Estoy intentando enrutar el tráfico entre dos servidores openvpn; Me gustaría tener la siguiente conexión:
Cliente --> OpenVpnServer1 --> OpenVpnServer2 --> Internet
Tengo ambos servidores ejecutándose y trabajando por separado, pero intenté configurar OpenVpnServer1 para reenviar todo el tráfico de sus clientes a OpenVpnServer2 usando iptables, pero fallé.
OpenVpnServer1 Interfaces y configuraciones:
eth0 - internet público
tun0 - para clientes que se conectan a este servidor
tun1: interfaz de conexión para el segundo servidor (activa cuando se conecta mediante el cliente openvpn)
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.10.0.0/8 -o eth0 -j MASQUERADE
COMMIT
OpenVpnServer2 Interfaces y configuraciones:
ens33 - internet público
tun0 - para clientes que se conectan a este servidor
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o ens33 -j MASQUERADE
COMMIT
Actualizar:
He probado las conexiones entre el servidor1 y el servidor2 y el servidor1 puede hacer ping a Google desde su adaptador tun1. El problema es que no sé cómo reenviar el tráfico sin cambiar la ruta predeterminada en el servidor1. Si cambio la ruta predeterminada a tun1, los clientes no podrán conectarse al servidor1.
Respuesta1
Bien, primero algunos conceptos básicos. El cliente abre una conexión VPN al Servidor1. El servidor tiene una conexión activa con el servidor2 y esta conexión está configurada como ruta predeterminada (lo hiciste, ¿correcto?)
En primer lugar, configuraría este túnel entre el servidor1 y el servidor2 como VPN de sitio a sitio, pero ese es un tema diferente.
En el servidor1, su regla de iptables es incorrecta. La regla correcta sería:
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
¿Por qué?
Si desea que esta configuración funcione, debe fingir que todo el tráfico que pasa por el túnel vpn desde el servidor1 al servidor2 está siendo iniciado por el servidor1, en detalle tiene la IP de su interfaz tun1, para que la respuesta llegue al servidor1 y pueda ser correctamente enrutado de regreso al cliente. Eso es lo que hace la regla. Su regla, por el contrario, solo enmascararía todo el tráfico que sale a la Internet pública, no a través de ninguna VPN.