Forum » Omrežja in internet » Povezava dveh VPN omrežij?
Povezava dveh VPN omrežij?
poweroff ::
Imam dva OpenVPN strežnika (oba Debian 9). Na strežnik VPN1 je priklopljenih recimo 5 odjemalcev. IP naslovi so v rangu 10.10.9.0/24.
Ta strežnik služi kot prehod v internet, odjemalci pa se vidijo med seboj.
No, ta strežnik pa je povezan na VPN2, vendar tako, da samo vidi VPN2 omrežje, VPN2 pa ne služi kot prehod na internet zanj. IP naslovi tukaj so v rangu 10.10.5.0/24.
Torej:
Po tem setupu client1 ne vidi VPN2 (ga ne more pingat).
No, kar bi rad naredil sedaj pa je, da se ves VPN izhodni promet iz VPN1 spelje na VPN2, ki potem ta promet posreduje v internet.
Torej:
- odjemalci na VPN1 omrežju se še vedno vidijo med seboj; odjemalec1 lahko neposredno (oz. preko serverja VPN1) pinga odjemalca2,
- VPN1 je normalno viden iz interneta in promet, ki ga generira VPN1 strežnik, gre v internet preko njegovega obstoječega omrežnega vmesnika (recimo apt update)
- če odjemalec1 hoče obiskati spletno stran (npr. Slo-Tech), pa ta promet VPN1 posreduje VPN2, ki ga potem posreduje v internet
Povedano drugače. Odjemalci, ki bodo povezani na VPN1, kot svoj izhodni IP ne bodo videli zunanjega IP naslova od VPN1, pač pa zunanji IP naslov od VPN2.
Približno se mi sanja, da se to da narediti z iptables, bi pa rabil pomoč kako. Opcijsko me zanima tudi kako bi naredil, da bi lahko odjemalec VPN1 omrežja pingal (oz. videl) odjemalca VPN2 omrežja...
Ta strežnik služi kot prehod v internet, odjemalci pa se vidijo med seboj.
No, ta strežnik pa je povezan na VPN2, vendar tako, da samo vidi VPN2 omrežje, VPN2 pa ne služi kot prehod na internet zanj. IP naslovi tukaj so v rangu 10.10.5.0/24.
Torej:
client1 ---> VPN1 VPN1 ---> VPN2
Po tem setupu client1 ne vidi VPN2 (ga ne more pingat).
No, kar bi rad naredil sedaj pa je, da se ves VPN izhodni promet iz VPN1 spelje na VPN2, ki potem ta promet posreduje v internet.
Torej:
- odjemalci na VPN1 omrežju se še vedno vidijo med seboj; odjemalec1 lahko neposredno (oz. preko serverja VPN1) pinga odjemalca2,
- VPN1 je normalno viden iz interneta in promet, ki ga generira VPN1 strežnik, gre v internet preko njegovega obstoječega omrežnega vmesnika (recimo apt update)
- če odjemalec1 hoče obiskati spletno stran (npr. Slo-Tech), pa ta promet VPN1 posreduje VPN2, ki ga potem posreduje v internet
Povedano drugače. Odjemalci, ki bodo povezani na VPN1, kot svoj izhodni IP ne bodo videli zunanjega IP naslova od VPN1, pač pa zunanji IP naslov od VPN2.
Približno se mi sanja, da se to da narediti z iptables, bi pa rabil pomoč kako. Opcijsko me zanima tudi kako bi naredil, da bi lahko odjemalec VPN1 omrežja pingal (oz. videl) odjemalca VPN2 omrežja...
sudo poweroff
SeMiNeSanja ::
Ali pošiljaš ves promet čez VPN, ali imaš split tunnel varianto? V slednjem primeru boš moral na obe strani dodati tunnel routo do nasprotnega VPN omrežja, da bo sploh karkoli hotelo delovati.
Kako pa ostalo izvedeš na IPtables, lahko samo namignem (googlat pa znaš tudi sam). Na moji škatli se temu reče 'Policy based routing' v Linux svetu včasih tudi 'Source based routing'.
Poglej si primer na tem linku, mogoče ti utrne kakšno idejo.
Kako pa ostalo izvedeš na IPtables, lahko samo namignem (googlat pa znaš tudi sam). Na moji škatli se temu reče 'Policy based routing' v Linux svetu včasih tudi 'Source based routing'.
Poglej si primer na tem linku, mogoče ti utrne kakšno idejo.
XS!D3 ::
Za začetek rabiš na VPN2 strežniku ruto (lahko statično) za 10.10.9.0/24 (odjemalce na VPN1), da bo lahko promet (iz interneta ali od odjemlcev na drugi strani) prišel na VPN1. Na VPN2 mora biti poleg tega NAT MASQUERADE nastavljen tudi za promet, ki pride iz VPN interfacea (tunela med VPN1 in VPN2) in prefixa 10.10.9.0/24 (če uporabljaš match samo na out interface, bi moralo delat, ampak je za preverit).
Na VPN1 pa moraš s pomočjo policy based routinga zagotovit ločen privzet prehod za lokalen promet in promet, ki pride od VPN odjemalcev. To se da uredit z iptables (glej link od @SeMINeSanja), lahko pa tudi z usmerjevalnimi tabelami ali kombinacijo obojega (z iptables označiš določen promet, ki ga želiš obdelat v ločeni usmerjevalni tabeli). Nečeloma rabiš ločeno usmerjevalno tabelo za VPN odjemalce (dodaš tabelo in rule za traffic iz 10.10.9.0/24), ki ima za privzet prehod strežnik VPN2 preko tunela. Nekaj konkretnih primerov najdeš na teh slajdih.
Vprašanje je edino, kako imaš rešeno komunikacijo med klienti na VPN1. Če uporabljaš opcijo client-to-client, gre promet med klienti na VPN1 (če se prav spomnim) samo do OpenVPN strežnika in nazaj (mimo linuxovega omrežnega sklada) in bi moralo to zadostovati. V kolikor ta promet namerno voziš čez Linux kernel (npr. zaradi filtriranje v iptables), bo treba v ločeni usmerjevalni tabeli poskrbeti tudi za to, ali pa tja poslat samo promet, ki ni namenjen odjemalcem na VPN1 (npr. z ozačevanjem v iptables).
Moraš pa poskrbeti tudi, da v iptables dovoliš željen na obeh koncih, ampak ta del ti vrjetno ne dela težav.
Na VPN1 pa moraš s pomočjo policy based routinga zagotovit ločen privzet prehod za lokalen promet in promet, ki pride od VPN odjemalcev. To se da uredit z iptables (glej link od @SeMINeSanja), lahko pa tudi z usmerjevalnimi tabelami ali kombinacijo obojega (z iptables označiš določen promet, ki ga želiš obdelat v ločeni usmerjevalni tabeli). Nečeloma rabiš ločeno usmerjevalno tabelo za VPN odjemalce (dodaš tabelo in rule za traffic iz 10.10.9.0/24), ki ima za privzet prehod strežnik VPN2 preko tunela. Nekaj konkretnih primerov najdeš na teh slajdih.
Vprašanje je edino, kako imaš rešeno komunikacijo med klienti na VPN1. Če uporabljaš opcijo client-to-client, gre promet med klienti na VPN1 (če se prav spomnim) samo do OpenVPN strežnika in nazaj (mimo linuxovega omrežnega sklada) in bi moralo to zadostovati. V kolikor ta promet namerno voziš čez Linux kernel (npr. zaradi filtriranje v iptables), bo treba v ločeni usmerjevalni tabeli poskrbeti tudi za to, ali pa tja poslat samo promet, ki ni namenjen odjemalcem na VPN1 (npr. z ozačevanjem v iptables).
Moraš pa poskrbeti tudi, da v iptables dovoliš željen na obeh koncih, ampak ta del ti vrjetno ne dela težav.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Vpn, nas, vmware, routerOddelek: Pomoč in nasveti | 1067 (794) | Poldi112 |
» | OmrezjaOddelek: Omrežja in internet | 2625 (1927) | SeMiNeSanja |
» | Openvpn (strani: 1 2 )Oddelek: Programska oprema | 14626 (6193) | Blisk |
» | USAIPOddelek: Omrežja in internet | 2971 (2387) | Pesimist |
» | Dodajanje nove statične route?Oddelek: Omrežja in internet | 2113 (1958) | BlueRunner |