The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenVPN через iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenVPN через iptables"  
Сообщение от Юрий (??) on 10-Дек-07, 16:37 
Что нужно подгрузить чтобы организовать OpenVPN через iptables?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "OpenVPN через iptables"  
Сообщение от Юрий (??) on 11-Дек-07, 15:10 
>Что нужно подгрузить чтобы организовать OpenVPN через iptables?

Помогите пожалуйста, всё работает, только включаю фаервол всё глухо.
OpenVPN на tun1 2 сетки, всё стандартно...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OpenVPN через iptables"  
Сообщение от stakado email(ok) on 11-Дек-07, 16:23 
>>Что нужно подгрузить чтобы организовать OpenVPN через iptables?

Подгружать ничего не надо, надо лишь на фаерволе разрешить хождение пакетов от клиента к овпн-серверу через овпн-порт и обратно (если НАТ не поднят - ещё и его поднять).

З.Ы.: каков вопрос - таков ответ.
З.З.Ы.: если хочешь детальней - напиши ещё хоть какую-нить инфу: ип-адреса, интерфейсы, порты...

Я ведь правильно понял, что из сети через роутер (на котором и стоит iptables) должна быть связь на внешний овпн-сервер?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "OpenVPN через iptables"  
Сообщение от Юрий (??) on 14-Дек-07, 11:20 
>[оверквотинг удален]
>Подгружать ничего не надо, надо лишь на фаерволе разрешить хождение пакетов от
>клиента к овпн-серверу через овпн-порт и обратно (если НАТ не поднят
>- ещё и его поднять).
>
>З.Ы.: каков вопрос - таков ответ.
>З.З.Ы.: если хочешь детальней - напиши ещё хоть какую-нить инфу: ип-адреса, интерфейсы,
>порты...
>
>Я ведь правильно понял, что из сети через роутер (на котором и
>стоит iptables) должна быть связь на внешний овпн-сервер?

Спасибо за отзыв.
Расклад такой:
Есть локальная сеть 10.0.0.0/8 и 192.168.22.0/24.
Каждая из них связана с инетом через сервер ASP Linux Server IV с поднятым iptables и OpenVPN.

Сетка 192 имеет внутренний IP=192.168.22.254, внешний 217.74.165.200 и tun1=192.168.254.2.

Сетка 10 имеет внутренний IP=10.0.0.19, внешний 217.74.170.50, tun1=192.168.254.1 и второго (основного прова) IP=80.65.19.30, через которого идет весь трафик, кроме VPN.
Задача: оставить весь трафик на прове 80.65.19.30, а VPN пустить через тунель.

Что сделано:
- при таком раскладе:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.254.2   *               255.255.255.255 UH    0      0        0 tun1
217.74.170.56   *               255.255.255.248 U     0      0        0 eth1
192.168.22.0    192.168.254.2   255.255.255.0   UG    0      0        0 tun1
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0
default         217.74.170.57   0.0.0.0         UG    0      0        0 eth1

работает VPN, но естественно не работает всё остальное,
Если дефолтным шлюзом стоит 80.65.19.10, то всё работает, кроме VPN

Как разрулить?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVPN через iptables"  
Сообщение от Юрий (??) on 14-Дек-07, 11:21 
Да, на iptables упор не далайте там всё вроде настроено, по крайней мере с ним работает при указанных выше условиях, нужно разрулить iprout'ом, наверное
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "OpenVPN через iptables"  
Сообщение от stakado email(ok) on 14-Дек-07, 12:16 
>работает VPN, но естественно не работает всё остальное,
>Если дефолтным шлюзом стоит 80.65.19.10, то всё работает, кроме VPN
>
>Как разрулить?

Тебе надо, чтобы впн-соединения уходили через 217.74.170.57 на какой определённый хост(ы)? Или чтобы вообще все впн-соединения (при условии, что все работают через один/несколько портов) ходили через 217.74.170.57?
Если это вариант 1, то:
vpn_server[0]=xxx.xxx.xxx.xxx
vpn_server[1]=yyy.yyy.yyy.yyy
...

i=0
while [ "${vpn_server[$i]}" ]; do
  route add -host ${vpn_server[$i]} gw 217.74.170.57
  i=$[ $i + 1 ]
done
route del default
route add default gw 80.65.19.10

Если это вариант 2, то надо смотреть в сторону таблицы nat и цели ROUTE. В мануале вроде всё просто. Сам никогда не пользовал ввиду ненадобности, он у меня даже в ядро не вкомпилен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру