Andrey Krasvitnikov Posted August 26, 2018 Posted August 26, 2018 Привет. Есть два сегмента сети "внутри сети": Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети) Та же есть OpenVPN на основе tap интерфейса. Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)? ЗЫ. в интерфейсе OpenVPN0 прописал security-level private вместо security-level public После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn. Что за хрень и куда копать? Quote
Andrey Krasvitnikov Posted August 26, 2018 Author Posted August 26, 2018 37 минут назад, Andrey Krasvitnikov сказал: Привет. Есть два сегмента сети "внутри сети": Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети) Та же есть OpenVPN на основе tap интерфейса. Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)? ЗЫ. в интерфейсе OpenVPN0 прописал security-level private вместо security-level public После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn. Что за хрень и куда копать? Вообщем сам разобрался на основе вот этого: Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный. Quote
Le ecureuil Posted August 29, 2018 Posted August 29, 2018 В 26.08.2018 в 18:23, Andrey Krasvitnikov сказал: Вообщем сам разобрался на основе вот этого: Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный. На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит. Quote
Andrey Krasvitnikov Posted August 31, 2018 Author Posted August 31, 2018 В 30.08.2018 в 02:32, Le ecureuil сказал: На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит. Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :). Quote
r13 Posted August 31, 2018 Posted August 31, 2018 48 минут назад, Andrey Krasvitnikov сказал: Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :). Есть вариант. Quote
Le ecureuil Posted September 4, 2018 Posted September 4, 2018 В 31.08.2018 в 19:01, Andrey Krasvitnikov сказал: Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :). Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе". Вот правила в таблице NAT на устройстве с IPoE. Покажите, какие именно вас смущают? ~ # iptables-save # Generated by iptables-save v1.4.21 on Tue Sep 4 21:23:51 2018 *nat :PREROUTING ACCEPT [5339:545959] :INPUT ACCEPT [264:43210] :OUTPUT ACCEPT [5058:274139] :POSTROUTING ACCEPT [5058:274139] :_NDM_DNAT - [0:0] :_NDM_DNS_REDIRECT - [0:0] :_NDM_EZ_DNAT - [0:0] :_NDM_HOTSPOT_DNSREDIR - [0:0] :_NDM_IPSEC_POSTROUTING_NAT - [0:0] :_NDM_NAT_UDP - [0:0] :_NDM_SL_PRIVATE - [0:0] :_NDM_SNAT - [0:0] :_NDM_STATIC_DNAT - [0:0] :_NDM_STATIC_LOOP - [0:0] :_NDM_STATIC_SNAT - [0:0] -A PREROUTING -j _NDM_DNAT -A PREROUTING -j _NDM_DNS_REDIRECT -A OUTPUT -j _NDM_DNAT -A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT -A POSTROUTING -j _NDM_SNAT -A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br0 -j MASQUERADE -A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br1 -j MASQUERADE -A _NDM_DNAT -j _NDM_STATIC_DNAT -A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR -A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999 -A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535 -A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023 -A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411 -A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT -A _NDM_SNAT -j _NDM_STATIC_LOOP -A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT -A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT -A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE -A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE -A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE -A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE COMMIT Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.