Re: Linux como router que no enruta

To: debian-user-spanish@lists.debian.org
Subject: Re: Linux como router que no enruta
From: Juan Antonio <pushakk@limbo.ari.es>
Date: Tue, 23 Nov 2010 10:25:19 +0100
Message-id: <[🔎] 4CEB887F.6010500@limbo.ari.es>
In-reply-to: <[🔎] 201011231014.35020.marc.olive@grupblau.com>
References: <[🔎] 201011221005.37409.marc.olive@grupblau.com> <[🔎] 4CEB8232.4010502@limbo.ari.es> <[🔎] 201011231014.35020.marc.olive@grupblau.com>

El 23/11/10 10:14, Marc Olive escribió:
> On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote:
>> El 22/11/10 10:05, Marc Olive escribió:
>>> Buenas listeros,
>>>
>>> Si asigno esta ruta en el firewall-router, que todos tienen configurado
>>> como puerta de enlace predeterminada, entonces desde el mismo
>>> firewall-router puedo hacer pings a la red VPN, pero los otros
>>> ordenadores de la red no.
>>>
>>> Si el firewall-router puede acceder a la red VPN, por que los demas
>>> ordenadores que tienen ese firewall-router como puerta de enlace
>>> (gateway) predeterminada no pueden?
>>>
>>> El firewall tambien hace snat para dar acceso a internet (sin problemas)
>>> y redirige puertos hacia servicios que deben ser accesibles desde
>>> internet (tambien sin problemas). Por si sirve de pista.
>>>
>>> Saludos y gracias,
>> Hola,
>>
>> si no estas enmascarando el tráfico en el FW que va desde los clientes
>> de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no
>> directamente al cliente que envió la petición, IP descartará ese paquete
>> porque no lo esperaba desde esa dirección, si no desde el FW.
>>
>> Tienes que hacer SNAT de ese tráfico igual que lo haces para internet,
>>
>> iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE
> Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard.
> Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas 
> las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los 
> paquetes adecuadamente.
>
> NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder 
> acceder a servicios de internet, donde esa IP interna no es válida. Entonces 
> la IP interna se cambia por la IP asignada a internet al enviar los paquetes 
> (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta.
> No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos.
>
> La configuració del firewall (que de momento protege poco), la puse en: 
> http://pastebin.ca/1994330
> Hay una línea comentada, $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT, que 
> ahora la tengo activa para permitir el reenvio/encaminamiento de paquetes 
> dentro de la red interna.
>
> Pero si teneis razón malpensando del FW, tambien creo que el problema está 
> ahí...
>  
>> Un saludo.
> Gracias,
>
Hola,

gracias por la explicación sobre el funcionamiento de SNAT. Pero este
puede usarse con otros propósitos, por ejemplo, si el tráfico esta
llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen de
ese tráfico, tendras que enmascarar en el sistema que tiene openvpn o
bien hacer lo mismo en la puerta de enlace por defecto de la red
10.10.0.0 para alcanzar la 10.9.0.0.

Como te he dicho antes, usa tcpdump en el GW y en el terminador del
tunel para ver hasta donde llega el tráfico, y como llega.

Un saludo.

Reply to:

Follow-Ups:
- Re: Linux como router que no enruta
  - From: Marc Olive <marc.olive@grupblau.com>

References:
- Linux como router que no enruta
  - From: Marc Olive <marc.olive@grupblau.com>
- Re: Linux como router que no enruta
  - From: Juan Antonio <pushakk@limbo.ari.es>
- Re: Linux como router que no enruta
  - From: Marc Olive <marc.olive@grupblau.com>

Prev by Date: Re: Linux como router que no enruta
Next by Date: Re: Linux como router que no enruta
Previous by thread: Re: Linux como router que no enruta
Next by thread: Re: Linux como router que no enruta
Index(es):
- Date
- Thread