Primero voy a dar una breve explicación no relacionada para dar sentido a mi pregunta:
Tengo 3 cajas de Linux y cada una tiene 2 NIC, 1 para la interfaz WAN y 1 para la interfaz LAN. Cada caja de Linux tiene una subred pública completa del ISP configurada en la interfaz WAN y puedo acceder con éxito a "Internet" utilizando dicha interfaz.
En cuanto a la interfaz LAN de cada caja, están configuradas en la red 192.168.50.0/24. Sin embargo, están aislados de "Internet" y sólo pueden comunicarse entre sí con éxito. El ISP no proporciona ninguna funcionalidad NAT/enrutador para mi red LAN.
Para resolver este primer problema, compré una cuarta caja de Linux (con 2 x NIC) e instalé OPNsense y ahora tengo una "puerta de enlace" (192.168.50.1) para mi red LAN. Configuré OpenVPN a través de OPNsense con una red de túnel configurada como 192.168.10.0/24, y puedo conectarme exitosamente desde un cliente remoto y hacer ping a mi servidor OPNsense en su dirección IP privada (192.168.50.1). Sin embargo, solo puedo hacer ping a algunos clientes que tienen 1 NIC LAN y su puerta de enlace configurada utilizando la IP privada del servidor OPNsense (192.168.50.1).
Para los tres servidores iniciales (con 2 x NIC) todavía no puedo hacer ping a ellos, la única diferencia es que su NIC LAN no tiene la IP de puerta de enlace (192.168.50.1) especificada. Sin embargo, si intento agregarlo, ya que funciona con los otros clientes, entonces mi servidor se vuelve completamente inaccesible y necesito volver a conectarme a través de la consola para deshacer los cambios de la puerta de enlace. Parece que a Linux no le gusta tener 2 puertas de enlace y no estoy exactamente seguro de cómo solucionarlo, porque también necesito llegar a estos tres servidores.
Tenga en cuenta que el problema no está relacionado con OPNsense u OpenVPN porque puedo comunicarme con algunos clientes que tienen la puerta de enlace LAN instalada, es el hecho de que configurar una máquina Linux con dos puertas de enlace hace que el servidor se caiga por completo.
He leído que en casos como este necesito configurar una ruta estática, pero para mí eso no tiene sentido. PD: las tres cajas de Linux usan Almalinux 8. \
Agradecería cualquier aporte en este asunto, gracias.
Respuesta1
A NINGÚN sistema le gustan las múltiples puertas de enlace PREDETERMINADAS activas. Una puerta de enlace predeterminada es, por definición, la ruta predeterminada para llegar a todas las redes desconocidas. Una red desconocida es aquella para la cual el servidor no tiene una ruta más directa en la tabla de enrutamiento.
Si tiene más de una puerta de enlace predeterminada, ambas puertas DEBEN tener una ruta a las mismas redes. En este caso, no lo hacen y en realidad son dos puertas de enlace que se encuentran en dos redes completamente separadas. Esto hace que los paquetes de red salgan por interfaces de red incorrectas. Esta no es la manera de implementar esto.
Mantenga la puerta de enlace predeterminada en la interfaz WAN y elimine la puerta de enlace por completo en la interfaz LAN. Luego configure rutas estáticas para los rangos de subred privados, a los que puede acceder el servidor VPN, para utilizar el siguiente salto de 192.168.50.1. En este caso, la red que necesita una ruta estática es 192.168.10.0/24. Esto se hace en los tres servidores con interfaces duales.
El comando en los 3 servidores se ve así:
ip route add 192.168.10.0/24 via 192.168.50.1
Esto es temporal y se perderá después de reiniciar. La forma de agregar una ruta estática permanente varía según las diferentes versiones de Linux, pero debería ser bastante sencillo de encontrar en Google.