https://www.opennet.me/openforum/vsluhforumID10/5016.html Здравствуйте, несколько дней рою топики, но никак не удаётся добиться результата.<br><br>Итак, описание систем и задачи:<br>2 компьютера на базе Fedora 16 соединены виртуальной сетью, OpenVPN 2.2.2 запущена сервером на одном (далее Сервер) и клиентом на другом (далее, Клиент).<br><br>Задача - сделать так, чтобы другие компьютеры при коннекте на Клиент по специальному порту (далее Порт) попадали на Сервер по другому порту (можно по этому же) через VPN канал.<br><br>Интерфейсы на Сервере:<br>eht0 - имеет сразу внешний выделенный ип адрес - &lt;внешний ип&gt;.<br>tun0 - виртуальный интерфейс, созданный OpenVPN сервером. Адрес - 10.10.0.1.<br><br>Конфиг OpenVPN на Сервере:<br>server 10.10.0.0 255.255.255.0<br>client-config-dir /etc/openvpn/ccd<br>route 192.168.207.0 255.255.255.0<br>(остальное ничего не менял из стандартного конфига)<br><br>Файл Клиента в ccd на Сервере:<br>iroute 192.168.207.0 255.255.255.0<br><br>Route на Сервере:<br>default *.ru 0.0.0.0 UG 0 0 0 eht0<br>10.10.0.0 * 255.255.255.0 UG 0 0 0 tun0<br>10 https://www.opennet.me/openforum/vsluhforumID10/5016.html#9 Sun, 01 Apr 2012 15:42:08 GMT &gt; потому что нет маршрута через tun для ответных пакетов на сервере, адрес <br>&gt; то там не внутренней сети, не доделали вы своих двух провайдеров, <br>&gt; для проверки сделайте SNAT на tun клиента <br><br>Скорее всего других вариантов нет.<br>Пробовал на другом роутере маршрутизацию на 10.10.0.* - сеть пингует, но вот пробросить порт можно только в подсеть роутера 192.168.207.*, другого выбора не даёт. Возможно, такие малофункциональные роутеры.<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#8 Sun, 01 Apr 2012 05:19:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt; хотите tun интерфейс, читайте про iroute в openvpn <br>&gt;&gt;&gt; Проблема 2: Чем лучше и как пробросить Порт на Клиенте. Служба rinetd <br>&gt;&gt;&gt; вроде бы должна перебросить, если прописать строчку 192.168.207.100 Порт 10.10.0.1 Порт/другой <br>&gt;&gt;&gt; порт. Либо спец. правила SNAT, DNAT + FORWARD в iptables. Только <br>&gt;&gt;&gt; узнать этого я не могу пока не разрешится Проблема 1.<br>&gt;&gt; tcpdump можно было бы и запустить, а там может что интересного увидели <br>&gt;&gt; бы. DNAT должен справится, а вот с UDP можно и на <br>&gt;&gt; не явные грабли наступить <br>&gt;&gt;&gt; Спасибо.<br>&gt; чота мне кажется что udp не полетит )) <br><br>почему же, чисто технически, сменили адрес в заголовке пакета, а дальше как обычно.<br>другой вопрос что с ними дальше будут делать<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#7 Sun, 01 Apr 2012 05:16:39 GMT &gt; Странно, прописываю на компьютере внетренней сети route ADD 10.10.0.0 MASK 255.255.255.0 <br>&gt; 192.168.207.100, попадаю на Сервер (при подключении на 10.10.0.1). Прописываю аналог в <br>&gt; разделе маршрутизации на роутере + проброс Порта на 10.10.0.1 - нет <br>&gt; отклика. (( <br><br>потому что нет маршрута через tun для ответных пакетов на сервере, адрес то там не внутренней сети, не доделали вы своих двух провайдеров, для проверки сделайте SNAT на tun клиента<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#6 Sat, 31 Mar 2012 19:10:05 GMT &gt; Странно, прописываю на компьютере внетренней сети route ADD 10.10.0.0 MASK 255.255.255.0 <br>&gt; 192.168.207.100, попадаю на Сервер (при подключении на 10.10.0.1). Прописываю аналог в <br>&gt; разделе маршрутизации на роутере + проброс Порта на 10.10.0.1 - нет <br>&gt; отклика. (( <br><br>Никаких странностей, только правила маршрутизации и трансляции адресов.<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#5 Sat, 31 Mar 2012 16:34:59 GMT Странно, прописываю на компьютере внетренней сети route ADD 10.10.0.0 MASK 255.255.255.0 192.168.207.100, попадаю на Сервер (при подключении на 10.10.0.1). Прописываю аналог в разделе маршрутизации на роутере + проброс Порта на 10.10.0.1 - нет отклика. ((<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#4 Fri, 30 Mar 2012 20:57:48 GMT &gt; по сути, на Сервер будет два провайдера.<br>&gt; Исходя из этого, читайте <br>&gt; http://www.opennet.ru/tips/2009_policy_route_linux.shtml <br>&gt; http://www.opennet.ru/tips/1651_route_iptables_linux_nat.shtml <br><br>Статьи серьёзные, почитаю. Спасибо.<br><br>&gt; Если возможно, то стоит избежать DNAT/ проброса порта на Клиенте, указав на <br>&gt; 192.168.207.1 маршрут к Сервер через Клиент и исправив проброс порта непосредственно <br>&gt; на конечное назначение.<br><br>На компьютере внетренней сети Клиента прокинул роут до сети 10.10.0.* и, о чудо, есть пинг и коннект на Сервер. Пока не знаю, есть ли возможность сделать по аналогии с роутером на 192.168.207.1. Однако, это решение, хоть и не совсем безопасное.<br><br>Роюсь дальше.<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#3 Fri, 30 Mar 2012 19:21:04 GMT &gt; Здравствуйте, несколько дней рою топики, но никак не удаётся добиться результата.<br>&gt; Итак, описание систем и задачи: <br>&gt; 2 компьютера на базе Fedora 16 соединены виртуальной сетью, OpenVPN 2.2.2 запущена <br>&gt; сервером на одном (далее Сервер) и клиентом на другом (далее, Клиент). <br><br>по сути, на Сервер будет два провайдера.<br><br>Исходя из этого, читайте <br><br>http://www.opennet.ru/tips/2009_policy_route_linux.shtml<br>http://www.opennet.ru/tips/1651_route_iptables_linux_nat.shtml<br><br>На всё что прилетит по туннельному интерфейсу, Сервер должен будет ответить в него же.<br>Именно поэтому мы и считаем, что у Сервер будет два провайдера, поскольку сервисом Сервер через туннель будет пользоваться весь Интернет, а не ограниченный набор подсеток.<br>(Также, если ответы пойдут туда же, откуда пришли, то решится Проблема1).<br><br>на Клиент возможно тоже делать маркировки и маршрутизацию исходя из значений маркеров, <br>но вникание в дальнейшую суть ситуации говорит, что вам этого не потребуется.<br> <br><br>&gt;[оверквотинг удален]<br>&gt; 0 https://www.opennet.me/openforum/vsluhforumID10/5016.html#2 Fri, 30 Mar 2012 17:33:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt; и соединения не выйдет из-за отсутствия отклика.<br>&gt; хотите tun интерфейс, читайте про iroute в openvpn <br>&gt;&gt; Проблема 2: Чем лучше и как пробросить Порт на Клиенте. Служба rinetd <br>&gt;&gt; вроде бы должна перебросить, если прописать строчку 192.168.207.100 Порт 10.10.0.1 Порт/другой <br>&gt;&gt; порт. Либо спец. правила SNAT, DNAT + FORWARD в iptables. Только <br>&gt;&gt; узнать этого я не могу пока не разрешится Проблема 1.<br>&gt; tcpdump можно было бы и запустить, а там может что интересного увидели <br>&gt; бы. DNAT должен справится, а вот с UDP можно и на <br>&gt; не явные грабли наступить <br>&gt;&gt; Спасибо.<br><br>чота мне кажется что udp не полетит ))<br> https://www.opennet.me/openforum/vsluhforumID10/5016.html#1 Fri, 30 Mar 2012 16:09:59 GMT &gt;[оверквотинг удален]<br>&gt; Сonnect &lt;внешний адрес роутера сети Клиента&gt;:Порт --- (NAT роутера) ---&gt;&gt; 192.168.207.100:Порт <br>&gt; (p33p1 Клиента) --- (iptables/rinetd/другое) ---&gt;&gt; 10.10.0.1:Порт/другой порт (tun0 <br>&gt; Сервера). Протокол - UDP.<br>&gt; Итак, канал OpenVPN работает.<br>&gt; Пинг с Сервера на 10.10.0.6 (tun1 Клиента) проходит.<br>&gt; Пинг с Клиента на 10.10.0.1 (tun0 Сервера) проходит.<br>&gt; Пинг с Сервера на 192.168.207.100 (p33p1) проходит.<br>&gt; Проблема 1: Пинг с Сервера на 192.168.207.1 и внутренние компьютеры сети Клиента <br>&gt; 192.168.207.* не проходит. Думаю, если Сервер не знает адреса запроса, то <br>&gt; и соединения не выйдет из-за отсутствия отклика.<br><br>хотите tun интерфейс, читайте про iroute в openvpn<br><br>&gt; Проблема 2: Чем лучше и как пробросить Порт на Клиенте. Служба rinetd <br>&gt; вроде бы должна перебросить, если прописать строчку 192.168.207.100 Порт 10.10.0.1 Порт/другой <br>&gt; порт. Либо спец. правила SNAT, DNAT + FORWARD в iptables. Только <br>&gt; узнать этого я не могу пока не разрешится Проблема 1.<br><br>tcpdump можно