Маршрутизация

[Andrey Krasvitnikov]

Привет.

Есть два сегмента сети "внутри сети":

Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети)

Та же есть OpenVPN на основе tap интерфейса.

Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)?

 

ЗЫ. в интерфейсе OpenVPN0 прописал 

security-level private

вместо 

security-level public

После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn.

Что за хрень и куда копать?

[Andrey Krasvitnikov]

37 минут назад, Andrey Krasvitnikov сказал:

Привет.

Есть два сегмента сети "внутри сети":

Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети)

Та же есть OpenVPN на основе tap интерфейса.

Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)?

 

ЗЫ. в интерфейсе OpenVPN0 прописал 

security-level private

вместо 

security-level public

После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn.

Что за хрень и куда копать?

Вообщем сам разобрался на основе вот этого: 

Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный.

[Le ecureuil]

В 26.08.2018 в 18:23, Andrey Krasvitnikov сказал:

Вообщем сам разобрался на основе вот этого: 

Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный.

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

[Andrey Krasvitnikov]

В 30.08.2018 в 02:32, Le ecureuil сказал:

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

[r13]

48 минут назад, Andrey Krasvitnikov сказал:

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Есть вариант. 

 

[Le ecureuil]

В 31.08.2018 в 19:01, Andrey Krasvitnikov сказал:

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе".

Вот правила в таблице NAT на устройстве с IPoE.

Покажите, какие именно вас смущают?

~ # iptables-save
# Generated by iptables-save v1.4.21 on Tue Sep  4 21:23:51 2018
*nat
:PREROUTING ACCEPT [5339:545959]
:INPUT ACCEPT [264:43210]
:OUTPUT ACCEPT [5058:274139]
:POSTROUTING ACCEPT [5058:274139]
:_NDM_DNAT - [0:0]
:_NDM_DNS_REDIRECT - [0:0]
:_NDM_EZ_DNAT - [0:0]
:_NDM_HOTSPOT_DNSREDIR - [0:0]
:_NDM_IPSEC_POSTROUTING_NAT - [0:0]
:_NDM_NAT_UDP - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SNAT - [0:0]
:_NDM_STATIC_DNAT - [0:0]
:_NDM_STATIC_LOOP - [0:0]
:_NDM_STATIC_SNAT - [0:0]
-A PREROUTING -j _NDM_DNAT
-A PREROUTING -j _NDM_DNS_REDIRECT
-A OUTPUT -j _NDM_DNAT
-A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT
-A POSTROUTING -j _NDM_SNAT
-A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP
-A POSTROUTING -i br0 -j MASQUERADE
-A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP
-A POSTROUTING -i br1 -j MASQUERADE
-A _NDM_DNAT -j _NDM_STATIC_DNAT
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999
-A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535
-A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023
-A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411
-A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT
-A _NDM_SNAT -j _NDM_STATIC_LOOP
-A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT
-A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT
-A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE
-A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE
-A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE
-A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE
COMMIT