[SOLVED] OpenVPN client + tűzfal + alhálózat

Linux-kezdő

BUÉK mindenkinek!

Nincs sok tapasztalatom VPN témában, és számomra még nem triviális a megoldás, de most gyors megoldásra volna szükségem.

A munkahelyi OpenVPN szerverre kell csatlakoznom tűzfalon (ubi + easyfwgen) keresztül, ez már jól működik.
A baj, hogy több valós és virtuális gépekről kellene elérnem a benti hálózatot (valójában egyenlőre egy gépet).
Jelenleg mindenhol be kell állítanom a VPN-t és onnan kapcsolódnom, elég macerás mert gyakran kell.

A szerveren nincs lehetőségem módosítani, a megadott konfig:

port nnn
dev tun
remote x.y.z.v
tls-client
ca cav.crt
cert xxxxx.crt
key xxxxx.key

Megoldható-e?

Csak a tűzfalon lévő VPN kliens csatlakozzon (ez működik), a helyi gépek meg ha lehet egy másik alhálózatként érjék el a benti hálózatot. Nem tiszta számomra, hogy kötelező vagy opcionális a visszafelé működés (bentről látják az otthoni hálózatot), de erre most nincs szükség, sőt jobb ha nem.

Elég helyileg az iptables és/vagy route, vagy ehhez a szerveren is kell állítani?

  • 3985 megtekintés

( Skuzzy | 2012. 01. 01., v – 12:20 )

Ha a csatlakozott tuzfalad latja a tuloldalon a gepet, akkor csak annyi kell, hogy ezen az oldalon a belso gepen beallitsd a routingot, hogy a tuloldali gep ip-jet a tuzfal itteni belso laban akarja elerni (ha nem az lenne egyebkent is a defgw), a tuzfalon meg egy nat-ot allitani a vpn-es ip-kre is. Valami ilyesmi, de koran van:-) Szoval elvileg megoldhatonak tunik a leirtak alapjan.

( siposg | 2012. 01. 01., v – 20:15 )

A gazda gépen működő vpn eléréséhez attól függően kell dolgokat állítgatni, hogy a vendég (guest) gépek milyen módon csatlakoznak a hálózathoz.
Ha natolt hálózatot kapnak általában nincs teendő.
A saját ip címet kapnak (bridge mód szokott lenni), akkor be kell állítani routernek a gazda gépet és a gazda gépen ennek megfelelően kell a csomag továbbítást beállítani (forwarding, masquerade, stb).
Nagyjából. Ennyit indulásnak, félek ennyi alapján még nem rakod össze a működő rendszert.

Linuxscripting

Elvileg, ha jól tévedek natolt, de mégis volt teendő, mert nem működött a belső hálóról, csak a tűzfal+vpnkliens-en helyileg.

Az egyszerűség kedvéért ez az elrendezés, remélem értelmezhető:

wan: eth0 dhcp-dyn-ip
lan: eth1 10.1.0.0/24
vpn: tun0 10.2.0.x/24

Ezzel sikerült szóra bírnom, és jól megy:

$IPT -A FORWARD -p all -i tun0 -o eth1 --destination 10.1.0.0/24 -j ACCEPT

$IPT -t nat -A POSTROUTING -s 10.1.0.0/24 -o tun0 -j SNAT --to 10.2.0.x

Nem állandó kapcsolat kell, hanem gyakran belépek aztán dolgom végeztével ki.
Eddig mindig ugyanazt az 10.2.0.x címet kaptam, tehát a tűzfalszabályba beírtam.
Valamiért ma egy másik IP-t kaptam.

Meg lehet oldani, hogy ez automatikus legyen, valamilyen más szabályt adjak meg?