Как соединить сети через vtun?

Question

[Zelenyi_gad]

Работаю в организации которая занимается импортом автомобильной продукции, организация имеет ряд региональных дилеров разной степени "крутости", от крупных сетей автосалонов до мелких лавочников.

Номенклатуру продукции получаем из базы данных крупного западного автопроизводителя через VPN на базе Cisco. Крупным дилерам доступ к номенклатуре предоставляем таким же образом. Поскольку оборудование Cisco рекомендованное автопроизводителем удовольствие не дешевое, для доступа к номенклатуре дилерам рангом по ниже используем VPN на базе связки Linux+Vtun. До появления дилера из стольного града Усть-Каменогорска, схема с использованием Vtun работала да и работает отлично, кроме описанного дилера.

Суть проблемы заключается в том, что наша локальная сеть и локальная сеть дилера - 192.168.0.0/24 .

В результате чего, я не могу корректно настроить маршрут из нашей локальной сети в их локальную сеть.

Листинг vtund.conf на нашем хосте:

Host1 {
passwd ********;
type tun;
proto tcp;
encrypt yes;
keepalive yes;
up {
ifconfig "%% 192.168.20.37 pointopoint 192.168.20.38 mtu 1450";
# route "add -net 192.168.0.0/24 gateway 192.168.20.37"; - по идее тут должно быть так
};
down {
ifconfig "%% down";
# route "delete -net 192.168.0.0";
};
}

Листинг vtund.conf на хосте дилера
Нost1 {
passwd ********;
type tun;
proto tcp;
encrypt yes;
keepalive yes;
up {
ifconfig "%% 192.168.20.38 pointopoint 192.168.20.37 mtu 1450";
route "add -net 10.112.0.0 netmask 255.255.0.0 gateway 192.168.20.38"; - сеть автопроизводителя
};
down {
ifconfig "%% down";
route "delete -net 10.112.192.0";
};
}

Как быть в данной ситуации ума не приложу.

Answer 1

[insekt]

А за НАТ сеть у дилера спрятать есть возможность? Тогда для вас дилер будет представлен только адресом 192.168.20.38.

Comments

[Zelenyi_gad]

Именно так и сделал изначально. Но результат мне не понравился, с самого vtun-хоста доступ есть, из сети нет.

[insekt]

Поясните тогда тогда дополнительно откуда и куда у вас может передаваться трафик.

Answer 2

[Сергей Величко]

Нужно что-то вроде:
Вы(192.168.0.0/24)<->NAT<->тунель<->NAT<->Дилер(192.168.0.0/24)
На обоих NAT'ах пробрасывать нужные порты для доступа к внутренним ресурсам.
Но это через одно место, лучше договориться и сменить у кого нибудь сеть, например у дилера, один раз обсудить и немного попыхтеть, потом не будет проблем. Вообще в таких случаях лучше владельцу VPN принудительно раздавать подсети для клиентов, иначе будет бардак и прийдётся постоянно решать такого рода задачки.

А в идеале в VPN используйте сети отличные от 192.168.0.0/24 и 192.168.1.0/24 (они как правило по умолчанию в модемах и маршрутизаторах и многие их не меняют), например из диапазона 10.0.0.0/8

Comments

[Alexander Kind]

Дополню совет, как вариант пусть диллер пропишет на нужном "сервере" дополнительную подсеть/IP, ее и маршрутизируйте, наверняка же не все клиенты долбятся к базе? Если все, добавляйте второй IP на шлюз диллера и делайте Port-Mapping (т.е. клиенты у диллера настраиваются на IP шлюза)

Answer 3

[Ilya Evseev]

В Линуксе для этого есть NETMAP:
habrahabr.ru/post/117320/