[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RE: Linux como router que no enruta

Marc, buenos días, 

>-----Mensaje original-----
>De: Marc Olive [mailto:marc.olive@grupblau.com] 
>Enviado el: martes, 23 de noviembre de 2010 10:42
>Para: debian-user-spanish@lists.debian.org
>Asunto: Re: Linux como router que no enruta
>
>On Tuesday 23 November 2010 10:25:19 Juan Antonio wrote:
>> El 23/11/10 10:14, Marc Olive escribió:
>> > On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote:
>> >> El 22/11/10 10:05, Marc Olive escribió:
>> >>> Buenas listeros,
>> >>> 
>> >> Tienes que hacer SNAT de ese tráfico igual que lo haces para 
>> >> internet,
>> >> 
>> >> iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j 
>> >> MASQUERADE
>> > 
>> > Hmm... no veo claro que deba hacer SNAT entre la red VPN y 
>la estándard.
>> > Según lo entiendo, ambas son redes distintas con distinto rango de 
>> > IP y todas las direcciones son válidas, deberia ser suficiente con 
>> > encaminar
>> > (enrutar) los paquetes adecuadamente.
>> > 
>> > NAT es necesario cuando una IP interna (192.168.0.1, típicamente) 
>> > debe poder acceder a servicios de internet, donde esa IP 
>interna no 
>> > es válida. Entonces la IP interna se cambia por la IP asignada a 
>> > internet al enviar los paquetes (213.4.130.95, por ejemplo) y se 
>> > restaura otra vez al recibir la respuesta. No veo la necesidad de 
>> > usar NAT teniendo dos redes con rangos IP distintos.
>> > 
>> >> Un saludo.
>> > 
>> > Gracias,
>> 
>> Hola,
>> 
>> gracias por la explicación sobre el funcionamiento de SNAT. 
>Pero este 
>> puede usarse con otros propósitos, por ejemplo, si el tráfico esta 
>> llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen 
>> de ese tráfico, tendras que enmascarar en el sistema que 
>tiene openvpn 
>> o bien hacer lo mismo en la puerta de enlace por defecto de la red 
>> 10.10.0.0 para alcanzar la 10.9.0.0.
>
>Y no basta con poner una ruta en la puerta de enlace para 
>alcanzar las distintas redes?
>El GW (que tambien es el FW) tiene una ruta para el rango de 
>IPs de la VPN y puede hacer ping a ellas.
> 
>> Como te he dicho antes, usa tcpdump en el GW y en el terminador del 
>> tunel para ver hasta donde llega el tráfico, y como llega.
>
>Si, seguiré mirando. Gracias por el interés.
>
>> Un saludo.

A nivel de routing, creo que sí, pero en ambos Default Gateway's...

Haz lo que te comentaba en el otro correo, si no lo habías hecho, y si no
va, mete el tcpdump en ambos Server VPN, a ver donde se queda la
respuesta...


Saludos,

Ramses
Reply to: