Routing es NAT OpenVPN serveren

Fórumok

Sziasztok!

A kerdes eleg egyszeru.

Van egy Szerver, amin OpenVPN fut. Tun0-n 10.8.0.0/24 en adja a cimeket.
A gepnek van egy masik laba, eth1, ami 192.168.0.0/24 fele log be, es a gep cime .254
Milyen routing-ot es NAT-ot kell felvenni a szerveren, hogy a vpn es kliensrol el lehessen erni a 192.168.0.1 es cimet?

Az OpenVPN Config letolja push ban a routingot a kliens fele a szerverrol:
push "route 192.168.0.0 255.255.255.0"
A kapcsoalt letrejon, es a kliensrol lehet ping-elni a server tun0-s cimet.

A 192.168.0.1-nek a default GW-e 192.168.0.254, tehat az OpenVPN szerver.

Hogyan kellene kinezzen a route es a iptables-ben a NAT?

net.ipv4.ip_forward=1 be van allitva a szerveren

Koszi elorre is!

Hozzászólások

Ha a vpn szerver a gw a 192.168.0.1-es gépen akkor kéne működnie.

https://openvpn.net/community-resources/setting-up-routing/

Hogy néz ki a route táblád vpn szerveren?

Iptables forward láncban nézd meg engedve van-e a forgalom a két host között. (forward policy általában default drop szokott lenni)

--
40% of OpenBSD installs lead to shark attacks. It's their only standing security issue.

#iptables -L -n

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

#netstat -rn

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 193.88.14.7 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
193.88.14.7 0.0.0.0 255.255.255.248 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Teljesen jo, a routing tabla rendben van, ahogy nezem, a forward chain-ed viszont ures, pont ez a gond. Ilyesmi szabalyokra lenne szukseged:

ptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Utana azert erdemes beallitani a masquerading-et is:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ez abban az esetben igaz, ha ez a helyi hálózaton a def. gw., ha nem, szükséges a nat is, különben a többiek honnan ismernék merre tolják a csomagot?

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

-
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"