RE: Linux como router que no enruta
Marc, buenos días,
>-----Mensaje original-----
>De: Marc Olive [mailto:marc.olive@grupblau.com]
>Enviado el: martes, 23 de noviembre de 2010 10:42
>Para: debian-user-spanish@lists.debian.org
>Asunto: Re: Linux como router que no enruta
>
>On Tuesday 23 November 2010 10:25:19 Juan Antonio wrote:
>> El 23/11/10 10:14, Marc Olive escribió:
>> > On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote:
>> >> El 22/11/10 10:05, Marc Olive escribió:
>> >>> Buenas listeros,
>> >>>
>> >> Tienes que hacer SNAT de ese tráfico igual que lo haces para
>> >> internet,
>> >>
>> >> iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j
>> >> MASQUERADE
>> >
>> > Hmm... no veo claro que deba hacer SNAT entre la red VPN y
>la estándard.
>> > Según lo entiendo, ambas son redes distintas con distinto rango de
>> > IP y todas las direcciones son válidas, deberia ser suficiente con
>> > encaminar
>> > (enrutar) los paquetes adecuadamente.
>> >
>> > NAT es necesario cuando una IP interna (192.168.0.1, típicamente)
>> > debe poder acceder a servicios de internet, donde esa IP
>interna no
>> > es válida. Entonces la IP interna se cambia por la IP asignada a
>> > internet al enviar los paquetes (213.4.130.95, por ejemplo) y se
>> > restaura otra vez al recibir la respuesta. No veo la necesidad de
>> > usar NAT teniendo dos redes con rangos IP distintos.
>> >
>> >> Un saludo.
>> >
>> > Gracias,
>>
>> Hola,
>>
>> gracias por la explicación sobre el funcionamiento de SNAT.
>Pero este
>> puede usarse con otros propósitos, por ejemplo, si el tráfico esta
>> llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen
>> de ese tráfico, tendras que enmascarar en el sistema que
>tiene openvpn
>> o bien hacer lo mismo en la puerta de enlace por defecto de la red
>> 10.10.0.0 para alcanzar la 10.9.0.0.
>
>Y no basta con poner una ruta en la puerta de enlace para
>alcanzar las distintas redes?
>El GW (que tambien es el FW) tiene una ruta para el rango de
>IPs de la VPN y puede hacer ping a ellas.
>
>> Como te he dicho antes, usa tcpdump en el GW y en el terminador del
>> tunel para ver hasta donde llega el tráfico, y como llega.
>
>Si, seguiré mirando. Gracias por el interés.
>
>> Un saludo.
A nivel de routing, creo que sí, pero en ambos Default Gateway's...
Haz lo que te comentaba en el otro correo, si no lo habías hecho, y si no
va, mete el tcpdump en ambos Server VPN, a ver donde se queda la
respuesta...
Saludos,
Ramses
Reply to: