Rede de ponte OpenVPN de clientes roteados

1

Eu tenho a seguinte configuração:

  • sub-rede 1 - 10.0.1.0/24 com uma máquina usada como NAT e também executando um cliente OpenVPN
  • sub-rede 2 - 192.168.1/24 com um servidor OpenVPN (o servidor na sub-rede 1 conecta-se aqui)
  • sub-rede 3 - 10.0.2.0/24 que usa a máquina NAT (sub-rede 1) para acessar a Internet, portanto, todo o tráfego não local é roteado para a interface eth0

O cliente OpenVPN cria a interface tun0 e o roteamento apropriado para que eu possa acessar máquinas de 192.168.1/24

[root@ip-10-0-1-208 ~]# telnet 192.168.1.186 8081
Trying 192.168.1.186...
Connected to 192.168.1.186.
Escape character is '^]'.

[root@ip-10-0-1-208 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.169.254 0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.0.0     10.8.0.5        255.255.0.0     UG    0      0        0 tun0

No entanto, quando tento o mesmo da sub-rede 3 , não consigo acessar essa máquina.

[root@ip-10-0-2-61 ~]# telnet 192.168.1.186 8081
Trying 192.168.1.186...

Eu suspeito que seja porque a sub-rede 3 é roteada para eth0 na máquina NAT na sub-rede 1 e não pode pular para tun0 .

Qual é a maneira mais fácil de resolver isso? Eu não quero usar o iptables. Não consigo alterar o roteamento de máquinas na sub-rede 1 porque ela é feita na AWS e funciona apenas com interfaces específicas. Além disso, a máquina NAT obtém seu IP com DHCP e, portanto, a ponte é um pouco complicada.

O encaminhamento de IP é definido na máquina NAT

[root@ip-10-0-1-208 ~]# cat /proc/sys/net/ipv4/ip_forward
1

Obrigado!

    
por gphilip 06.11.2013 / 09:42

1 resposta

0

Como você não pode alterar o roteamento na sub-rede 1 e não deseja usar o iptables, uma abordagem seria criar um túnel VPN da sub-rede 3 para a sub-rede 2 diretamente.

No caso de seus gateways para sub-rede 3 e sub-rede 2 serem servidores linux, eu também usaria o openvpn. Se for um dispositivo de firewall, crie um túnel vpn usando o software do firewall para falar com o firewall da sub-rede 2.

Claro que com o iptables e a capacidade de mudar o roteamento na sub-rede 1, as correções são muito mais flexíveis, me avise se você gostar de uma solução nesse sentido.

    
por 16.11.2013 / 01:58