Sziasztok!
A kerdes eleg egyszeru.
Van egy Szerver, amin OpenVPN fut. Tun0-n 10.8.0.0/24 en adja a cimeket.
A gepnek van egy masik laba, eth1, ami 192.168.0.0/24 fele log be, es a gep cime .254
Milyen routing-ot es NAT-ot kell felvenni a szerveren, hogy a vpn es kliensrol el lehessen erni a 192.168.0.1 es cimet?
Az OpenVPN Config letolja push ban a routingot a kliens fele a szerverrol:
push "route 192.168.0.0 255.255.255.0"
A kapcsoalt letrejon, es a kliensrol lehet ping-elni a server tun0-s cimet.
A 192.168.0.1-nek a default GW-e 192.168.0.254, tehat az OpenVPN szerver.
Hogyan kellene kinezzen a route es a iptables-ben a NAT?
net.ipv4.ip_forward=1 be van allitva a szerveren
Koszi elorre is!
- 560 megtekintés
Hozzászólások
Routeolni vagy natolni akarsz?
- A hozzászóláshoz be kell jelentkezni
Routeolni szerintem eleg lenne.
- A hozzászóláshoz be kell jelentkezni
Ha a vpn szerver a gw a 192.168.0.1-es gépen akkor kéne működnie.
https://openvpn.net/community-resources/setting-up-routing/
Hogy néz ki a route táblád vpn szerveren?
Iptables forward láncban nézd meg engedve van-e a forgalom a két host között. (forward policy általában default drop szokott lenni)
--
40% of OpenBSD installs lead to shark attacks. It's their only standing security issue.
- A hozzászóláshoz be kell jelentkezni
Hat pontosan ezt szeretnem megerositeni. Szerintem nem jo valami, mert ha a szerveren ping-elek tun0-rol akkor semmi nem jon vissza valaszkent.
ping 192.168.0.1 -I tun0
- A hozzászóláshoz be kell jelentkezni
De az elozo ket kerdes meg is adhatja a valaszt: routing tablra es a forward chain tartalma.
- A hozzászóláshoz be kell jelentkezni
#iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
#netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 193.88.14.7 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
193.88.14.7 0.0.0.0 255.255.255.248 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
- A hozzászóláshoz be kell jelentkezni
Teljesen jo, a routing tabla rendben van, ahogy nezem, a forward chain-ed viszont ures, pont ez a gond. Ilyesmi szabalyokra lenne szukseged:
ptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Utana azert erdemes beallitani a masquerading-et is:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
- A hozzászóláshoz be kell jelentkezni
Miert eth0? Az a publikus laba a gepnek.
Nem eth1-lenne ? Tun0-rol menne a forgalom eth1 fele.
- A hozzászóláshoz be kell jelentkezni
De, az, bocs, csak fejbol irtam, mobilrol es nem neztem a nyitot, persze, hogy eth1.
- A hozzászóláshoz be kell jelentkezni
Mukodik :)
Koszi!
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
- A hozzászóláshoz be kell jelentkezni
Szivesen, meg is lepodtem, hogy az elobb azt mondtad, nem.. :)
- A hozzászóláshoz be kell jelentkezni
Igen :)
En Benaztam.
- A hozzászóláshoz be kell jelentkezni
Ez abban az esetben igaz, ha ez a helyi hálózaton a def. gw., ha nem, szükséges a nat is, különben a többiek honnan ismernék merre tolják a csomagot?
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
-
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Ez segíthet: link
- A hozzászóláshoz be kell jelentkezni
Megoldva!
Koszonom!
Siekrult! :-)
- A hozzászóláshoz be kell jelentkezni