Como uma VPN PPTD pode direcionar o tráfego para outros servidores na rede?

0

Eu tenho um número de servidores que expõem vários serviços públicos para a web. Estes estão por trás de um servidor que está agindo como um firewall usando o IPTables e encaminha o tráfego de e para os servidores. Todos os servidores possuem um IP público, por exemplo, no intervalo 1.2.3.x.

Eu configurei uma VPN usando o PPTD para o servidor de firewall. Isso se conecta com um intervalo de IP local no intervalo 192.168.0.x. Eu posso conectar e SSH para a máquina local. No entanto, quando eu uso o IP público de um dos outros servidores, isso viaja pela internet e não pela VPN.

Como posso fazer o servidor VPN aceitar e rotear o tráfego em nome dos outros servidores quando conectado?

    
por tooba 15.11.2011 / 11:53

1 resposta

1

Você provavelmente quer dizer VPN 'PPTP'.

Esse tipo de VPN funciona criando um adaptador de rede virtual no lado do cliente. Qualquer adaptador de rede, virtual ou não, pode / terá entradas na tabela de roteamento e isso controla onde o tráfego vai.

Todo o tráfego de saída é verificado na tabela de roteamento. As entradas da tabela de roteamento com máscaras de sub-rede maiores ou mais específicas são escolhidas para enviar tráfego antes de máscaras de sub-rede mais baixas ou menos específicas. A máscara de sub-rede de 192.168.0.X é 255.255.255.0 ou / 24. O gateway padrão, que coleta todo o tráfego não selecionado por qualquer outra coisa, tem uma "máscara de sub-rede" de 0.0.0.0 ou / 0.

Em virtude de atribuir um endereço IP e uma máscara de sub-rede a um adaptador, você obtém automaticamente uma rota livre. Digamos que o seu roteador doméstico forneça a um de seus adaptadores um endereço IP de 10.1.1.40 e uma máscara de sub-rede de 255.255.0.0 (que é igual a / 16). Isso significa inerentemente que qualquer tráfego que saia desse adaptador pode chegar a qualquer lugar no 10.1.X.X. Portanto, uma entrada da tabela de rotas é gerada para esse efeito. O tráfego de saída é verificado em relação à tabela de roteamento e, se for para algum outro lugar em 10.1.X.X, ele NÃO passará pelo seu gateway padrão, que é um / 0.

Espero que, até agora, você possa ver que, se estiver enviando tráfego para um IP que não esteja na sub-rede do seu adaptador VPN, ele passará pelo gateway padrão e, portanto, por toda a Internet.

Realmente, a única maneira de realizar o que você está tentando fazer é:

  • Configure a VPN no lado do servidor para informar aos clientes para usar o adaptador VPN como o gateway padrão. Isso fará com que todo o tráfego do cliente passe pela sua VPN.
  • Configure a VPN no lado do servidor para informar aos clientes para usarem um servidor dentro da VPN para DNS
  • Configure algumas regras de firewall do IPTables que capturarão o tráfego de saída nos IPs públicos de seus servidores e os redirecionarão para os IPs acessíveis pela VPN. Se os clientes estiverem usando sua VPN como o gateway padrão, talvez você não precise realmente fazer isso, mas garantirá que nenhum tráfego vaze para fora da sua VPN, se os clientes estiverem tentando acessar apenas endereços internos.
  • Você também pode executar um servidor DNS separado ou um domínio DNS separado, acessível apenas dentro da VPN e que resolve nomes para clientes na VPN, para endereços VPN internos em vez de endereços IP públicos.

Outra observação: MUITO MAU IDÉIA para usar 192.168.0.X ou 192.168.1.X para uma empresa VPN - porque isso pode entrar em conflito com a configuração de intervalos IP comuns para roteadores domésticos. Você deve alterá-lo para algo incomum usado em casa, como 192.168.88.X.

    
por 15.11.2011 / 13:25