Re: Linux como router que no enruta

To: debian-user-spanish@lists.debian.org
Subject: Re: Linux como router que no enruta
From: Marc Olive <marc.olive@grupblau.com>
Date: Tue, 23 Nov 2010 10:14:34 +0100
Message-id: <[🔎] 201011231014.35020.marc.olive@grupblau.com>
In-reply-to: <[🔎] 4CEB8232.4010502@limbo.ari.es>
References: <[🔎] 201011221005.37409.marc.olive@grupblau.com> <[🔎] 4CEB8232.4010502@limbo.ari.es>

On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote:
> El 22/11/10 10:05, Marc Olive escribió:
> > Buenas listeros,
> >
> > Si asigno esta ruta en el firewall-router, que todos tienen configurado
> > como puerta de enlace predeterminada, entonces desde el mismo
> > firewall-router puedo hacer pings a la red VPN, pero los otros
> > ordenadores de la red no.
> > 
> > Si el firewall-router puede acceder a la red VPN, por que los demas
> > ordenadores que tienen ese firewall-router como puerta de enlace
> > (gateway) predeterminada no pueden?
> > 
> > El firewall tambien hace snat para dar acceso a internet (sin problemas)
> > y redirige puertos hacia servicios que deben ser accesibles desde
> > internet (tambien sin problemas). Por si sirve de pista.
> > 
> > Saludos y gracias,
> 
> Hola,
> 
> si no estas enmascarando el tráfico en el FW que va desde los clientes
> de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no
> directamente al cliente que envió la petición, IP descartará ese paquete
> porque no lo esperaba desde esa dirección, si no desde el FW.
> 
> Tienes que hacer SNAT de ese tráfico igual que lo haces para internet,
> 
> iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE

Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard.
Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas 
las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los 
paquetes adecuadamente.

NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder 
acceder a servicios de internet, donde esa IP interna no es válida. Entonces 
la IP interna se cambia por la IP asignada a internet al enviar los paquetes 
(213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta.
No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos.

La configuració del firewall (que de momento protege poco), la puse en: 
http://pastebin.ca/1994330
Hay una línea comentada, $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT, que 
ahora la tengo activa para permitir el reenvio/encaminamiento de paquetes 
dentro de la red interna.

Pero si teneis razón malpensando del FW, tambien creo que el problema está 
ahí...

> Un saludo.

Gracias,

-- 

Marc Olivé
Grup Blau

www.grupblau.com

Reply to:

Follow-Ups:
- Re: Linux como router que no enruta
  - From: Juan Antonio <pushakk@limbo.ari.es>

References:
- Linux como router que no enruta
  - From: Marc Olive <marc.olive@grupblau.com>
- Re: Linux como router que no enruta
  - From: Juan Antonio <pushakk@limbo.ari.es>

Prev by Date: Re: Linux como router que no enruta
Next by Date: Re: Linux como router que no enruta
Previous by thread: Re: Linux como router que no enruta
Next by thread: Re: Linux como router que no enruta
Index(es):
- Date
- Thread