LINUX.ORG.RU
ФорумAdmin

OPENVPN доступ в локалку

 , ,


0

2

Добрый день !

Коллеги просьба помочь разобраться с вопросом по OPENVPN. Задача на первый взгляд не сложная, требуется создать доступ удаленным пользователям (OPENVPN client) доступ в локальную сеть к своим компам или сетевым ресурсам. Подключение происходит но вот хождения пакетов в локальную сеть не наблюдается в интернет я выхожу с айпи данного сервера. Сервер с двумя сетевками eth0 смотрит в мир eth1 смотрит в локалку

При запуске OPENVP server создается интерфейс tun0 ip 172.16.20.1 конфиги сервера и фаервола привожу ниже

server.conf

local 192.168.10.1

#change with your port port 5555

#You can use udp or tcp proto udp

# «dev tun» will create a routed IP tunnel. dev tun

#Certificate Configuration

#ca certificate ca /etc/openvpn/ca.crt

#Server Certificate cert /etc/openvpn/server.crt

#Server Key and keep this is secret key /etc/openvpn/server.key

#See the size a dh key in /etc/openvpn/ dh /etc/openvpn/dh2048.pem

#user nobody #group nogroup

# указываем внутренний DNS и WINS серверы push «dhcp-option DNS 192.168.5.3» push «dhcp-option DNS 8.8.8.8»

push «route 192.168.5.0 255.255.255.0» # client-config-dir ccd

#Internal IP will get when already connect server 172.16.20.0 255.255.255.0

#this line will redirect all traffic through our OpenVPN #push «redirect-gateway def1» #push «redirect-gateway local» #Provide DNS servers to the client, you can use goolge DNS

push «route 192.168.5.0 255.255.255.0»

client-to-client

#Enable multiple client to connect with same key duplicate-cn cipher DES-EDE3-CBC keepalive 20 60 comp-lzo persist-key persist-tun daemon

#enable log log-append /var/log/openvpn.log

#Log Level verb 5

#!/bin/sh

IPT=«/usr/sbin/iptables»

# Интерфейс который смотрит в интернет WAN=«eth0» WAN_IP=«192.168.10.1»

# Интерфейс который смотрит в локальную сеть LAN=«eth1» LAN_IP=«192.168.5.3»

# Очистка всех цепочек iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP

# разрешаем локальный траффик для и loopback $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -i $LAN -s 192.168.5.0/24 -j ACCEPT $IPT -A OUTPUT -o $LAN -s 192.168.5.0/24 -j ACCEPT $IPT -A INPUT -s 192.168.5.0/24 -p icmp --icmp-type echo-request -j ACCEPT $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем исходящие соединения самого сервера $IPT -A OUTPUT -o $WAN -j ACCEPT

$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT

$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT $IPT -A INPUT -i $LAN_IP -p udp --dport 53 -j ACCEPT

$IPT -A INPUT -p tcp -m tcp --sport 123 -j ACCEPT $IPT -A OUTPUT -p tcp -m tcp --dport 123 -j ACCEPT $IPT -A INPUT -p udp -m udp --dport 5555 -j ACCEPT $IPT -A OUTPUT -p udp --sport 5555 -j ACCEPT

$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu $IPT -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m conntrack --ctstate NEW -i $LAN -s 192.168.5.0/24 -j ACCEPT $IPT -P FORWARD DROP

$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

#$IPT-A FORWARD -s 172.16.20.0/24 -d 192.168.5.0/24 -j ACCEPT $IPT -A FORWARD -i $WAN -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -s 172.16.20.0/24 -j ACCEPT $IPT -A FORWARD -d 172.16.20.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -t nat -A POSTROUTING -s 172.16.20.0/24 -j SNAT --to-source 192.168.10.1 /sbin/iptables-save > /etc/sysconfig/iptables



Последнее исправление: diesel_tt (всего исправлений: 2)
Ответ на: комментарий от afanasiy

Спасибо, заработало, осталось только разобраться с правилами iptables точнее отстроить их последовательность.

diesel_tt
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.