LINUX.ORG.RU
ФорумGeneral

VPN c несколькими белыми адресами

 , ,


0

2

Всем привет! Есть vpn-сервер(softether) и несколько белых адресов. Я пробовал добавить адреса на интерфейс и сделать на него маскарад, но тогда мне отдавало всегда один и тот же(первый на интерфейсе) адрес. Так как адреса отличаются в двух младших байтах, я попробовал сделать маскарад на подсеть с маской /16, доступ наружу в данном случае получен не был. Я бы хотел сделать что-то вроде -j SNAT --to-source 1.2.3.4-1.2.3.8, однако мои адреса не идут по порядку. Какие есть варианты настройки в данном случае?


Проблема с обновлением приложений в Linux Mint 18
разные утилиты KILL в Redhat/Oracle Linux?

А IP-адресы из одной подсети или из разных?

slamd64 ★★★★★
()

А задача в чем заключается? Как требуется snat сделать?

пробовал добавить адреса на интерфейс и сделать на него маскарад

На какой интерфейс?

У вас сервак с интерфейсом eth0 (для примера) и на нем несколько белых ip? Поднят VPN сервер и надо сделать snat клиентам каким то особенным образом? Так?

samson ★★
()
Ответ на: комментарий от samson

А IP-адресы из одной подсети или из разных?

из разных

А задача в чем заключается?На какой интерфейс?

Да, у меня один пока один интерфейс eth0 и мне нужен snat на все мои белые адреса. Но потом появятся еще интерфейсы и на них еще адреса, на которые snat тоже должен будет распространяться.

DW0
() автор топика
Ответ на: комментарий от DW0

Надо как то «распределить» snat между клиентами? Те что бы одному vpn-клиенту делалась подмена src адреса на один белый ip, другому на другой и т.д.? И я так понимаю, вы хотите, что бы система это распределение делала сама, динамически?

Только смысл? Канал то все равно один.

Покажите вывод ip a && ip r

samson ★★
()
Последнее исправление: samson (всего исправлений: 1)
Ответ на: комментарий от samson 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 95.169.184.220/24 brd 95.169.184.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 95.169.185.220/24 brd 95.169.185.255 scope global eth0:1
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 95.169.185.140/24 brd 95.169.185.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet 95.169.185.221/24 brd 95.169.185.255 scope global secondary eth1:1
       valid_lft forever preferred_lft forever
4: tap_vpn: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    inet 192.168.200.1/24 brd 192.168.200.255 scope global tap_vpn
       valid_lft forever preferred_lft forever
default via 95.169.184.1 dev eth0 
95.169.184.0/24 dev eth0  proto kernel  scope link  src 95.169.184.220 
95.169.185.0/24 dev eth0  proto kernel  scope link  src 95.169.185.220 
95.169.185.0/24 dev eth1  proto kernel  scope link  src 95.169.185.140 
192.168.200.0/24 dev tap_vpn  proto kernel  scope link  src 192.168.200.1
DW0
() автор топика
Ответ на: комментарий от DW0

Вам надо что бы с любого из внешних IP адресов было возможно подключиться к VPN, который поднят где-то во внутренней сети?

kostik87 ★★★★★
()
Ответ на: комментарий от samson

т.е. вот это должно заработать? 

 iptables -t nat -A POSTROUTING -s 192.168.200.0/24  -j SNAT --to-source 95.169.184.220-95.169.185.221

DW0
() автор топика
Ответ на: комментарий от samson

В общем нет, так не работает, похоже я чего-то не понимаю. Или может дело в не самом новом iptables?

DW0
() автор топика
Ответ на: комментарий от DW0

Вообще не понятно, это вам кто-то так настроил? Почему у вас eth0:1 и eth1 в одной сети? Теоретически у вас 1 адрес в 184 и 3 адреса в 185 сети. Если 2 адреса из 185 сети выкинуть из настроек eth, то их можно отдать в качестве удаленных адресов VPN клиентов. И никакой NAT не будет нужен.

vodz ★★★★★
()
Последнее исправление: vodz (всего исправлений: 1) 
-A POSTROUTING -s 192.168.8.0/24 -j SNAT --to-source XXX.XXX.XXX.XXX
-A POSTROUTING -s 192.168.7.0/24 -j SNAT --to-source YYY.YYY.YYY.YYY

192.168.8.0 и 192.168.7.0 - два tap интерфейса.

Никто не мешает налепить ещё.

StReLoK ☆☆
()
Последнее исправление: StReLoK (всего исправлений: 1)
Ответ на: комментарий от vodz

Нет, это я сам себе настроил) Дело в том что это виртуальная машина на которой я тренируюсь с тем что есть. В реальности у меня будут другие адреса, какие именно я не знаю.

DW0
() автор топика
Ответ на: комментарий от StReLoK

Спасибо, попробую поковырять. Мой VPN сделал дал мне 1й адрес, но похоже что трафик не только через него пошел 

  9  2112 SNAT       all  --  *      *       192.168.200.0/24     0.0.0.0/0            to:95.169.184.220
    9  2112 SNAT       all  --  *      *       192.168.201.0/24     0.0.0.0/0            to:95.169.185.140
   16  2740 SNAT       all  --  *      *       192.168.202.0/24     0.0.0.0/0            to:95.169.185.220
   12  2256 SNAT       all  --  *      *       192.168.203.0/24     0.0.0.0/0            to:95.169.185.221

DW0
() автор топика
Ответ на: комментарий от DW0

Сколько у тебя адресов столько должно быть и хабов (каждый использует свой белый адрес). И к какому ты подцепишь юзера такой адрес у тебя и будет.

StReLoK ☆☆
()
Ответ на: комментарий от StReLoK

Спасибо, вроде сделал и пакеты идут в те цепи которые надо однако доступа во внешнюю сеть всёравно нет. 

 ip addr add 95.169.184.220/24 dev eth0 

 
ip -4 a && ip r

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    inet 95.169.185.220/24 brd 95.169.185.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 95.168.184.220/24 scope global eth0
       valid_lft forever preferred_lft forever
7: tap_vpn: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    inet 192.168.200.1/24 brd 192.168.200.255 scope global tap_vpn
       valid_lft forever preferred_lft forever
8: tap_vpn1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    inet 192.168.201.1/24 brd 192.168.201.255 scope global tap_vpn1
       valid_lft forever preferred_lft forever
default via 95.169.185.1 dev eth0 
95.168.184.0/24 dev eth0  proto kernel  scope link  src 95.168.184.220 
95.169.185.0/24 dev eth0  proto kernel  scope link  src 95.169.185.220 
192.168.200.0/24 dev tap_vpn  proto kernel  scope link  src 192.168.200.1 
192.168.201.0/24 dev tap_vpn1  proto kernel  scope link  src 192.168.201.1 

 pkts bytes target     prot opt in     out     source               destination         
  176 10846 SNAT       all  --  *      *       192.168.201.0/24     0.0.0.0/0            to:95.168.184.220
    5   850 SNAT       all  --  *      *       192.168.200.0/24     0.0.0.0/0            to:95.168.185.220
DW0
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Проблема с обновлением приложений в Linux Mint 18
General
разные утилиты KILL в Redhat/Oracle Linux?