Роутинг

Question

[Евгений Елизаров]

Господа и дамы, утро доброе.
Подскажите пожалуйста по следующей ситуации:
Есть сервер №1 на нём поднят vpn сервер, есть сервер №2 на нём поднят vpn клиент. машинки друг друга видят и всё прекрасно работает. Задача — за сервером №2 за НАТом сидит несколько машинок, как настроить роутинг таким образом, что бы эти машинки видели сервер №1? Сервер на linux.

Answer 1

[smartlight]

я смотрю vpn сделано средствами openVPN. это хорошо.
1.в конфиге на сервере 1 делаете:
route 192.168.xxx.0 255.255.255.0 # сеть за сервером 2
client-config-dir /etc/openvpn/ccd #здесь хранятся данные кот передаются клиентам vpn
2. делаете файл в директории /etc/openvpn/ccd с именем совпадающим с CN клиента (сервер 2) и добавляете туда сл строки:
iroute 192.168.ХХХ.0 255.255.255.0 # сетка на самом сервер 2

3. и самое главное сервер2 должен быть GW по умолчанию в своей сетке.

и можно обойтись без всего этого, ибо если пинги между серваками ходят, а клиенты сервак1 не видят, то:
а) не включен на серваке 2 форвард пакетов между интерфейсами (echo 1 > /proc/sys/net/ipv4/ip_forward)
б) сервак2 не является шлюзом по умолчанию для своей подсетки — решение:
I) сделать его GW по умолчанию
II) на клиентах добавить постоянные маршруты на сетку на сервере1

Comments

[Евгений Елизаров]

Спасибо за альтернативный вариант!

[smartlight]

это единственно правильный вариант, ибо маршрутизация пакетов это дело роутинга, а не iptables.

[shadowalone]

Это самый идиотский вариант на самом деле.
>я смотрю vpn сделано средствами openVPN. это хорошо.
Я где это было указано? Вы что, с автором в личной переписке были и узнали это, или Вы телепат?

[Евгений Елизаров]

Он отличный телепат :)

[smartlight]

выше ТС писал о интерфейсе tap, его как раз openvpn и использует.
кстати, я же рекомендую использовать tun, ибо зачем по интернетам broadcast трафик гонять…

Answer 2

[AlekseyPolyakov]

На сервере №2 сделайте nat для всех интерфейсов, кроме внутреннего. Будет работать, если сервер №2 является шлюзом для тех машин, которые находятся за ним и которые нужно пропустить на Сервер №1

Answer 3

[ComputerPers]

На сервере 2 настроить маршрутизацию для сетей «за НАТом» до сервера 1(и/или сети сервера 1).
Реализация зависит от разных факторов — ос, фаервол, руки.

Comments

[Евгений Елизаров]

Спасибо кэп!

Answer 4

[nick5]

1. Включаете ip_forward.
2. Добавляете маршруты к серверу 1.

Команды:
1. echo 1 > /proc/sys/net/ipv4/ip_forward
2. route add -net СЕТЬ/МАСКА gw ШЛЮЗ

Comments

[Евгений Елизаров]

Так у сервера №3 и так уже есть маршрут до сервера №1
192.168.0.0 10.8.0.1 255.255.255.0 UG 0 0 0 tap0
или я что то не так понял?

[Евгений Елизаров]

*сервера №3 = сервера №2

[ValdikSS]

Значит только:
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
sudo iptables -t nat -I PREROUTING -s LOCAL_NET/NETMASK -d REMOTE_NET/NETMASK -j MASQUERADE

[Евгений Елизаров]

Благодарю, только я так понимаю не PREROUTING, а POSTROUTING? Так всё работает — благодарю.

[smartlight]

зачем городить iptables если всё это делается роутами?

Answer 5

[shadowalone]

Если машины за NAT-ом, они и так должны видеть сервер 1, если маскараданг на сервере 2 включен на всё.
Если нет, всключите маскарадинг на интерфейсе vpn на 2-м сервере.
Если Вам надо, что б машины видели сервер 1 не из-за NAT-а, тогда, на сервере 1, прописываете маршрут для подсети машин на сервер 2 (по vnp интерфейсу). На серевере 2 убираете NAT для адреса серева 1, и соответственно прописываете марштур на него.
Если приведете конкретные данные с интерфейсами и ip-адресами серверов и сетей за ними, отвечу готовыми командами.
А так, что просили, то и получили.

Comments

[smartlight]

бред

[shadowalone]

где это бред, поясните…

[smartlight]

в том что клиенты в локальной сети сервера 2 находятся за натом к внешнему миру, но не по отношению к серверу 1 over vpn.
андэстэнд?

Answer 6

[biz]

Нужно уточнение — что значит видел? по VPN соединение от клиентов за серв.2 должно устанавливаться и так если внешний IP.