LINUX.ORG.RU
решено ФорумAdmin

openvpn


0

1

есть openvpn сервер к нему подключается филиал (роутер), сам сетевой интерфейс смотрящий внутрь сетки я вижу, но не вижу компьютер за ним. По идее должно всё равботать без дишних телодвижений, только включив ip форвардинг, но не работает.
Буду рад советам.Спасибо.

а как же маршрутизация?

GHhost
()

на сервере
[code]iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE[/code]
где eth0 - интерфейс, к которому прибинден openvpn, а 10.8.0.0/24 - подсеть openvpn. Вообще, всё есть тут.

pekmop1024 ★★★★★
()
Ответ на: комментарий от ventilator

Человек роутинг хочет - вот ему и роутинг.
Бриджи, кстати, не всегда адекватно работают и сложнее поддаются фильтрации трафика и мониторингу.

pekmop1024 ★★★★★
()
Ответ на: комментарий от ventilator

Не вижу ни одной причины к тому, чтобы при необходимости не использовать NAT внутри своей сети.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Не вижу ни одной причины к тому, чтобы при необходимости не использовать NAT внутри своей сети.

Использование NAT внутри своей сети однозначно свидетельствует о руках, растущих из жопы.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Использование NAT внутри своей сети однозначно свидетельствует о руках, растущих из жопы.

Абсолютно не согласен. Например при построении DMZ NAT может быть отличным средством.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Например при построении DMZ NAT может быть отличным средством.

NAT это костыл, а костыль в приципе не может быть «отличным средством». Он:

1. Съедает процессорное время на маршрутизаторах

2. Снижает детализацию протоколов «кто куда ходил»

3. Ухудшает возможности контроля доступа

4. Ломает либо сильно усложняет работу всех протоколов, которые используют общение peer-to-peer (SIP/Skype/H.323 - в общем, все Voice/Video over IP), заставляя софт делать предположения или хитрые настройки

Единственное место для NAT - интерфйес между раутабельной и нераутабельной сеткой, то бишь внешний интерфейс локалки с серыми адресами, где она стыкуется с Internet. Всё, других мест для NAT тупо нет.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Все это верно, я правильно понял, что вы не можете себе представить задачи, в которой 2-4 могут не иметь значения?

zgen ★★★★★
()
Ответ на: комментарий от zgen

я правильно понял, что вы не можете себе представить задачи, в которой 2-4 могут не иметь значения?

У меня даже на домашнем компе поднят апач «только для своих» (я с него книжки на мобилу и планшетку тягаяю) - и контроль доступа для мня всегда важен.

У меня на каждом из компьютеров (домашний, рабочий, виртуалка в интернете, ноутбук и еще один сервер у заказчика) подняты постгресы, к которым надо коннектиться с любого из этих же компов - и прямая сквозная раутебельность для меня важна.

У меня SIP/Skype не только на компьютерах и ноутбуках, но даже на мобильнике. И торрент-клиент и emule-клиент (для локалки) на компах есть.

И я не считаю это чем-то необычным.

Так что ДА, Я НЕ МОГУ ПРЕДСТАВИТЬ ЗАДАЧИ КОГДА ПУНКТЫ 2-4 НЕ ИМЕЮТ ЗНАЧЕНИЯ. И поэтому повторю - NAT это костыль. Костыль прямым не бывает.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Так что ДА, Я НЕ МОГУ ПРЕДСТАВИТЬ ЗАДАЧИ КОГДА ПУНКТЫ 2-4 НЕ ИМЕЮТ ЗНАЧЕНИЯ.

ничего. Со временем все получится.

zgen ★★★★★
()
Ответ на: комментарий от no-dashi

2 чая и тортик этому джентельмену.

Заранее извиняюсь за оффтоп и портянку ниже:
Всё правильно сказал. Я раньше тоже относился к NAT нейтрально, пока не хлебнул говнеца с всякими хитрыми проприетарными поделиями(привет, Гарант+), которые просто не знают что такое NAT или требуют мегамощных танцев с бубном и задалбывания сотрудников поддержки этих поделий(которые тоже казалось бы о NAT слышат первый раз). Поэтому везде(я подчеркиваю, ВЕЗДЕ) где можно я от этого ушел. Стараюсь делать NAT только на выходе в интернет и в специфических случаях, где без него никак. В остальных же случаях - распространяю маршруты через OSPF/RIP/whatever...

Pinkbyte ★★★★★
()
Ответ на: комментарий от zgen

представить задачи, в которой 2-4 могут не иметь значения?

дай угадаю - раздача интернета хомячкам? Чтобы вменяемо работал HTTP/HTTPS, а дальше - черт с ним? Это единственная задача, которая мне приходит на ум...

Pinkbyte ★★★★★
()

парни, спасибо за советы)) проблема была в маске сети на клиентском компьютере, узнал просто - посмотрел tcpdump ом, NAT внутри одной сети openvpn... не нужен, большинство задач по маршрутизации берёт на себя сам openvpn)) Достаточно форвардинга в ядре)
извиняюсь что долго не отвечал)

NemesisSOAD
() автор топика
Ответ на: комментарий от zgen

Тьфу, дерьмо вопрос:

iptables -P FORWARD DROP
iptables -A FORWARD -i lan0 -o wan0 -j ACCEPT
iptables -A FORWARD -m state --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A POSTROUTING -o wan0 -s 192.168.0.0/16 -j MASQUERADE (ну или -j SNAT --to-source ...)

И пусть теперь провайдер запрописывается хоть мульёном хоть мульярдом маршрутов.

no-dashi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.