LINUX.ORG.RU
ФорумAdmin

Маршрутизация из локалки к впн клиенту

 , , , ,


0

1

Всем привет!

Есть LAN - 192.168.1.0, с шлюзом в интернет 192.168.1.1 Есть сервер с Debian в локалке, с адресом 192.168.1.17 На debian поднят vpn канал в подсеть 10.178.0.0

Пингую ПК в 10.178.0.101 с debian - пингуется. Пингую этот же ПК из подсети 192.168.1.0 - не пингуется.

На маршрутизаторе 192.168.1.0 маршрут поднять нельзя. Поднимаю маршрут на ПК в 192.168.1.0 - route add 10.178.0.0 mask 255.255.128.0 192.168.1.17 - не пингуется!

Может еще что-то забыл?

 eth0      Link encap:Ethernet  
          inet addr:192.168.1.17  Bcast:192.168.1.255  Mask:255.255.255.0
         
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.176.1.122  P-t-P:10.176.1.122  Mask:255.255.255.255
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface 
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0         0 eth0 
10.178.0.0      0.0.0.0         255.255.128.0   U         0 0          0 tun0 
10.182.4.0      0.0.0.0         255.255.252.0   U         0 0          0 tun0 
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 
212.45.1.10     192.168.1.1     255.255.255.255 UGH       0 0          0 eth0 


Последнее исправление: job_maker (всего исправлений: 5)

Из подсети 10.178.0.0 должен быть маршрут до 192.168.0.0. С пк запросы уходят, а вернуться не могут.

Самое простое, на debian настроить маскардинг, чтобы запросы из 192.168.1.0 натились в ip на tun0 интерфейсе.

Если жто openvpn, то можно отдавать клиентам маршрут до 192.168.1.0. Но надо учитывать, что на vpn клиенте может быть сеть 192.168.1.0 и тогда ничего нормально не получится.

Deleted
()
Ответ на: комментарий от dzhazzz

спасибо, попробую. Только не совсем понимаю почему у нас шлюз-инет указан, он же не имеет отношения к ВПН серверу.

job_maker
() автор топика
Ответ на: комментарий от Deleted

там какой cisco vpn, я его поднял и на автоконнект сделал. Что-то в той сети 10.178.0.0 я менять не могу. То есть остается маскарадинг? это в iptables?

job_maker
() автор топика
Ответ на: комментарий от job_maker

Доступ нужен только из 192.168.1.0 в 10.178.0.0? Тогда маскардинг и iptables.

Если нужен доступ из 10.178.0.0 в 192.168.1.0, то тут труднее. Надо понять к каким сервисам и устройствам нужен доступ.

Deleted
()
Ответ на: комментарий от Deleted

Доступ нужен только из 192.168.1.0 в 10.178.0.0 Можете чуть подробнее подсказать? маскарадинг же в iptables задается? Есть ощущение что решение где-то рядом))

job_maker
() автор топика

На 192.168.1.17 делаешь маскарадинг для src 192.168.1.0/24 и dst 10.178.0.0/16

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 10.178.0.0/16 -j MASQUERADE

На 192.168.1.1 прописываешь маршрут до 10.178.0.0/16 через 192.168.1.17.

Radjah ★★★★★
()
Последнее исправление: Radjah (всего исправлений: 1)
Ответ на: комментарий от Radjah

192.168.1.1 - какая-то ерунда, а не маршрутизатор. Маршруты не умеет статические. Может на каждом клиенте в 192.168.1.0 поднять доп маршруты на 192.168.1.17? Плюс маскарадинг на 192.168.1.17

job_maker
() автор топика
Ответ на: комментарий от Radjah

хы) заработало!!!! маршрут если указать на клиенте - то все ок. Но оказалось что маршруты на клиенте никому не нравятся, просят сделать полноценную маршрутизацию. То есть поставить вторую сетевуху и поднять DHCP. Как я понимаю мне надо будет в iptables правило поправить с учетом новой подсети? Например, если подсеть будет 192.168.22.0, то правило будет: iptables -t nat -A POSTROUTING -s 192.168.22.0/24 -d 10.178.0.0/16 -j MASQUERADE так?

job_maker
() автор топика
Ответ на: комментарий от job_maker

Лучше заменить 192.168.1.1 на что-то получше. В условиях ограниченного бюджета бери mikrotik. Со 2ой сетевухой это костыли.

Идеальный вариант, чтобы 192.168.1.1 умел нужный vpn сам, возможно у администратора 10.178.0.0 стоит уточнить поддерживают ли они vpn помимо cisco vpn, например l2tp.

Deleted
()
Ответ на: комментарий от Deleted

так там здание принадлежит другим владельцам у которых свои админы и они не любят что-то менять быстро. а так да, в другом офисе стоит микротик и на нем подняли впн сервер - красота!

job_maker
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.