Jump to content

Recommended Posts

Posted

Привет.

Есть два сегмента сети "внутри сети":

image.png.946dd576f96b9a5630940270fd227ba0.png

Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети)

Та же есть OpenVPN на основе tap интерфейса.

Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)?

 

ЗЫ. в интерфейсе OpenVPN0 прописал 

security-level private

вместо 

security-level public

После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn.

Что за хрень и куда копать?

Posted
37 минут назад, Andrey Krasvitnikov сказал:

Привет.

Есть два сегмента сети "внутри сети":

image.png.946dd576f96b9a5630940270fd227ba0.png

Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети)

Та же есть OpenVPN на основе tap интерфейса.

Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)?

 

ЗЫ. в интерфейсе OpenVPN0 прописал 


security-level private

вместо 


security-level public

После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn.

Что за хрень и куда копать?

Вообщем сам разобрался на основе вот этого: 

Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный.

Posted
В 26.08.2018 в 18:23, Andrey Krasvitnikov сказал:

Вообщем сам разобрался на основе вот этого: 

Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный.

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

Posted
В 30.08.2018 в 02:32, Le ecureuil сказал:

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Posted
48 минут назад, Andrey Krasvitnikov сказал:

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Есть вариант. 

 

Posted
В 31.08.2018 в 19:01, Andrey Krasvitnikov сказал:

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе".

Вот правила в таблице NAT на устройстве с IPoE.

Покажите, какие именно вас смущают?

~ # iptables-save
# Generated by iptables-save v1.4.21 on Tue Sep  4 21:23:51 2018
*nat
:PREROUTING ACCEPT [5339:545959]
:INPUT ACCEPT [264:43210]
:OUTPUT ACCEPT [5058:274139]
:POSTROUTING ACCEPT [5058:274139]
:_NDM_DNAT - [0:0]
:_NDM_DNS_REDIRECT - [0:0]
:_NDM_EZ_DNAT - [0:0]
:_NDM_HOTSPOT_DNSREDIR - [0:0]
:_NDM_IPSEC_POSTROUTING_NAT - [0:0]
:_NDM_NAT_UDP - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SNAT - [0:0]
:_NDM_STATIC_DNAT - [0:0]
:_NDM_STATIC_LOOP - [0:0]
:_NDM_STATIC_SNAT - [0:0]
-A PREROUTING -j _NDM_DNAT
-A PREROUTING -j _NDM_DNS_REDIRECT
-A OUTPUT -j _NDM_DNAT
-A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT
-A POSTROUTING -j _NDM_SNAT
-A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP
-A POSTROUTING -i br0 -j MASQUERADE
-A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP
-A POSTROUTING -i br1 -j MASQUERADE
-A _NDM_DNAT -j _NDM_STATIC_DNAT
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999
-A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535
-A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023
-A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411
-A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT
-A _NDM_SNAT -j _NDM_STATIC_LOOP
-A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT
-A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT
-A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE
-A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE
-A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE
-A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE
COMMIT

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.