1 votes

yabt avatar

Vpn, IP forwarding et nat

Demandé el 4 de Juin, 2015
Quand la question a-t-elle été
1456 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai configuré un VPN Softether sur un serveur Ubuntu 14.04 dans un réseau aws qui compte une douzaine de serveurs en utilisant ce guide. La seule différence est que j'ai utilisé SecureNat et softether DHCP.

Je peux me connecter à mon serveur en utilisant ssh myname@10.0.0.10.

J'ai ajouté net.ipv4.ip_forward = 1 à sysctl et

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

Mon objectif est de me permettre d'accéder aux hôtes distants du LAN avec ssh myname@hostname.mydomain.com ou http://hostname.domainname.com depuis mon ordinateur portable en utilisant le vpn. Je serais reconnaissant de tout conseil pour y parvenir.

Demandé el 4 de Juin, 2015 par yabt

Réponse

Trop de publicités?

1voto

sibaz avatar
sibaz Points 311

Je ne suis pas clair sur la mesure dans laquelle vous avez progressé vers votre objectif, donc je m'excuse de poser des questions évidentes, mais je vais commencer par la fin et travailler à rebours.
1) Pouvez-vous ssh myname@hostname.mydomain.com 2) pouvez-vous ssh myname@ 3) pouvez-vous nslookup hostname.mydomain.com et obtenir 4) pouvez-vous ping 5) si vous faites un traceroute, jusqu'où arrivez-vous ? 5.1) arrivez-vous jusqu'à l'autre côté du tunnel 5.2) avez-vous dépassé le côté local du tunnel

Je peux être en train d'apprendre à un vieux singe à faire des grimaces, mais la mise en place d'un VPN est un processus en trois étapes. 1) Mettez en place le tunnel, que ce soit en créant le tunnel des deux côtés lors d'un événement de trafic, ou de manière permanente 2) assurez-vous que tout le trafic entrant dans le tunnel en ressort avec une adresse identifiable par ce qui va le recevoir (dans votre cas, le serveur NAT, mais cela signifie que les serveurs distants ne peuvent pas initier de conversations avec votre machine) 3) assurez-vous que le trafic qui sort du côté distant du tunnel peut atteindre sa destination et revenir en arrière. Pour cette raison, je configure généralement d'abord les échos ICMP et les laisse actifs, afin que je puisse vérifier cette étape en premier en cas de problème.

N'oubliez pas que traceroute est votre allié, et vous aurez probablement besoin d'une configuration de routage correcte pour passer d'une machine à l'autre. Le NAT complique les choses, c'est pourquoi la dernière fois que j'ai configuré un VPN moi-même, j'ai veillé à ce que les réseaux privés des deux côtés du tunnel aient des adresses réseau différentes et puissent router entre eux (dans mon cas, j'avais 192.168.A.x et 192.168.B.x et 192.168.C.x rebondissant tous sur un seul serveur public, où chacun devait NAT depuis un emplacement Web différent pour accéder à Internet. Cela signifiait qu'il était beaucoup plus facile de dire à chaque serveur DHCP local d'ajouter des routes vers les autres réseaux via le point d'entrée local du tunnel).

J'espère que cela vous aide, désolé si je répète ce que vous saviez déjà.

Répondu el 9 de Juin, 2015 par sibaz (311 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X