Tengo un problema similar a este: OpenVPN sin NAT
Parece que aún no ha sido respondida.
Descripción de mi situación: Tengo un servidor openvpn en la red A que otro administrador instaló antes de dejar la empresa, ahora varios usuarios y servidores se conectan a ese servidor openvpn para acceder a la red A y obtener NATed para que todas las solicitudes de los usuarios/servidores vpn tengan la dirección de origen del servidor openvpn.
Ahora necesito un servidor en la red A para acceder a uno de los clientes/servidores de openvpn y quiero deshabilitar NAT en openvpn para exponer las direcciones IP "vpn internas" de estos clientes y servidores.
Sé que necesito agregar una ruta en la Red A para acceder a la red vpn, eso está claro para mí, pero no veo cómo deshabilitar NAT en openvpn, además no hay reglas de IPtables presentes, por lo que parece haber algún mecanismo NAT interno de openvpn. usar.
¿Qué opciones debo marcar para desactivar NAT?
Respuesta1
En el servidor OpenVPN debe haber una regla como
iptables -t nat -A POSTROUTING -i tun0 -j MASQUERADE
Puedes encontrarlo con
iptables-t nat -L -n -v
Debes suprimir esta regla.
Si, como afirmas (pero ¿corriste
iptables -t nat -L -n -v
para verificar que no haya reglas de iptables en juego), la única otra posibilidad es que la navegación se realice a través de la iproute2suite. Hacer
cat /etc/iproute2/rt_tables
anota los nombres de la tabla que tienes, luego emite
ip route table TABLE_NAME | grep ^nat
y vea si puede encontrar algún resultado. Si lo hace, significa que el iproute2comando reescribe los encabezados de los paquetes ip route add nat ... Todo lo que necesitas hacer es eliminar la tabla de enrutamiento en cuestión.
Estas son las dos posibilidades,tercio no datur.
Ahora necesita agregar una regla al enrutador para enrutar paquetes para la subred OpenVPN 10.0.0.0/24 a través del servidor OpenVPN (supongamos que tiene la dirección IP 192.168.0.127). Si el enrutador fuera una máquina Linux, el siguiente comando funcionaría:
ip route add 10.0.0.0/24 via 192.168.0.127
La mayoría de los enrutadores, como el de Cisco, tienen una Advanced routingcapacidad que se encuentra en su GUI. Deberías usarlo para especificar la ruta anterior.