Re: Linux como router que no enruta
El 23/11/10 09:58, Juan Antonio escribió:
> El 22/11/10 10:05, Marc Olive escribió:
>> Buenas listeros,
>>
>> Sigo con problemas con la VPN, el firewall y OpenVZ. A ver:
>>
>> Tengo internet, luego el firewall-router y después la red interna. Esa red
>> interna tiene un servidor OpenVPN que configura el túnel VPN en otro rango de
>> IPs (no se puede poner el mismo, verdad?).
>>
>> El problema es que para acceder al rango de IPs de la VPN debo configurar la
>> ruta en cada uno de los ordenadores de la red, individualmente, con:
>>
>> # route add -net 10.10.0.0/16 gw 10.9.0.10 eth0
>>
>> Donde 10.10.0.0/16 es la red VPN, 10.9.0.0/16 la red interna y 10.9.0.10 el
>> servidor VPN.
>>
>> Si asigno esta ruta en el firewall-router, que todos tienen configurado como
>> puerta de enlace predeterminada, entonces desde el mismo firewall-router puedo
>> hacer pings a la red VPN, pero los otros ordenadores de la red no.
>>
>> Si el firewall-router puede acceder a la red VPN, por que los demas ordenadores
>> que tienen ese firewall-router como puerta de enlace (gateway) predeterminada
>> no pueden?
>>
>> El firewall tambien hace snat para dar acceso a internet (sin problemas) y
>> redirige puertos hacia servicios que deben ser accesibles desde internet
>> (tambien sin problemas). Por si sirve de pista.
>>
>> Saludos y gracias,
>>
> Hola,
>
> si no estas enmascarando el tráfico en el FW que va desde los clientes
> de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no
> directamente al cliente que envió la petición, IP descartará ese paquete
> porque no lo esperaba desde esa dirección, si no desde el FW.
>
> Tienes que hacer SNAT de ese tráfico igual que lo haces para internet,
>
> iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE
>
> Un saludo.
>
>
Hola de nuevo,
olvídalo, he dicho una tonteria. Usa tcpdump en el FW y en el sistema
que tiene openvpn para ver hasta donde llega el tráfico.
Un saludo.
Reply to: