Dost

rmika · Post autor: **rmika** » 03 grudnia 2009, 09:26

Witam,
Takie pytanie... Czy da się zrobić tak aby komputery w sieci firmowej miały dostęp do internetu tylko jeżeli połączą się wcześniej z siecią vpn tzn. normalnie działają w podsieci 192.168.2.0/24 i normalnie tą podsieć NATuje. A ja chciałbym aby była zaNATowana podsieć 10.8.2.0/24, która jest wirtualną...

Można coś takiego zrobić aby to działało... ?!

Ister · Post autor: **Ister** » 03 grudnia 2009, 09:32

Oczywiście że się da, kwestia odpowiedniego ustawienia iptables. Po prostu wypuszczasz na zewnątrz ruch z 10.8.2.0/24, ale nie wypuszczasz z 192.168.2.0/24. Ot i koniec pieśni...

rmika · Post autor: **rmika** » 03 grudnia 2009, 09:41

Oj, nie raz koniec jest dopiero początkiem.

Skoro mówisz, że się da to u mnie coś to nie działa.

A oto moje konfiguracje: (skromne to dopiero w fazie testów).

Plik ustawień serwera openvpn:

Kod: Zaznacz cały

port 6002
proto tcp
dev tun0
ca ca.crt
cert serwer.crt
key serwer.key
dh dh1024.pem
server 10.8.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
client-to-client

Plik ustawień klienta:

Kod: Zaznacz cały

client
dev tun0
proto tcp
remote 192.168.2.1 6002
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert rafal.crt
key rafal.key
comp-lzo
verb 3

Na firewallu pfctl mam:

Kod: Zaznacz cały

nat on $zew from 10.8.2.0/24 to any -> $zew_ip

i nie działa. Myślę, że gdzieś w ustawieniach openvpn czegoś mi brakuje.

Ister · Post autor: **Ister** » 03 grudnia 2009, 10:10

Zacznijmy od tego, czy w ogóle zestawia połączenie. Bo ja też mam wrażenie, że coś jest nie tak, ale chcę wiedzieć na czym stoimy. Potem będę różne swoje uwagi rzucał ;-)

rmika · Post autor: **rmika** » 03 grudnia 2009, 10:14

Tak, klienta na Windowsie łączy się z serwerem na Linuksie. Serwer przydziela mu IP 10.8.2.6. Serwer ma IP 10.8.2.1. Pingi działają.

Ister · Post autor: **Ister** » 03 grudnia 2009, 11:13

Ja mam jeszcze taką linijkę w kliencie:

Kod: Zaznacz cały

redirect-gateway

tylko u mnie klient też jest Linuksowy, nie wiem czy w Windowsowym jest tak samo.

Poza tym zupełnie nie znam tego firewalla. Ja bezpośrednio na iptables ustawiam. A tu też może leżeć problem.

rmika · Post autor: **rmika** » 03 grudnia 2009, 11:23

A możesz napisać swoją regułę firewalla?

Na serwerze wykonałem polecenie:

Kod: Zaznacz cały

ping -I 10.8.2.1 [url]www.google.pl[/url]

i dostałem odpowiedź. Czyli NAT działa, tzn. działa na serwerze.

Ister · Post autor: **Ister** » 03 grudnia 2009, 12:30

A zaglądałeś do tego pliku

Kod: Zaznacz cały

/usr/share/doc/openvpn/examples/sample-config-files/firewall.sh

?

?

rmika · Post autor: **rmika** » 03 grudnia 2009, 14:56

Uporałem się z tym. Miałem błędną konfigurację firewalla.
Teraz mam pytanie, jak ustawić aby konkretnemu klientowi zawsze było przypisywane z góry ustalone IP?

Ister · Post autor: **Ister** » 07 grudnia 2009, 14:01

To jest z kolei konfiguracja serwera dhcp (czyli gdzieś /etc/dhcp???????? przy czym to co jest pod znakami zapytania zależy od tego, jakiego serwera dhcp używasz). Podaj najpierw z jakiego korzystasz, ale zasadniczo bardziej rozbudowane mają możliwość przypisywania IP po MAC adresie. Natomiast jakieś proste wersje nie mają takiej funkcjonalności.

Dost

Dostęp do internetu tylko poprzez wirtualną sieć.