VPN a iptables

Lukinek

VPN a iptables
« kdy: 06. 10. 2013, 22:49:53 »
Zdravim vsechny a chtel bych Vas pozadat o pomoc.Situace:
v hostujicim ubuntu 13.04 (nazyvejme A) mam vytvorenou virtualni masinu s ubuntu 12.04 (B) spojeni je pres sitovy most na wlan0 v A a eth1 v B. Pres router ktery ma verejnou IP jsem pripojeny k internetu na obou masinach takze na routeru vidim A jako 192.168.1.5 a B jako 192.168.1.4. Pro testovaci ucely mam vytvorenou VPN sit mezi temito pocitaci a to pomoci openvpn kdy virtualni B je jako server 10.0.0.1 pres tun0 a A jako klient 10.0.0.2 tun0. Otazka je co musim vsechno a kde nastavit (iptables nebo ssh tunel atd.) tak aby provoz z masiny A sel nejprve do B a az potom pres router do internetu. Nebo naruby aby provoz z B sel nejprve pres A a potom do internetu.Zatim to mam jenom jako testovani v budoucnu chci vytvorit VPN sit mezi moji virtualni masinou B a dalsim pocitacem napr.C ktery nema verejnou IP adresu (proto ta VPN nebo mozna by slo i neco jineho reverzni ssh to uz ale nevim) a pote chci presmerovavat provoz z virtualniho B pres C do internetu. Diky moc


astray

Re:VPN a iptables
« Odpověď #1 kdy: 07. 10. 2013, 00:24:52 »
Potrebujes nastavit default gateway jednoho stroje pres OpenVPN, tj. napr. na stroji B prikazy:
ip r d default
ip r a default via 10.0.0.2 dev tun0

Src adresa provozu vznikajícího na B bude 10.0.0.1 a ten pak můžeš SNATovat na stroji A nebo az na routeru.

Obecně si musíš dat pozor, aby zabalené pakety VPN (encapsulated),  byly smerovane pres vnější interface, zde eth1, a ne pres vnitřní interface (zde tun0). U Tvého příkladu je to splněné přirozeně, protože mas A i B ve stejném bridgi.

Lukinek

Re:VPN a iptables
« Odpověď #2 kdy: 07. 10. 2013, 20:49:33 »
Dik za radu.
Nastavil jsem tu gateway a na B prikaz ip r show vypada nasledovne :
default via 10.0.0.2 dev tun0
10.0.0.2 dev tun0 proto kernel scope link src 10.0.0.1
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.4 metric 202

Priznam se, ze se SNAtovanim nemam vubec zkusenosti a nevim jak ma vypadat presne prikaz a na keterem stroji ho mam vubec zadat. Vypada to nejak takhle?
iptables -t nat -A POSTROUTING -o wlan0 -j SNAT --to 192.168.1.1 ? jaky interface a jaka ip adresa se tam ma zadat?

j

Re:VPN a iptables
« Odpověď #3 kdy: 08. 10. 2013, 18:20:44 »
1) namaluj si to, zjevne se v tom ztracis
2) SNAT = source nat = prekladas zdrojovou adresu na nejakou jinou. Prevazne samo verejnou. Ve tvym pripade zalezi na tom, jestli router zna/nezna cestu k 10/8. Pokud zna, tak nic resit nemusis, net ti bude fungovat normalne, jen musis na jednom ze stroju nastavit prislusne routy. Pokud nezna, musis na jednom ze stroju nastavit sekundarni nat na 192.168/.

Zhruba:
A (192.168.1.5) (10.0.0.2)
B (routovat budem pres A => nezajimavy) (10.0.0.1)

=> bud musis na A nastavit SNAT na 192.168.1.5 (tim defakto pro router zamaskujes 10.0.0.1 za tuhle IP)
nebo musis na routeru pridat routu ip ro add 10.0.0.0/8 via 192.168.1.5 (predpoklad, ze na A mas default na router). Tim routeru reknes, kam posilat pakety pro stroj B pres ten tunel.

Lukinek

Re:VPN a iptables
« Odpověď #4 kdy: 08. 10. 2013, 21:24:16 »
Diky moc uz je to jasny a ani to moc nechtelo :-) a co je jeste lepsi dokonce to funguje :D