Belső hálózati erőforrások elérése kivülről

Hálózatok általános

Sziasztok!

A következő helyzet megoldásához kellene némi info:

Van egy viszonylag sok gépes hálózat 1 db külső ip-vel (Internet felé). Van egy végpont ami neten van egy fix ip-vel. Az egy végpontos hálóból szeretném elérni a sok gépes háló erőforrásait, úgy hogy a több gépes háló klienseihez férek csak hozzá. Lehet hülye elgondolásom van, de olyan tudok-e csinálni, hogy az egyik kliens a nagy hálóból hozzákapcsolódik az egy gépes hálóhoz VPN-nel és ezen a csatornán keresztül az egy klienses hálón lévő gép tudja használni a nagy hálón lévő erőforrásokat. (pl.: belső hálózati mail server, vagy http, ftp)

Remélem nem kérdezek nagy hülyeséget.

  • 3473 megtekintés

( dap | 2010. 10. 20., sze – 01:42 )

Egy kicsit zavaros nekem hogy mi merre, szóval van egy nagy lan privát tartománnyal, te pedig bele akarsz látni kintről, egy otthoni gépről, de a NAT-oló routerhez nincs hozzáférésed csak egy belső géphez..?

Ha így van akkor neked l2 tunnel kell, pl OpenVPN TAP módban. A tűzfalat bentről biztos "át lehet ütni", egy TCP kapcsolatot gyakorlatilag minden protokollba el lehet bújtatni a két végpont között, abban pedig mehet az OpenVPN TAP.

Ha a nagy belső hálózat gépein sem, meg az ő rajtuk beállított default routeren sem vagy adminisztrátor, akkor csak a NAT lehet a megoldás, azaz a VPN-en keresztül kintről megérkező gép forgalmát a VPN végződtető gépnek NAT-olnia kell, vagy a saját címére (iptables -j MASQ), vagy valami más, erre dedikált, a helyi LAN-on levő címre (iptables -j SNAT).
Ez a NAT azt is jelenti, hogy a LAN-on levő gépek nem tudnak forgalmat kezdeményezni a VPN másik végén levő gép(ek) felé; ha a visszafelé kellene nyitni valamit, akkor ahhoz kell rakni a VPN végződtető gépen egy tcp forwardert (pl. dante), vagy egy dest NAT-ot (iptables -j DNAT).