LINUX.ORG.RU
ФорумAdmin

OpenVPN DMZ

 ,


0

2

Добрый день,

Имеется OpenVPN сервер(192.168.255.1) с сетью.
Так же есть группа клиентов(много), каждый из которых находится за «минисервером» с 2мя сетевыми интерфейсами
eth0 - WAN - смотрит в мир и получает инет по DHCP
eth1 - LAN - смотрит внутрь НА клиента(клиент всегда строго 1)

требуется сделать так чтоб ЛЮБЫЕ обращения на VPN адрес минисервера уходили на КЛИЕНТА за этим минисервером.
PING, TCP, UDP. т.е. фактически минисервера для OpenVPN клиентов как бы не существует, а сразу клиент. Как я понимаю это аналог DMZ.

Ну или проще говоря как назначить клиенту IP из VPN сети, при этом САМ клиент OpenVPN не умеет.


Ответ на: комментарий от afanasiy

Понял, в качестве минисервера может быть железка c OpenWRT, так и linux машина.
А есть возможность заставить ЗАСТАВИТЬ клиента думать, что у него IP адрес из VPN сети?

Noobs
() автор топика
Ответ на: комментарий от Noobs

Хорошо. Продолжим допрос.

требуется сделать так чтоб ЛЮБЫЕ обращения на VPN адрес минисервера уходили на КЛИЕНТА за этим минисервером.

А если за минисервером несколько КЛИЕНТОВ? Кому адресовать?

На самом деле тебе нужно на минисервере настроить netmap в фаерволе. Почитай что это такое. Ну и кое что подкрутить в конфиге впн сервера.

arsik
()
Ответ на: комментарий от arsik

В условии клиент всегда один.

Ну и еще надо чтоб КЛИЕНТ мог обращаться к ресурсам VPN сервера просто введя 192.168.255.1
Как я понимаю клиент должен знать про сеть 192.168.255.0

Noobs
() автор топика
Ответ на: комментарий от Noobs

Как я понимаю клиент должен знать про сеть 192.168.255.0

Нет. Главное что бы знал минисервер, если маршрут на клиенте по умолчанию на минисервер.

arsik
()
Ответ на: комментарий от arsik

т.е. если я введу на клиенте 192.168.255.1 или 192.168.255.40 то попаду на соответствующий адрес уже В VPN сети?

Noobs
() автор топика
Ответ на: комментарий от Noobs

Вообще да, но у тебя работать не будет. Пакет придет на 192.168.255.40 но ответ он не сможет обратно прислать, т.к. маршрута до твоего клиента у него нет. Для этого нужно на минисервере маскарадинг из локальной сети в впн настроить.

arsik
()

Если понял все правильно, то вам нужен NAT

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.