Puncte:0

Dirijarea traficului între două servere OpenVpn

drapel cn
Oli

Încerc să direcționez traficul între două servere openvpn; As dori sa am urmatoarea legatura:

Client --> OpenVpnServer1 --> OpenVpnServer2 --> Internet

Am ambele servere care rulează și lucrează separat, dar am încercat să configurez OpenVpnServer1 pentru a redirecționa tot traficul clienților lui OpenVpnServer2 folosind iptables, dar nu am reușit.

OpenVpnServer1 Interfețe și configurații:

eth0 -- internet public

tun0 -- pentru clienții care se conectează la acest server

tun1 -- interfață de conectare pentru al doilea server (activ atunci când este conectat folosind clientul openvpn)

*nat
: POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.10.0.0/8 -o eth0 -j MASQUERADE
COMMIT

Interfețe și configurații OpenVpnServer2:

ens33 -- internet public

tun0 -- pentru clienții care se conectează la acest server

*nat
: POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o ens33 -j MASQUERADE
COMMIT

Actualizați:

Am testat conexiunile dintre server1 și server2 și server1 poate trimite ping pe google de la adaptorul său tun1. Problema este că nu știu cum să redirecționez traficul fără a schimba ruta implicită pe server1. Dacă schimb ruta implicită la tun1, atunci clienții nu se pot conecta la server1.

Michael Hampton avatar
drapel cz
Nu văd nicio rutare aici, doar o mulțime de NAT. De ce folosești NAT în loc de rutare?
Oli avatar
drapel cn
Oli
@MichaelHampton, de aceea pun această întrebare.
Puncte:0
drapel kz

Bine, mai întâi câteva elemente de bază. Clientul deschide o conexiune VPN la Server1. Serverul are o conexiune activă la server2 și această conexiune este configurată ca rută implicită (ai făcut asta, corect?)

În primul rând, aș configura acest tunel între server1 și server2 ca VPN de la site la site - dar acesta este un subiect diferit.

La server1, regula ta iptables este greșită. Regula corectă ar fi:

iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE

De ce?

Dacă doriți ca această configurare să funcționeze, trebuie să pretindeți că tot traficul care trece prin tunelul vpn de la server1 la server2 este inițiat de server1, în detaliu are IP-ul interfeței dvs. tun1, astfel încât răspunsul să ajungă la server1 și poate fi direcționat corect înapoi către client. Asta face regula. Regula ta, spre deosebire, ar masca doar tot traficul care iese pe internetul public, nu prin orice VPN.

Oli avatar
drapel cn
Oli
Multumesc pentru raspuns; Am o altă problemă, prin schimbarea rutei implicite pe server1, nu mă pot conecta la el. Deci nu o pot schimba.
Martin avatar
drapel kz
nu ar trebui să schimbați ruta implicită manual; Lasă openvpn să facă asta.Există un parametru de configurare cu care puteți face acest lucru: ```redirect-gateway def1``` în fișierul de configurare corect, de exemplu...
Oli avatar
drapel cn
Oli
prin activarea acestei opțiuni pe server2 config, după ce server1 se conectează la server2, server1 devine inaccesibil.
Martin avatar
drapel kz
Încercați să faceți acest lucru în configurația clientului pe server1. Când faceți acest lucru la configurația serverului, trebuie să faceți diferența între „gateway de redirecționare” (valid pentru server) și push redirect-gateway (comanda de configurare împinsă către client). Este mai ușor să scrieți acest lucru în configurația clientului...
Oli avatar
drapel cn
Oli
ok, o voi face si va voi anunta daca merge sau nu. Mulțumiri.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.