Strona 1 z 1
Dostęp do internetu tylko poprzez wirtualną sieć.
: 03 grudnia 2009, 09:26
autor: rmika
Witam,
Takie pytanie... Czy da się zrobić tak aby komputery w sieci firmowej miały dostęp do internetu tylko jeżeli połączą się wcześniej z siecią vpn tzn. normalnie działają w podsieci 192.168.2.0/24 i normalnie tą podsieć NATuje. A ja chciałbym aby była zaNATowana podsieć 10.8.2.0/24, która jest wirtualną...
Można coś takiego zrobić aby to działało... ?!
: 03 grudnia 2009, 09:32
autor: Ister
Oczywiście że się da, kwestia odpowiedniego ustawienia iptables. Po prostu wypuszczasz na zewnątrz ruch z 10.8.2.0/24, ale nie wypuszczasz z 192.168.2.0/24. Ot i koniec pieśni...
: 03 grudnia 2009, 09:41
autor: rmika
Oj, nie raz koniec jest dopiero początkiem.
Skoro mówisz, że się da to u mnie coś to nie działa.
A oto moje konfiguracje: (skromne to dopiero w fazie testów).
Plik ustawień serwera openvpn:
Kod: Zaznacz cały
port 6002
proto tcp
dev tun0
ca ca.crt
cert serwer.crt
key serwer.key
dh dh1024.pem
server 10.8.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
client-to-client
Plik ustawień klienta:
Kod: Zaznacz cały
client
dev tun0
proto tcp
remote 192.168.2.1 6002
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert rafal.crt
key rafal.key
comp-lzo
verb 3
Na firewallu pfctl mam:
Kod: Zaznacz cały
nat on $zew from 10.8.2.0/24 to any -> $zew_ip
i nie działa. Myślę, że gdzieś w ustawieniach openvpn czegoś mi brakuje.
: 03 grudnia 2009, 10:10
autor: Ister
Zacznijmy od tego, czy w ogóle zestawia połączenie. Bo ja też mam wrażenie, że coś jest nie tak, ale chcę wiedzieć na czym stoimy. Potem będę różne swoje uwagi rzucał ;-)
: 03 grudnia 2009, 10:14
autor: rmika
Tak, klienta na Windowsie łączy się z serwerem na Linuksie. Serwer przydziela mu IP 10.8.2.6. Serwer ma IP 10.8.2.1. Pingi działają.
: 03 grudnia 2009, 11:13
autor: Ister
Ja mam jeszcze taką linijkę w kliencie:
tylko u mnie klient też jest Linuksowy, nie wiem czy w Windowsowym jest tak samo.
Poza tym zupełnie nie znam tego firewalla. Ja bezpośrednio na iptables ustawiam. A tu też może leżeć problem.
: 03 grudnia 2009, 11:23
autor: rmika
A możesz napisać swoją regułę firewalla?
Na serwerze wykonałem polecenie:
i dostałem odpowiedź. Czyli NAT działa, tzn. działa na serwerze.
: 03 grudnia 2009, 12:30
autor: Ister
A zaglądałeś do tego pliku
Kod: Zaznacz cały
/usr/share/doc/openvpn/examples/sample-config-files/firewall.sh
?
?
: 03 grudnia 2009, 14:56
autor: rmika
Uporałem się z tym. Miałem błędną konfigurację firewalla.
Teraz mam pytanie, jak ustawić aby konkretnemu klientowi zawsze było przypisywane z góry ustalone IP?
: 07 grudnia 2009, 14:01
autor: Ister
To jest z kolei konfiguracja serwera dhcp (czyli gdzieś /etc/dhcp???????? przy czym to co jest pod znakami zapytania zależy od tego, jakiego serwera dhcp używasz). Podaj najpierw z jakiego korzystasz, ale zasadniczo bardziej rozbudowane mają możliwość przypisywania IP po MAC adresie. Natomiast jakieś proste wersje nie mają takiej funkcjonalności.