openvpn ping para clientes lan

Navegue suas respostas
1

Eu precisaria de ajuda neste caso:

Eu tenho uma interface tap0 no meu servidor openvpn com ip 10.22.8.1

Minha interface eth0 é 192.168.1.155

Tabelas de rotas:

192.168.1.0 - 0.0.0.0 - 255.255.255.0 - eth0

10.22.8.0 - 10.22.8.1 - 255.255.255.0 - tap0

0.0.0.0 - 192.168.1.10 - 0.0.0.0 - eth0

Com as regras a seguir, posso fazer ping do meu lan para os clientes vpn:

iptables -v -t nat -A PREROUTING -i eth0 -d 192.168.10.0/24 -j NETMAP - para 10.22.8.0/24

iptables -t nat -A POSTROUTANDO -o tap0 -j MASQUERADE

Eu tenho uma rota 192.168.10.0 no cliente lan para o meu servidor vpn. O tcpdump mostra que os pacotes redirecionam de eth0 para tap0 e o netmap funciona.

Mas quando eu tento o contrário eu não consigo pingar dos clientes vpn para o meu lan

iptables -v -t nat -A PREROUTING -i tap0 -d 10.22.8.0/24 -j NETMAP - para 192.168.1.0/24

iptables -t nat -A POSTROUTANDO -o eth0 -j MASQUERADE

O tcpdump mostra que os pacotes alcançam tap0, mas não vão para a eth0. É como se a regra do netmap não funcionasse.

Você poderia me ajudar? O que estou fazendo errado?

    
por vitidandu 01.12.2010 / 18:05

2 respostas

2

você está fazendo errado.

primeiro - use as conexões da camada 3 em vez da camada 2 para a vpn. Salva o tráfego.

2º - use o brouting para fazer o truque com proxy-arp e associar endereços IP da sub-rede local para os clientes vpn - para que eles apareçam como são locais

3rd - ou use o roteamento e defina a rota para os clientes na sub-rede 10.22.8 / 24 em todos os sistemas na 192.168.1.0/network OR apenas use o sistema vpn como o gateway padrão para evitar problemas de roteamento ...

Usando brouting:

  • Ativar proxy_arp no roteador linux: echo 1 > / proc / sys / net / ipv4 / conf / proxy_arp
  • Adicione a rota da sub-rede à eth0, se isso não aconteceu automaticamente

  • Adicione a rota de uma sub-rede da sub-rede local ao dispositivo tun a partir do openvpn.

    Digamos que vamos usar os últimos 16 endereços IP para os hosts na VPN (192.168.1.240 - 192.168.1.255), o que significa que temos uma sub-rede de 28 bits 192.168.1.240/28. Crie o dispositivo tun estático (openvpn --mktun) e, em seguida, adicione a rota para a sub-rede vpn na rota ip do dispositivo add 192.168.1.240/28 dev tun0

Depois disso, e depois de habilitar o ip forwarding e proxy arp o sistema linux irá "brotar" todas as solicitações dos clientes locais para os clientes no final da vpn e vice-versa.

E você tem uma camada 3 vpn (mais rápido, menos tráfego) com conectividade de camada 2 e acesso totalmente transparente a todos os sistemas.

Filtrar e tudo o mais pode ser feito via iptables.

KR

Gromit

    
por 02.12.2010 / 00:03
0

Olá e muito obrigado pela sua ajuda. Finalmente decidi seguir o terceiro ponto.

Os clientes na minha lan corporativa estão configurados com um ip duplo.

O normal 192.168.1.X e o vpn um 10.22.8.X

Os clientes vpn têm duplo ip nas duas redes:

Interfaces

inet 192.168.1.31/24 brd 192.168.1.255 âmbito global eth1

inet 10.22.8.243/24 escopo global eth1

Tabela de roteamento

10.22.8.240 - 10.22.8.243 - 255.255.255.240 - UG - eth1

10.22.8.0 - * - 255.255.255.0 - U - eth1

O servidor tem proxy_arp, arp_accept e ip_forward disponíveis. Está funcionando bem no momento.

Eu agradeço muito sua ajuda Gromit.

    
por 02.12.2010 / 17:05

Tags

Servidores em sites remotos versus servidores centralizados? Fazer uploads de usuários para o disco rígido diferente?