Re: OpenVPN + отдельный DHCP

To: debian-russian@lists.debian.org
Subject: Re: OpenVPN + отдельный DHCP
From: Mikhail A Antonov <bart@solarnet.ru>
Date: Tue, 31 Aug 2010 09:42:56 +0400
Message-id: <[🔎] 4C7C9660.4040508@solarnet.ru>
In-reply-to: <[🔎] 4C7BF1EC.5010603@mail.ru>
References: <[🔎] 4C7BF1EC.5010603@mail.ru>

30.08.2010 22:01, Вереск пишет:
> Доброго $(date +%T)!
> 
> Возникла такая задача: надо дать возможность клиентам из внешнего мира
> (Linux\Windows) позволить заходить на пару внутренних серверов. Просто
> PREROUTING как-то не секурно, решил приделать OpenVPN. Итак:
> Внешний IP шлюза = 1.2.3.4
> Внутренний IP шлюза = 10.0.0.1
> На шлюзе есть: BIND (настроен на кеширование имен и резолв внутренних
> серверов по именам), DHCPD (настроен на выдачу IP по MAC в пуле
> 10.0.0.100-200 и свободную выдачу имён в пуле 10.0.0.201-10.0.0.250)
> 
> Так же на шлюзе настроены iptables, по принципу "никого никуда не
> пускать, кроме как ..."
> 
> На тот же многострадальный шлюз добавляю OpenVPN:
> 
> port 1194
> proto tcp
> dev tap
> ca ca.crt # наши сертификаты
> cert server.crt
> key server.key
> dh dh1024.pem
> server 10.0.0.0 255.255.0.0 # собственно наша виртуальная сеть
> ifconfig-pool-persist ipp.txt
> keepalive 10 120 # пинг каждые 10 секунд для поддержания канала связи
> comp-lzo # сжатие трафика
> persist-key
> persist-tun
> status openvpn-status.log #лог
> verb 3 # уровень болтливости записей в логи
> 
> Как видно, и виртуальная VPN сеть, и реальная имеют одинаковый адресный
> пул. Однако встроенный DHCP OpenVPN'a выдаёт явно по собственному
> желанию адреса. + есть мнение, что подключённые по VPN компы будут гнать
> весь свой интернет трафик через VPN-сервер. А надо только, чтоб они
> могли лишь обратиться к ftp.my.domain и mail.my.domain, не теряя своего
> соединения с остальным интернетом.
> 
Либо впн-клиентов сажаем в отдельную маршрутизируемую изнутри сеточку, либо
запрещаем локальному dhcp-серверу раздавать адреса в определённом диапазоне
и раздаём эти адреса через ccd. По поводу "гнать весь трафик" - посмотри на
таблицу маршрутизации у подключённого клиента. Опции redirect-gateway я у
тебя не вижу - думаю что такого не будет. А вообще с сетью 10.0.0.0/16
можно нарваться на очень интересные грабли при подключении из сети провайдера,
который такие же адреса использует. Потому считаю что чем меньше (уже) сеть,
выдаваемая впн-клиентам тем лучше.

-- 
Best regards,
         Mikhail.
-
xmpp: antmix@stopicq.ru
www: http://www.antmix.pp.ru/

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to:

References:
- OpenVPN + отдельный DHCP
  - From: Вереск <evgeny_veresk@mail.ru>

Prev by Date: Re: tasksel для богатых?
Next by Date: Re: memory hot-unplug/offline
Previous by thread: OpenVPN + отдельный DHCP
Next by thread: hal & debian sid
Index(es):
- Date
- Thread