Eu tenho uma caixa Debian Jessie em 192.168.1.5 conectada ao roteador (em 192.168.1.1) executando um cliente OpenVPN (na verdade é um Pi usandoesta configuração. A única diferença é que o IP eth0 do Pi é estático por causa do roteador, ou seja, o Pi está usando o DHCP do roteador).
Quando os clientes LAN são configurados para usar 192.168.1.5 como gateway, eles estão na VPN, conforme pretendido.
O que eu preciso é que os clientes da LAN em 192.168.1.128/25 tenham todo o tráfego redirecionado para 192.168.1.5, mesmoquando seu IP é definido pelo DHCP do roteadore seu gateway se torna 192.168.1.1. Em outras palavras,os clientes dentro de 192.168.1.128/25 devem funcionar como se seu gateway fosse 192.168.1.5.
Qual é a configuração iptablese/ou route addconfiguração que o roteador precisa ter para fazer isso(o roteador executa o Tomato 3.4-138)? Estas são as configurações do roteador:
iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
WANPREROUTING all -- 0.0.0.0/0 wan_ip
upnp all -- 0.0.0.0/0 wan_ip
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
SNAT all -- 192.168.1.0/24 192.168.1.0/24 to:192.168.1.1
SNAT all -- 172.16.1.0/24 172.16.1.0/24 to:172.16.1.1
Chain WANPREROUTING (1 references)
target prot opt source destination
DNAT icmp -- 0.0.0.0/0 0.0.0.0/0 to:192.168.1.1
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.1:443
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 to:192.168.1.5:22
DNAT all -- 0.0.0.0/0 0.0.0.0/0 to:192.168.1.4
Chain pupnp (0 references)
target prot opt source destination
Chain upnp (1 references)
target prot opt source destination
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:55355 to:192.168.1.130:55355
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55355 to:192.168.1.130:55355
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:5353 to:192.168.1.48:5353
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4500 to:192.168.1.48:4500
tabelas de ip -L
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
all -- anywhere anywhere account: network/netmask: 172.16.1.0/255.255.255.0 name: lan1
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
upnp all -- anywhere anywhere
ACCEPT all -- anywhere SIP-Device
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain upnp (1 references)
target prot opt source destination
ACCEPT udp -- anywhere client-1 udp dpt:55355
ACCEPT tcp -- anywhere client-1 tcp dpt:55355
ACCEPT udp -- anywhere client-2 udp dpt:mdns
ACCEPT udp -- anywhere client-2 udp dpt:4500
Chain wanin (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere *Pi* tcp dpt:ssh
Chain wanout (1 references)
target prot opt source destination
rota
(roteador fica atrás do modem WAN)
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
modem.ip.0.1 * 255.255.255.255 UH 0 0 0 vlan2
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
172.16.1.0 * 255.255.255.0 U 0 0 0 br1
modem.ip.0.0 * 255.255.224.0 U 0 0 0 vlan2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default modem.ip.0.1 0.0.0.0 UG 0 0 0 vlan2
Responder1
De alguma forma, você não pode conectar um roteador e o RaspPi ao mesmo segmento de LAN e esperar que o RaspPi reescreva os pacotes que outros clientes enviam para a LAN. Este parece ser um FAQ, as pessoas tentam falsificar ARP e outros enfeites. Mas a rede não se destina a funcionar desta forma.
A solução limpa é colocar tudoatráso RaspPi:
Router --- [eth0] RaspPi [eth1] --- Switch +--- Client1
+--- Client2
+--- Client3
Basicamente, você deseja que seu RaspPi funcione como um segundo roteador. Isso significa que precisa de uma segunda interface LAN. Coloque um servidor DHCP em seu roteador, possivelmente habilite o NAT no RaspPi da VPN, não consegue lidar com uma sub-rede e está tudo pronto.
Uma alternativa é ativar VPNsobreo próprio roteador, se você conseguir acesso root ou flash OpenWRT etc.
Outra alternativa é desativar o servidor DHCP no seu roteador, então você pode conectar o RaspPi e o roteador ao mesmo segmento LAN, e precisa de apenas uma interface LAN no RaspPi.