Estou tendo um problema semelhante a este: OpenVPN sem NAT
Parece que ainda não foi respondido.
Descrição da minha situação: Eu tenho um servidor openvpn na rede A que outro administrador instalou antes de sair da empresa, agora vários usuários e servidores se conectam a esse servidor openvpn para acessar a rede A e obter NAT para que todas as solicitações de usuários/servidores VPN tenham o endereço de origem do servidor openvpn.
Agora preciso de um servidor na rede A para acessar um dos clientes/servidores openvpn e quero desabilitar o NAT no openvpn para expor os endereços IP "vpn internos" desses clientes e servidores.
Eu sei que preciso adicionar uma rota na Rede A para acessar a rede VPN, isso está claro para mim, mas não consigo ver como desabilitar o NAT no openvpn, também não há regras de IPtables presentes, então algum mecanismo NAT interno do openvpn parece estar em usar.
Quais opções preciso verificar para desativar o NAT?
Responder1
No servidor OpenVPN deve haver uma regra como
iptables -t nat -A POSTROUTING -i tun0 -j MASQUERADE
Você pode encontrá-lo com
iptables-t nat -L -n -v
Você deve suprimir esta regra.
Se, como você afirma (mas você executou
iptables -t nat -L -n -v
para verificar se não há regras de iptables em jogo?), a única outra possibilidade é que o natting seja feito através do iproute2pacote. Fazer
cat /etc/iproute2/rt_tables
anote os nomes da tabela que você possui e emita
ip route table TABLE_NAME | grep ^nat
e veja se você consegue encontrar alguma saída. Se você fizer isso, significa que os cabeçalhos dos pacotes serão reescritos pelo iproute2comando ip route add nat ... Tudo que você precisa fazer é excluir a tabela de roteamento em questão.
Estas são as duas possibilidades,tertium não datur.
Agora você precisa adicionar uma regra ao roteador para rotear pacotes para a sub-rede OpenVPN 10.0.0.0/24 através do servidor OpenVPN (vamos supor que ele tenha o endereço IP 192.168.0.127). Se o roteador fosse uma máquina Linux, o seguinte comando serviria:
ip route add 10.0.0.0/24 via 192.168.0.127
A maioria dos roteadores, como os da Cisco, tem um Advanced routingrecurso que pode ser encontrado na GUI. Você deve usar isso para especificar a rota acima.