Usando o OpenVPN em duas máquinas Linux * não nos gateways * para vincular as redes pela Internet

2

Estou executando o OpenVPN ligando duas máquinas linux em duas redes. Essas máquinas não são os gateways das redes. Existem também roteadores DD-WRT separados que atuam como gateways em ambas as redes.

Eu gostaria de usar essa configuração para tornar as duas redes completamente visíveis e utilizáveis umas às outras pela Internet. Que tipos de rotas eu precisaria configurar em cada caixa / roteador para tornar isso possível? Eu preciso usar qualquer tipo de regra do iptables (sem pensar que eu faria).

Além disso, apenas alguns pontos-

  • O link funciona bem entre as duas caixas. Eles são capazes de pingar uns aos outros e transmitir tráfego.
  • Eu não quero que nenhum tráfego normal da Internet passe pela VPN - apenas o tráfego destinado a ir para o site específico.
  • As redes têm intervalos de IP separados e a máscara de rede 255.255.255.0

Estou preso e tentei adicionar todos os tipos de rotas estáticas em minhas caixas Linux e nos roteadores e não consigo obter nada que possa ser pingado fora do link da VPN. Qualquer ajuda seria muito apreciada!

UPDATE

Eu adicionei as rotas em minhas caixas VPN e roteadores DD-WRT, mas não sou capaz de pingar nada fora das máquinas. Eu posso pingar 172.16.130.2 do cliente VPN, e vice-versa eu sou capaz de ping 172.16.120.2 do servidor VPN, mas ainda nada mais.

Eu também habilitei o encaminhamento de IP nos kernels das duas caixas VPN.

Adicionando rotas atuais:

Servidor VPN: IP estático não publicado eth0 / 172.16.130.2 eth1 / 10.9.8.1 tun0

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.9.8.2        *               255.255.255.255 UH    0      0        0 tun0
24.249.108.192  *               255.255.255.224 U     0      0        0 eth0
172.16.130.0    172.16.130.1    255.255.255.0   UG    0      0        0 eth1
172.16.130.0    *               255.255.255.0   U     0      0        0 eth1
172.16.120.0    10.9.8.2        255.255.255.0   UG    0      0        0 tun0
default         wsip-24-249-108 0.0.0.0         UG    0      0        0 eth0

Cliente VPN: 172.16.120.2 eth0 / 10.9.8.2 tun0

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.9.8.1        *               255.255.255.255 UH    0      0        0 tun0
172.16.130.0    10.9.8.1        255.255.255.0   UG    0      0        0 tun0
172.16.120.0    *               255.255.255.0   U     0      0        0 eth0
default         munch-router    0.0.0.0         UG    0      0        0 eth0
    
por muncherelli 29.08.2011 / 03:19

1 resposta

3

Você precisará adicionar rotas às caixas DD-WRT para o segmento VPN oposto apontando para os 'gateways' VPN do Linux. Você também precisará de rotas nesses gateways VPN para o outro site por meio da interface tap / tun para o outro site.

DD_WRT_SITE_A# route add SITEB/24 gw SITEA_VPN_GATEWAY_IP
VPN_GATEWAY_SITE_A# route add SITEB/24 gw tap_ip_of_SITE_B_VPN_GATEWAY

DD_WRT_SITE_B# route add SITEA/24 gw SITEB_VPN_GATEWAY_IP
VPN_GATEWAY_SITE_B# route add SITEA/24 gw tap_ip_of_SITE_A_VPN_GATEWAY

A menos que você já tenha feito isso, você também precisará ativar o roteamento nas novas caixas de gateway da VPN Linux:

link

# sysctl -w net.ipv4.ip_forward=1
    
por 29.08.2011 / 03:51