Задать вопрос
@v2t
linux

Как правильно настроить OpenVPN для последовательной маршрутизации трафика через два сервера?

Добрый день!

Есть 2 сервера в интернете, на которых поднят OpenVPN. Идея состоит в том, чтобы пускать весь трафик от клиентов, которые подключаются к серверу 1, на сервер 2, а оттуда в интернет. Клиенты подключаются на eth0 сервера 1. То есть схема следующая (сети с учетом соединений через OpenVPN):

Клиент <--(10.1.0.0/24)--> сервер 1 <--(10.2.0.0/24)--> сервер 2 <--(интернет).

Трафик возвразается по тому же маршруту.

Соединение устанавливается без проблем, на первом сервере соответственно два интерфейса (tun0 — с клиентом, tun1 — с сервером 2). От первого сервера клиенту проталкивается новый шлюз по умолчанию (push "redirect-gateway def1"). Каким образом настроить OpenVPN, чтобы проталкивать нужные маршруты при такой схеме клиенту и серверу 1 для правильной марштутизации трафика?

Правильно ли добавлять такие записи в iptables?
На первом сервере:
iptables -t nat -A POSTROUTING -s 10.1.0.0/24 -o eth0 -j SNAT --to-source 10.2.0.2

(10.2.0.2 — tun1 на сервере 1).

На втором сервере:
iptables -t nat -A POSTROUTING -s 10.2.0.0/24 -o eth0 -j SNAT --to-source EX IP

(EX IP — eth0 на сервере 2).

Спасибо.
  • Вопрос задан
  • 6896 просмотров
Комментировать
Подписаться 7 Оценить Комментировать
Решения вопроса 1
EvilMan
@EvilMan
Достаточно клиентам отдать маршрут через первый сервер (сервер 1), а на серверах 1 и 2 настроить маршрутизацию. Нат нужно настраивать только на сервере 2, через который трафик уже в интернет уходит.
На первом сервере:
ip route add default via <server2-ip> dev tunX table 10
ip rule add from <clients-net> lookup 10 pref 10

На втором сервере надо будет уже настроить НАТ и прописать маршрут до клиентских сетей через сервер 1
ip route add <clients-net> via <server1-ip> dev tunY
iptables -t nat -A POSTROUTING --src <clients-net> -o <extiface> \
  -j SNAT --to-source <extip>

Вот как-то так.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@smartlight
1. Настраиваете маршруты через ccd на 1м и 2м серверах.
2. на 2м сервере настраиваете НАТ.

не забудьте про FORWARD — должно бьть в ACCEPT
Ответ написан
Комментировать
Комментировать
@v2t Автор вопроса
EvilMan, smartlight благодарю за ответы. Настроил, все работает.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Системный инженер/ DevOps (удаленно)
Git in Sky
До 200 000 ₽
Backend-разработчик (Middle-to-Senior)
Сима-ленд Екатеринбург
До 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать обмен заказами 1с
11 мая 2024, в 00:19
1000 руб./за проект
Разработка сайта (верстка)
10 мая 2024, в 23:51
30000 руб./за проект
Опубликовать приложение в Google play
10 мая 2024, в 23:33
2500 руб./за проект
Ещё заказы