Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

OpenVPN клиент и NAT

alx
 Share

Recommended Posts

alx Newbie

alx

Posted
Posted (edited)

Помогите победить NAT на интерфейсе OpenVPN!

Топология достаточно стандартная. Есть обычное подключение к интернету по проводу. Поверх него OpenVPN для доступа к корпоративным ресурсам. Удаленный OpenVPN сервер анонсирует в мою сторону необходимые маршруты (после подключения я вижу их в закладке "Маршрутизация"). При доступе к корпоративным ресурсам (TCP, UDP, ICMP) мой адрес транслируется в адрес интерфейса OpenVPN, НО ПРИ ЭТОМ:

1. Доступ из корпоративной сети к домашней (за Keenetic с адресацией на Bridge0, та которая Home) работает. Я свободно пингую и захожу по ssh на свои устройства из корпоративной сети без настроек проброса, хотя по логике домашние устройства должны быть "скрыты" за NAT.

2. Если я строю GRE из домашней сети в корпоративную, без обертки в UDP (без NAT Traversal), то Source адрес туннеля со стороны домашней сети не транслируется. При включении NAT Traversal - Source адрес туннеля со стороны домашней транслируется в адрес интерфейса OpenVPN. При этом и в том и в другом случае (и с честной маршрутизацией и с NAT) туннель живой, трафик по нему бегает в обе стороны. 

Но мне нужно что бы адреса не транслировались!

Пробовал полечить это всем что мог найти в руководствах и на форуме в разных комбинациях:

  • no isolate-private
  • interface OpenVPN0 security-level private
  • настройка "Межсетевой экран" на пропуск трафика между домашней и корпоративной адресацией на обоих интерфейсах "Домашняя сеть" и "OpenVPN"
  • установка и снятие галки "Использовать для выхода в Интернет" в настройках OpenVPN клиента

И ничего не помогло. 

Как это можно полечить? Или если лечения нет и это баг как правильно его зарепортить? 

Все обнаружено на Keenetic Extra II Версия ОС 3.4.3

Edited by alx
Link to comment
Share on other sites
Werld Honored Flooder

Werld

Posted
Posted

Честно говоря, не совсем понятно чего вы хотите добиться, то у вас openvpn, то вдруг gre. Но если все же вам  "нужно что бы адреса не транслировались!", то попробуйте отключить глобальный нат: no ip nat Home  

Далее включаем обратно нат, но только для интерфейсов, которым он нужен, командой вида: ip static Home ISP - включает трансляцию адресов домашней сети Home в о внешний интерфейс ISP. Если у вас подключение к провайдеру через pppoe, к примеру, то тогда еще команда:  ip static Home pppoe0 ит.д включаем нат отдельно только через нужные интерфейсы.

Link to comment
Share on other sites
alx Newbie

alx

Posted
  • Author
Posted

werldmgn

Спасибо, это именно то что нужно! Видел эту секцию, но меня смутило ее описание "add one-to-one address translation rule" - и я не стал смотреть внутрь. Обычно под one-to-one translation подразумевается Inside IP <=> Outside IP. 

А GRE это от безысходности. Мне нужны были исходные Source IP, было свободное время... )) Раз логику Кинетика я не понял - начал сооружать костыли вокруг него.

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...