Re: как дать доступ к почте и bind только openvpn клиентам ?
13.05.2011 18:45, Nicholas пишет:
> On 13.05.2011 18:13, Mikhail A Antonov wrote:
>> На всякий случай повторю. Клиент подключается к серверу и получает
>> локальный IP (на tap). С этого локального IP он (клиент) может
>> связываться с сервером _внутри_ туннеля.
>
> Да, это понятно. После поднятия tap я могу обращаться к сервисам сервера
> по внутреннему ip 192.168.... - это работает и это уже неплохой вариант.
>
> Но если я обращаюсь по доменному имени сервера, то обращаюсь с нему по
> внешнему ip (а доменное имя прописанно во всех клиентах imap, smtp,
> etc), в этом случае - или иду к нему не через tap или, если все-таки
> заворачиваю пакеты, вообще не могу достучаться.
>
> Ваш вариант можно использовать, но хотелось бы найти возможность
> обращаться к серверу по внешнему ip через vpn/tap, что бы не менять
> настройки приложений, где прописан домен. Это особенно актуально, если
> приходится использовать dns кафе, что-бы согласиться с соглашением.
У сервера же два реальника? Ну повесь сервисы на второй и скажи что мол
после коннекта к впн маршрут к второму IP лежит через vpn.
А на первом сервис openvpn.
И оставь уже фаервол в покое. Всё решается обычной маршрутизацией. Без
натов вовсе. Нат тебе пригодится только если клиенты захотят через твой
сервер выходить куда-то за пределы твоей локальной сети (например если
ты им меняешь дефолтный маршрут на себя). Причём это будет SNAT.
--
Best regards,
Mikhail.
Reply to: