alx
-
Posts
2 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by alx
-
-
Помогите победить NAT на интерфейсе OpenVPN!
Топология достаточно стандартная. Есть обычное подключение к интернету по проводу. Поверх него OpenVPN для доступа к корпоративным ресурсам. Удаленный OpenVPN сервер анонсирует в мою сторону необходимые маршруты (после подключения я вижу их в закладке "Маршрутизация"). При доступе к корпоративным ресурсам (TCP, UDP, ICMP) мой адрес транслируется в адрес интерфейса OpenVPN, НО ПРИ ЭТОМ:
1. Доступ из корпоративной сети к домашней (за Keenetic с адресацией на Bridge0, та которая Home) работает. Я свободно пингую и захожу по ssh на свои устройства из корпоративной сети без настроек проброса, хотя по логике домашние устройства должны быть "скрыты" за NAT.
2. Если я строю GRE из домашней сети в корпоративную, без обертки в UDP (без NAT Traversal), то Source адрес туннеля со стороны домашней сети не транслируется. При включении NAT Traversal - Source адрес туннеля со стороны домашней транслируется в адрес интерфейса OpenVPN. При этом и в том и в другом случае (и с честной маршрутизацией и с NAT) туннель живой, трафик по нему бегает в обе стороны.
Но мне нужно что бы адреса не транслировались!
Пробовал полечить это всем что мог найти в руководствах и на форуме в разных комбинациях:
- no isolate-private
- interface OpenVPN0 security-level private
- настройка "Межсетевой экран" на пропуск трафика между домашней и корпоративной адресацией на обоих интерфейсах "Домашняя сеть" и "OpenVPN"
- установка и снятие галки "Использовать для выхода в Интернет" в настройках OpenVPN клиента
И ничего не помогло.
Как это можно полечить? Или если лечения нет и это баг как правильно его зарепортить?
Все обнаружено на Keenetic Extra II Версия ОС 3.4.3
OpenVPN клиент и NAT
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
@ werldmgn
Спасибо, это именно то что нужно! Видел эту секцию, но меня смутило ее описание "add one-to-one address translation rule" - и я не стал смотреть внутрь. Обычно под one-to-one translation подразумевается Inside IP <=> Outside IP.
А GRE это от безысходности. Мне нужны были исходные Source IP, было свободное время... )) Раз логику Кинетика я не понял - начал сооружать костыли вокруг него.