|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Alexander S. Usov 2:5020/400 19 Oct 2005 05:20:33
To : Eugene B. Berdnikov
Subject : Re: Routing over vpn
--------------------------------------------------------------------------------
Eugene B. Berdnikov wrote:
> Alexander S. Usov <A.S.Usov@kvi.nl> wrote:
> ASU> Пытаюсь настроить роутинг поверх vpn-линка, и что-то никак не пойму
> ASU> как оно должно быть правильно.
> ASU>
> ASU> Есть 2 машины: home и work. Между ними протянут openvpn'овский
> туннель, с ASU> оконечными адресам 10.1.0.2/10.1.0.1 соответственно.
> ASU>
> ASU> Хочется соорудить так, чтобы весь трафик с home в направлении
> work/24, и из ASU> work до home шёл поверх vpn.
> ASU>
> ASU> Пробовалась такая конструкция: (со стороны home)
> ASU> ip rule add fwmark 2 table vpn.out
> ASU> ip route add work via 10.1.0.1 table vpn.out
> ASU> iptables -A OUTPUT -t mangle -p udp -d work --dport 1194 -J ACCEPT
> ASU> iptables -A OUTPUT -t mangle -d work/24 -J MARK --set-mark 2
> ASU> с другой стороны такая-же, но в противоположную сторону.
> ASU>
> ASU> В результате всё уходит в туннель, но прибивается на выходе по
> причине ASU> марсианского происхождения ;)
>
> Hа tun0 поставить rp_filter=0.
Это который /proc/sys/net/ipv4/conf/tun0/rp_filter?
А оно хоть где-то внятно описано?
> ASU> Почему его убивают понятно, вопрос -- как сделать правильно?
>
> Вопрос в том, зачем "делать правильно". Если хочется адресовать офисные
> машины из дому - так нет нужды реальный адрес домашней машины через
> туннель гонять. Проще так:
>
> ip route add <work> via <gw> dev eth0
> ip route add <work/24> via 10.1.0.1 dev tun0
>
> а на офисной машине исходящий на <work/24> отмаскарадить.
Маскарадить при выходе с work его и в моём варианте надо будет -- я это
просто написать забыл.
> Если хочется трафик между реальными адресами хостов home и work завернуть
> в туннель (странное желание - ведь есть 10.х.х.х?), то можно, конечно,
> и по предложенной схеме. Hо проще, IMHO, использовать туннельные адреса,
> а мангал с жареными марсианами забыть как кошмарный сон... :)
Hе, мне значительно важнее хождение трафика через тунель между самими work и
home -- эдакий способ достучаться до тех тех сервисов рабочей машины (и
внутренней сети), которые в нормальном состоянии прикрыты файерволом (типа
rsync и X11). А вся остальная рабочая сеть это так, приятный побочный
эффект.
Весь этот изврат с заворачиванием трафика -- сила привычки (нет надобности
различать адреса, да и весьма долго у меня такой изврат работал на фре
поверх ipsec).
Щас вот мысля пришла -- а мож ну его нафиг этот openvpn. Хотя OpenSWAN и
выглядит несколько навороченне чем фряшный ipsec, но всё равно не rocket
science. Hо неспортивно это как-то.
--
Best regards,
Alexander.
--- ifmail v.2.15dev5.3
* Origin: KVI (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Routing over vpn 
