Network traffic megfelelő forwardja - Hogyan

Hálózatok általános

Sziasztok!

Hálózatos szakemberek segítségét szeretném kérni.

Adott egy Synology nas, ami két hálózati interfésszel rendelkezik. Az egyik a LAN interfész, ami a 192.168.0.0/24-ből kap fix ip-t (192.168.0.200), a másik egy openvpn tunnel cím, ami a 10.8.6.0/24-ből kap címet (pl: 10.8.6.3). Maga a Synology VPN kliens. Adott egy másik hálózaton található VPN szerver. A cél - ha egyáltalán lehetséges -, hogy a többi vpn kliens a Synology LAN címén tudja elérni a NAS-t. Tehát teljesen mindegy, hogy egy másik kliens milyen ip címet kap, hol van (pl: 10.0.0.0/24-es tartomány), akkor is a 192.168.0.200-on található NAS-t tudja elérni.

Amit eddig próbáltam, sikertelenül:

- a vpn szerveren static routeként megadtam nas 192.168.0.200-as címére a vpn címét, mint átjárót : 

ip route add 10.8.6.3 dev tun0
ip route add 192.168.0.200 via 10.8.6.3

Ha minden igaz, akkor a vpn szerveren pingetve a 192.168.0.200-as címet, akkor el kellene tudnom érni. Valószínüleg valamit a nas-on kellene módosítani, hogy működjön, de erre még nem jöttem rá. A vpn szerverről tcptraceroute-ot használva a tun0 interfész felé indul el a csomag, ezért gondolom, hogy valahol a NAS-on kellene routing-ot beállítani. (mivel vpn-en vagyok én is csatlakozva a NAS-hoz,ezért inkább nem kísérletezgetnék, mert könnyen kicsaphatom magam alól a hálózatot...)
Ha ez már működik, akkor a vpn klienseknek pusholni a routeing útvonalat már nem lenne olyan nehéz.
A nason és a vpn szerveren az ip forward be van kapcsolva. Tűzfal ugyan van, de nincsenek szabályok rögzítve, illetve minden chain default policy-ja ACCEPT.

Egyáltalán működhet az elképzelt felállás?

Minden segítséget előre is köszönök szépen.

  • 418 megtekintés

( apal v | 2020. 12. 25., p – 10:36 )

Ha ilyesmi van, akkor a klienseken is be kell allitani egy megfelelo routet. Nalam egy kvazi-hasonlo problemanal (fizikailag levalasztott halozaton levo gepet kell elerni egy kulso lan-rol) a klienseken ez van:

route add -net 192.168.80.128 netmask 255.255.255.240 gw 172.31.80.113

(ahol itt a 192.168.80.128/28 a levalasztott net, a 172.31.80.xxx a lan, es az egyik vasnak ket interface-e van, az egyik a 172.31.80.113, a masik meg a 192.168.80.xxx-bol valami). Ha a klienseid dhcp-n keresztul kapjak a konfigot akkor meg ezt a route-t at kell passzolnod: sima linugz + dhcpd.conf alatt ezt az "option classless-routes ..." csinalja. 

( Zs | 2020. 12. 26., szo – 11:05 )

Az OpenVPN meglehetőst jól dokumentált, Debian alatt az /usr/share/doc/openvpn/sample-config-files szép példákat mutat. Többek között arra is, hogy hogy kell konfigurálni az OpenVPN-t, ha egy hálózat nem a szerver mögött, hanem az egyik kliens mögött érhető el. A te eseted ennek a konfigurációnak a speciális esete, amikor a kliens mögötti hálózat egy /32-es, egyetlen gépből álló hálózat. OpenVPN szinten ami fontos:

  • a szerveren meg kell mondani, hogy milyen hálózatok érhetőek el a szerver mögött - route 192.168.0.200 255.255.255.255
  • a klienst informálni kell, hogy jelezze a szerver felé, hogy a konfigban jelzett háló mögötte van - iroute 192.168.0.200 255.255.255.255

Ha "központilag akarod managelni" a beállításokat, tehát a kliensre vonatkozó beállításokat is szerver oldalon akarod tárolni, akkor használni kell a client-config-dir kapcsolót is, ahol a kliens tanúsítványban szereplő CN-nel azonos állomány tartalmazza az adott kliensre vonatkozó egyedi beállításokat. Ebben az esetben a kliensek konfigja egyező (leszámítva a tanúsítványokat - már ha inline tanúsítvány tárolást használsz), így az előbbiekben írt iroute parancs is itt, a NAS-hoz tartozó konfig állományba kerül. De őszintén szólva egyetlen kliens miatt én nem szöszölnék client-config-dir opcióvla: a kliens konfigjába karcolnám be a szükséges iroute sort és annyi.