tam normalny ssh a shell, mozes si
pozret skripty ze ako to robi.

>Marek Barton
S pozdravom,
Peter