iptables forward VPN do vnitrni site (vyřešeno)

Uz to tady myslim bylo reseno.

Problem u dedikovsneho serveru je ten, ze packety ze site 10.8.1.0/24 se nevraci spravne do vpn site. Musite provest nastaveni na routeru ktery je pro ovpn server defult gateway statickou routu a to tak, ze vsecny packety ktere prijdou ze site 10.8.1.0/24 posli na ip ovpn serveru napr. 192.168.1.10 a na ovpn serveru nastavit toto: route add -net 10.8.1.0/24 gw 10.8.8.1; echo 1 > /proc/sys/net/ipv4/ip_forward; /sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

merlinx

6.11.2009 14:20 zuzzan | skóre: 2
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Muj problem neni, ze by ovpn nechodilo, na strane serveru VPN je vse jak pisete, vcetne maskarady ( to sem se docet myslim tady nekde na foru, mozna od vas, timto dekuju :-)

)jedna se mi opravdu jen o presmerovani paketu od klienta ve vnitrni siti na VPN server prez default gateway (DG). Problem je ten, ze v tomto pripade, napr.ping, iniciuje klient z rozsahu 192.168.1.0/24 a pinga na server 10.8.1.1, ktery je prave ve vnitrni siti na jinem stroji nez DG(kam jsou smerovany tyto pakety). Pak se mi to vzajemne nevidi, pakety utikaji ven. Takze myslim, ze to neni az tak problem PC s VPN serverem, ale PC s DG. A tady budu muset presmerovat pakety na stejne rozhrani, odkud dosly (zpet do vnitrni site) a nedovolit jim utect ven. Ale prave nevim jak na to.

6.11.2009 18:45 NN
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Jestli to vypada takto:

PC(192.168.1.0/24) -- 129.168.1.1 DG -- 192.168.1.X VPN(10.8.1.1 --(10.8.1.0/24) CLIENT)

Tak bude potreba na GW rict ze pakety ktere jdou z LAN(!) a smeruji na 10.8.1.0 se budou routovat na 192.168.1.X a na VPN to posles do tunelu..

Pravidla dopisu pozdec, doufam.. ale myslim ,ze je to jasne.

6.11.2009 22:30 merlinx
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Ano, je to presne tak jak pisete. Omlouvam se, predtim jsem to spatne popsal. Jeste je potreba na ovpn serveru nastavit to nat pravidlo viz vyse.

merlinx

7.11.2009 11:10 zuzzan | skóre: 2
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

ano ano, presne takhle to vypada a opravdu se mi jedna o to routovaci pravido na GW.

Řešení 1× (zuzzan (tazatel))

7.11.2009 13:24 NN
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Kdyz to vezmu logicky, tak GW vi kde je 192.168.1.X ,ale PC nevi, kdeje 10.8.1.0/24 takze bych na PC(!) v LAN pridal routu:

route add 10.8.1.0 mask 255.255.255.0 192.168.1.X metric 2

7.11.2009 14:27 zuzzan | skóre: 2
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Tohle by bylo asi reseni, jenze jedna se o podnikovou sit (cca 80 PC), tohle obchazet se nikomu asi nebude chtit, ma to byt bezudrzbova sluzba. Hmm opravdu by to neslo udelat na strane DG(GW) jako nejaky forward v iptables, kdyz uz ty pakety tudy prochazeji?

7.11.2009 14:32 zuzzan | skóre: 2
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Jeste bych doplnil k predchazeijimu prispevku. GW vi kde je 192.168.1.0/24, ale ted jeste nevi, kde je 10.8.1.0/24 (potrebuju mu rict, ze ta sit je na stejnem eth), proto posila tuhle komunikaci do inetu, odkud se samozdrejme vraci, ze sit je nedostupna.

7.11.2009 14:32 zuzzan | skóre: 2
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Jeste bych doplnil k predchazejicimu prispevku. GW vi kde je 192.168.1.0/24, ale ted jeste nevi, kde je 10.8.1.0/24 (potrebuju mu rict, ze ta sit je na stejnem eth), proto posila tuhle komunikaci do inetu, odkud se samozdrejme vraci, ze sit je nedostupna.

Řešení 1× (zuzzan (tazatel))

13.11.2009 13:04 zuzzan | skóre: 2
Rozbalit Rozbalit vše Re: iptables forward VPN do vnitrni site

Taxem to vyzkousel a je to ok, nasadil sem to do logon.bat souboru na sambu a natahnou si tu novou routu pak vsichni klienti po prihlaseni do domeny. Jeste jenou DIKY

Dotaz: iptables forward VPN do vnitrni site

Odpovědi