Linux VPN router

1

Eu tenho uma máquina Linux que está configurada para conectar automaticamente um túnel VPN a uma rede corporativa. Esta máquina é configurada para tráfego NAT da rede local destinada a 194.1.0.0/16** e 10.0.0.0/8 através do túnel para máquinas com a rede corporativa.

Os clientes na rede local estão configurados para ter o IP deste servidor como seu gateway padrão, conforme emitido via dhcp.

Isso tudo funciona muito bem, exceto que o tráfego destinado à Internet também está sendo encaminhado por esse host. ou seja, o cliente A (192.168.1.144) quer falar com o servidor DNS do Google (8.8.8.8). O que acontece atualmente é que ele envia o pacote para o host da VPN (192.168.1.108), que o envia para o roteador ADSL (192.168.1.254), que o encaminha pela Internet. A resposta então (presumivelmente) retorna através do host da VPN antes de atingir A.

O que eu gostaria é que o servidor VPN, ao receber um pacote não destinado às redes no final da VPN, responda com um redirecionamento ICMP instruindo A a enviar via 192.168.1.254 . Isso deve tirar a carga do servidor VPN.

Eu tentei configurar rotas estáticas no servidor DHCP (ISC DHCPD no Ubuntu 16.04.1 LTS) para que o gateway padrão para tudo seja 192.168.1.254 e os hosts VPN sejam acessados via 192.168.1.108, mas eu também configurei incorretamente ele ou os vários clientes não conseguem pegar as opções. Os clientes são uma variedade de máquinas Windows (7 e 10), máquinas Linux (principalmente Ubuntu) e dispositivos Android.

O servidor VPN está executando o Ubuntu 16.04.1 LTS. O script a seguir configura o NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables-restore <<EOF
*nat
-A POSTROUTING -j MASQUERADE
COMMIT
EOF

As rotas na máquina são:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 ens2
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ens2
194.1.0.0       0.0.0.0         255.255.0.0     U     0      0        0 ppp0
194.1.1.220     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

Qualquer ajuda para obter este trabalho seria apreciada. Se eu perdi alguma informação que poderia ser pertinente, por favor me avise.

** - por favor, não questione porque seções da minha rede interna não estão em intervalos de endereços IP privados. Eu herdei isso e vou corrigi-lo uma vez que o resto dos problemas que eu herdei também seja classificado ***.

*** - isso pode demorar um pouco.

    
por Ceisc 15.02.2017 / 01:49

0 respostas