Jump to content

Recommended Posts

Привет.

Есть два сегмента сети "внутри сети":

image.png.946dd576f96b9a5630940270fd227ba0.png

Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети)

Та же есть OpenVPN на основе tap интерфейса.

Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)?

 

ЗЫ. в интерфейсе OpenVPN0 прописал 

security-level private

вместо 

security-level public

После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn.

Что за хрень и куда копать?

Link to comment
Share on other sites

37 минут назад, Andrey Krasvitnikov сказал:

Привет.

Есть два сегмента сети "внутри сети":

image.png.946dd576f96b9a5630940270fd227ba0.png

Home Net и Child Net. В них разные ip адресация (dhcp выдаёт разные подсети)

Та же есть OpenVPN на основе tap интерфейса.

Вопрос: как сделать чтобы клиенты всех этих трёх сетей видели друг друга напрямую (без натов всяких и фильтров)?

 

ЗЫ. в интерфейсе OpenVPN0 прописал 


security-level private

вместо 


security-level public

После этого клиенты за OpenVPN начали пинговать маршрутер мой, но теперь я не могу пинговать клиентов (и маршрутер) за ovpn.

Что за хрень и куда копать?

Вообщем сам разобрался на основе вот этого: 

Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный.

Link to comment
Share on other sites

В 26.08.2018 в 18:23, Andrey Krasvitnikov сказал:

Вообщем сам разобрался на основе вот этого: 

Но это капец бред - натить на входе трафика, а не на выходных интерфейсах. Разработчикам привет пламенный.

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

Link to comment
Share on other sites

В 30.08.2018 в 02:32, Le ecureuil сказал:

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Link to comment
Share on other sites

48 минут назад, Andrey Krasvitnikov сказал:

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Есть вариант. 

 

Link to comment
Share on other sites

В 31.08.2018 в 19:01, Andrey Krasvitnikov сказал:

Не соглашусь с тем, что проблема только с пользователями с ovpn. Делая NAT на входе, вы просто тратите ресурсы процессора в пустую. Понятно что в штатных случаях - это крайне мало, но тем не менее. Кроме того, не стоит забывать о том, что по факту, на маршрутизаторе работает Linux, в которой имеется своя концепция работы сети. И эта концепция явно не в том, чтобы транслировать адреса в PREROUTING, хотя и допускает такое: https://www.opennet.ru/docs/RUS/iptables/ . Ну а так то, пофиг, если нравится ходить не через дверь, а через окно - ну что ж, на вкус и цвет все фломастеры разные :).

 

Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе".

Вот правила в таблице NAT на устройстве с IPoE.

Покажите, какие именно вас смущают?

~ # iptables-save
# Generated by iptables-save v1.4.21 on Tue Sep  4 21:23:51 2018
*nat
:PREROUTING ACCEPT [5339:545959]
:INPUT ACCEPT [264:43210]
:OUTPUT ACCEPT [5058:274139]
:POSTROUTING ACCEPT [5058:274139]
:_NDM_DNAT - [0:0]
:_NDM_DNS_REDIRECT - [0:0]
:_NDM_EZ_DNAT - [0:0]
:_NDM_HOTSPOT_DNSREDIR - [0:0]
:_NDM_IPSEC_POSTROUTING_NAT - [0:0]
:_NDM_NAT_UDP - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SNAT - [0:0]
:_NDM_STATIC_DNAT - [0:0]
:_NDM_STATIC_LOOP - [0:0]
:_NDM_STATIC_SNAT - [0:0]
-A PREROUTING -j _NDM_DNAT
-A PREROUTING -j _NDM_DNS_REDIRECT
-A OUTPUT -j _NDM_DNAT
-A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT
-A POSTROUTING -j _NDM_SNAT
-A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP
-A POSTROUTING -i br0 -j MASQUERADE
-A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP
-A POSTROUTING -i br1 -j MASQUERADE
-A _NDM_DNAT -j _NDM_STATIC_DNAT
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999
-A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535
-A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023
-A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411
-A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT
-A _NDM_SNAT -j _NDM_STATIC_LOOP
-A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT
-A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT
-A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE
-A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE
-A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE
-A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE
COMMIT

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...