Iptables encaminha todo o tráfego interno

Question 1

Para poder fazer uma VPN site-to-site com a conexão existente, você precisa ter caminhos de roteamento através da VPN. Digamos que você esteja no Site nº 1 (todas as coisas são simétricas, independentemente de qual estiver atuando como servidor OpenVPN).

Primeiro, você precisa ter certeza de que a VM com a conexão VPN (que podemos chamar de "VPN#1") pode alcançar a sub-rede remota. Isso é feito adicionando uma rota usando a configuração OpenVPN
- Se "VPN#1" for o cliente OpenVPN, você poderá adicioná-lo no servidor usando pusha palavra-chave ou adicioná-lo localmente usandoroute
- Se "VPN#1" for o servidor OpenVPN, você poderá adicioná-lo usando routeou usando uma ferramenta externa comoip
Então, você precisa ter certeza de que tanto a "VPN#1" quanto o endpoint remoto têm o encaminhamento de IP habilitado (adicione net.ipv4.ip_forward=1e /etc/sysctl.confrecarregue usando sysctl -p)
Se VPN#1 for o gateway padrão, está feito. Caso contrário, você precisará adicionar uma rota estática para a LAN remota no gateway padrão ou adicionar uma rota estática em cada host da sua LAN.
Verifique o firewall na VPN#1: ele deve estar configurado para permitir tráfego entre interfaces LAN e VPN (veja FORWARDcadeia na filtertabela usando iptables)

Se você repetir isso no lado remoto, tudo deverá funcionar. Use pinge traceroutepara depurar qualquer problema.

Answer

Para poder fazer uma VPN site-to-site com a conexão existente, você precisa ter caminhos de roteamento através da VPN. Digamos que você esteja no Site nº 1 (todas as coisas são simétricas, independentemente de qual estiver atuando como servidor OpenVPN).

Primeiro, você precisa ter certeza de que a VM com a conexão VPN (que podemos chamar de "VPN#1") pode alcançar a sub-rede remota. Isso é feito adicionando uma rota usando a configuração OpenVPN
- Se "VPN#1" for o cliente OpenVPN, você poderá adicioná-lo no servidor usando pusha palavra-chave ou adicioná-lo localmente usandoroute
- Se "VPN#1" for o servidor OpenVPN, você poderá adicioná-lo usando routeou usando uma ferramenta externa comoip
Então, você precisa ter certeza de que tanto a "VPN#1" quanto o endpoint remoto têm o encaminhamento de IP habilitado (adicione net.ipv4.ip_forward=1e /etc/sysctl.confrecarregue usando sysctl -p)
Se VPN#1 for o gateway padrão, está feito. Caso contrário, você precisará adicionar uma rota estática para a LAN remota no gateway padrão ou adicionar uma rota estática em cada host da sua LAN.
Verifique o firewall na VPN#1: ele deve estar configurado para permitir tráfego entre interfaces LAN e VPN (veja FORWARDcadeia na filtertabela usando iptables)

Se você repetir isso no lado remoto, tudo deverá funcionar. Use pinge traceroutepara depurar qualquer problema.

Question 2

OK, comecei a funcionar agora. Posso fazer RDP do servidor do outro lado da minha LAN local. Não consigo usar o smb para acessar os compartilhamentos administrativos nos servidores Windows do outro lado. Estas são as regras da tabela IP que usei:

/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE /sbin/iptables -A FORWARD -i tun0 -o ens160 -m state --state RELACIONADO, ESTABELECIDO -j ACEITAR /sbin/iptables -A FORWARD -i ens160 -o tun0 -j ACEITAR

Answer

OK, comecei a funcionar agora. Posso fazer RDP do servidor do outro lado da minha LAN local. Não consigo usar o smb para acessar os compartilhamentos administrativos nos servidores Windows do outro lado. Estas são as regras da tabela IP que usei:

/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE /sbin/iptables -A FORWARD -i tun0 -o ens160 -m state --state RELACIONADO, ESTABELECIDO -j ACEITAR /sbin/iptables -A FORWARD -i ens160 -o tun0 -j ACEITAR

Iptables encaminha todo o tráfego interno

Responder1

Responder2

informação relacionada