Pontage entre les interfaces réseau sous Linux

0

Supposons que je dispose d’un ordinateur Linux exécutant un serveur d’accès OpenVPN avec les interfaces suivantes:

wwan0 - Accès à Internet, IP 212.179.50.50

tun0 - Interface OpenVPN, IP 172.225.25.1 (IP VPN du serveur)

eth0 - Interface Ethernet, connectée à un commutateur et obtient une adresse IP 10.0.0.10 (l'adresse IP du commutateur est 10.0.0.1)

Ce que j'essaie de faire:

  1. Permettre aux clients de se connecter au serveur OpenVPN en utilisant l'adresse IP publique du serveur (c'est fait).
  2. Autoriser les clients qui se connectent au serveur OpenVPN à exécuter une commande ping sur le commutateur (10.0.0.1) et sur tout autre périphérique connecté à ce commutateur.

Quel est le moyen facile de faire cela (en utilisant ifconfig / iptables / etc).

Merci!

Joel Morovich
la source
Pourriez-vous publier votre configuration actuelle d'iptables (depuis iptables-save)?
Grawity
Et peut-être pouvez-vous expliquer comment le ou les clients openvpn sont configurés; en particulier s’ils apprennent à acheminer ou non le trafic 10.0.0.0/24 vers le service openvpn.
Ralph Rönnquist le
Si vous avez différents réseaux, vous ne voulez vraiment pas établir de lien entre eux, vous devez les router si vous voulez pouvoir faire un ping entre les réseaux. Les ponts connectent le même réseau, les routeurs routent entre les réseaux.
Ron Maupin

Réponses:

1

Vous ne pouvez pas l' utiliser ifconfig/iptables...pour cela, car vous devez informer les clients que le nouveau sous-réseau (10.0.0.0/24) est disponible via OpenVPN: vous essayez donc de modifier la table de routage des clients et non celle du serveur.

Heureusement pour nous, cependant, OpenVPNle ferons pour vous. Il suffit d'ajouter la ligne suivante

push "route 10.0.0.0 255.255.255.0" 

dans votre fichier de configuration du serveur, et vous avez terminé. Cela a pour effet pushde donner aux clients un itinéraire pour le sous-réseau en question (10.0.0.0/24 ci-dessus) via le tunnel. Cela fonctionnera que vous ayez ou non redirigé tout le trafic des clients sur le VPN, peu importe. Pour que cela fonctionne, assurez-vous simplement que IPv4 est autorisé (mais je parie que c'est le cas, puisque vous déclarez que OpenVPN fonctionne déjà) et que vous n'avez aucune iptablesrègle FORWARD bloquant l'accès à 10.0.0.0/24 et / ou 172.225.25.0. / 24.

PS: pourquoi utilisez-vous des adresses publiques et routables pour votre OpenVPN? Vous devez utiliser un sous-réseau privé non routable, dessiné si vous le souhaitez dans la plage 172.16.0.0-172.31.255.255. L'adresse que vous utilisez, 172.225.25.1, est publique et routable, et a déjà été attribuée à nul autre qu'Akamai Technologies, voir ici .

MariusMatutiae
la source