Hogyan kell beállítani, hogy a teljes internetes adatforgalom a beállított VPN kapcsolaton haladjon át?
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.170.1
Ez csak a belső alhálózat forgalmát viszi vpn-en
route add default gw 192.168.170.1
Ha viszont helyette ezt használom akkor nincs semmilyen adatforgalom. Az a hiba, hogy így a vpn felé irányuló kapcsolat is tap0-n akarna átmenni eth0 helyett?
- 30811 megtekintés
Hozzászólások
Igen az, elotte kell meg adnod egy static route szabalyt a vpn szerver kulso ip-jere.
route add -host (destination IP address) gw (gateway IP address)
- A hozzászóláshoz be kell jelentkezni
Tehát így?
route add -host 192.168.1.159 gw 192.168.170.1
(192.168.170.1 a vpn szerver tap0 címe és 192.168.1.159 a vpn szerver "külső ip"-je a benti hálózaton, oda van irányítja a router az openvpn portot)
- A hozzászóláshoz be kell jelentkezni
Sziasztok
Ha már itt tartunk lenne nekem is egy hasomló kérdésem ;).
Adott egy hálózat rajta egy gép (debian, eth0:192.168.1.10, tap0: 123.1.1.2), amelyik becsatlakozik az openvpn hálózatba (123.1.1.0/24). Azt szeretném megoldani, hogy a többi gép is lássa a vpn-beli gépeket, úgy, hogy a debian vpn kapcsolatán keresztül megy ki ez a forgalom (tehát nem akarok mindenhová vpn klienst tenni). Az ip forward 1, és a többi gépen felvettem egy routing szabályt:
route add -net 123.1.1.0 netmask 255.255.255.0 gw 192.168.1.10
Ezek után a debian-t elérem a vpn-beli ip-jével is (tehát a ping 123.1.1.2 megy), de más gépeket nem. A traceroute szerint jó irányba mennek a csomagok, de mégsincs válasz.
Mit felejtek el?
köszi
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
A vissza irányt felejted el.
Nem elég, hogy innen oda talál a csomag - az is kell, hogy onnan visszataláljon ide.
Ezen a ponton két lehetőséged van:
1) a debian gép nem csak forwardol, de a vpn interface-n kimenő forgalmat maszkolja is. Így a túloldal gépei úgy fogják látni, mintha maga a debianos gép kopogna náluk, így annak válaszolnak is ahogy eddig is - az meg tudja, hogy igazából nem ő kérte csak NATolt egyet gyorsan, így a kapott válasz csomagot tovább löki az igazi kérdezőnek. Ennek persze ára, hogy a VPN gépei nem fogják elérni az itteni háló gépeit, illetve az itteni gépek forgalmát úgy fogják látni, mintha minden forgalom a debianos gépről eredne.
2) bekonfigurálod becsülettel a VPN fogadót, felparaméterezed és elmagyarázod neki, hogy egy adott kliense - a debian gép - mögött van egy önálló subnet. Ez két konfigurációs paraméter - a többi kliens felé a hiányzó extra route parancs az itteni helyi háló felé, illetve a fogadó számára info, hogy az adott cél IP cím mely kliens felé küldendő tovább.
- A hozzászóláshoz be kell jelentkezni
Helló.
Köszi, tiszta hülye vagyok :(. Az 1-es megoldás kell nekem, nem kell, hogy a kliensek is látszanak a vpn felől ;).
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
A route parancs amit írtál a 192.168.1.10-es gépen át routolja a 123.1.1.0 hálózatot. Ugyanakkor fent azt írtad, hogy tap0: 123.1.1.2 Ezt a vpn címet kapja a te géped, igaz?
Akkor így kellene kinézni a sornak:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 123.1.1.1 (Feltéve, hogy 123.1.1.1 a vpn-es gép saját tap0 címe és 192.168.1.0 a távoli belső alhálózat amit el szeretnél érni)
- A hozzászóláshoz be kell jelentkezni
Rosszul értelmezted!
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
Ha valakit még érdekelne, a megoldás 3 sor volt ;), ennyi:
/sbin/iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
/sbin/iptables -A FORWARD -i tap0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o tap0 -j ACCEPT
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni