criando um túnel vpn adequado, quando ambas as LANs tiverem o mesmo endereçamento

Navegue suas respostas
3

Eu estava seguindo este tutorial link e este link para criar uma conexão openvpn com minha LAN remota.

Mas ambos os exemplos assumiram que ambas as LANs têm endereços diferentes (isto é, 192.168.10.0/24 e 192.168.20.0/24, confira esta imagem i.stack.imgur.com/2eUSm.png).

Infelizmente, no meu caso, as lan locais e remotas têm endereços 192.168.1.0/24. Eu sou capaz de se conectar diretamente no servidor openvpn (eu posso fazer ping e log in com ssh), mas não consigo ver outros dispositivos na LAN remota (não mencionando acessá-los via navegador, que era o ponto de o primeiro lugar) . E não sabe se o problema de endereçamento pode ser o motivo disso? Se não - como definir rotas, então eu poderia pingar outros dispositivos na LAN remota?

    
por meta 12.10.2012 / 01:11

3 respostas

2

Você está afundado. Todas as máquinas estão usando a mesma sub-rede. Como você propõe que eles seriam capazes de distinguir hosts locais de hosts remotos? Sua única opção aqui seria talvez algum formulário ou encaminhamento de porta dos hosts da VPN em cada site. Isso funcionaria para alguns serviços, mas seria um pesadelo para sustentar a longo prazo.

Você realmente só precisa morder o marcador e renumerar um dos sites.

Meu palpite é que você não tem um bom conhecimento sobre alguns dos principais fundamentos da rede. Eu recomendo que você leia este Serverfault Q & A sobre sub-redes IPv4. Isso ajudará você a entender melhor o porquê por trás de suas dificuldades atuais.

    
por 12.10.2012 / 04:20
4

Mesmo que essa pergunta já tenha sido respondida, aqui está outra opção:

  • Atribuir um IP secundário em uma sub-rede livre ao gateway de um lado
  • Use a meta NETMAP no iptables para traduzir tudo

Se você escolher 192.168.2.0/24 como sub-rede alternativa em um lado, poderá usar essa regra para traduzir a rede: 

iptables -t nat -A POSTROUTING -o tap0 -j NETMAP --to 192.168.2.0/24
    
por 16.10.2012 / 09:49
2

Na minha opinião, o NETMAP é, na verdade, uma maneira bastante válida de garantir que as redes não colidam. Muitos roteadores usam o mesmo espaço de endereço privado e, às vezes, não há como alterar uma configuração de uma rede que você não possui (por exemplo, em um cibercafé, WLAN público). Sim, você poderia alterar sua própria rede para usar um espaço de endereço bastante incomum, mas alguns provedores distribuem equipamentos bloqueados sem nenhuma maneira de alterar isso, o que exigiria que você adicionasse mais equipamentos de rede. Ah, e às vezes é muito conveniente digitar 10.0.0.x em vez de, por exemplo, 192.168.214.x.

TL; DR: Embora não seja aconselhável em configurações profissionais, o NETMAP pode ser útil.

Aqui está um exemplo que me permite usar 10.0.0.x em ambos os lados e ainda conectar via OpenVPN. Em vez de enviar a rota real para os clientes, você usa uma sub-rede incomum:

OpenVPN

push "route 10.11.12.0 255.255.255.0"

NETMAP

iptables -t nat -A PREROUTING -d 10.11.12.0/24 -j NETMAP --to 10.0.0.0/24

NAT de origem (supondo que você esteja usando a sub-rede 10.8.0.0/24 padrão do OpenVPN)

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j SNAT --to-source PUBLICIP

Isso funciona muito bem, mesmo com a substituição do gateway padrão. Pode ficar confuso se você estiver usando seu próprio DNS:

push "dhcp-option DNS 10.11.12.1"

Isso porque, embora você possa acessar o servidor DNS (que está no 10.0.0.1), ele retorna endereços baseados em sua sub-rede, não no NETMAPed. Pode haver maneiras de contornar isso. Estou pensando nas visões do BIND, por exemplo, não sei se o Samba é capaz de algo assim.

    
por 29.10.2014 / 11:29

Tags

Como posso configurar o Nagios para monitorar uma Canon iR 3035? Grupos de segurança do Amazon EC2 - intervalos de IP [duplicados]