Я был бы признателен за получение короткого списка из нескольких хороших веб-сайтов, которые указывают мне, как создать следующий сценарий. (Вы можете предположить, что к настоящему времени я в целом хорошо знаком с OpenVPN.)
Я хочу настроить один всегда включен (Macintosh, OS / X El Capitan, с помощью TunnelBlick) компьютер во внутренней сети, чтобы действовать как безопасный маршрутизатор к удаленной сети из любой машина внутри внутренней сети.
Вот мои мысли ... и вопросы ... пока:
Сначала необходимо настроить Mac (конечно ...) так что Это может, как клиент, связаться с удаленной системой и подключиться к ней. (Предположим, что это уже было сделано.)
Встроенный брандмауэр Mac необходимо отключить или изменить, чтобы (в таком случае) На него будет направлен HTTP- и HTTPS-трафик.
Физический маршрутизатор для внутренней сети должен иметь статические правила маршрутизации, которые направляют трафик на / от удаленных IP-адресов, чтобы сначала направить его на этот Macintosh в качестве «шлюза».
(Теперь мои мысли расплывчаты ...) Клиент OpenVPN, работающий на этом компьютере, должен каким-то образом правильно обрабатывать эти «множественные соединения», поскольку они приходят к нему с различных внутренних IP-адресов. Является это, собственно, частный случай?
Вот, в ваше назидание, отредактированный отрывок из настоящего клиентского config.ovpn файл: (Вы можете предположить, что это работает, потому что это так.)
client
dev tun0
proto udp
remote 111.222.333.444 1194
pull
resolv-retry infinite
nobind
ca ca.crt
cert thisMacintosh.crt
key thisMacintosh.key
ns-cert-type server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3
У меня вопрос конкретно об использовании этой машины как роутер который будет действовать как шлюз для «любой другой машины в своей локальной сети».
Дальнейшие подробности:
101.102.103.104. (Извинения по адресу, который на самом деле ...)192.168.1.20, должен действовать как маршрутизатор "остальной части внутренней сети": 192.168.1.x. Его никогда не нужно будет беспокоить ни о какой другой внутренней подсети.10.2.3.x. .conf аналогично предыдущему, и это теперь успешно общается с Интернет-хостом. К вашему сведению: "TunnelBlick"программное обеспечение, о котором я говорю, просто" действительно хорошее Macintosh-дружественное обертка " для OpenVPN. (Подобные варианты существуют также для Windows и т. Д.). Он заботится, например, о том, чтобы OpenVPN запускался каждый раз при перезагрузке этой машины, а также о других неприятных деталях. Но это просто хозяева в остальном обычный процесс OpenVPN, который обрабатывает фактическое общение. Поэтому я считаю, что мои вопросы «по сути общие для любой ОС» и что «мой ответ должен быть ужасно простым».
Вам не нужно отвечать "с точки зрения iptables, "ни с точки зрения фактических эквивалентных команд, которые использует Macintosh. (Если только вы не хотите «говорить со мной на Mac».) Если ты просто поможешь мне грок какие нужно сделать, я могу понять, какие шаги нужно предпринять, чтобы убедить Macintosh и локальный маршрутизатор сделать это.
Страницы, которые я недавно изучал и продолжаю изучать (особенно второй)
(Судя по второй странице, у меня теперь смутное ощущение, что то, что мне нужно сделать, "как-то связано с iroute ... но я также могу полностью ошибаться в этом ». (Есть ли у этой клиентской машины« за ней остальная часть внутренней сети, к которой он принадлежит? »« Или, «это не имеет отношения к делу» ( т.е. неверно), так как все остальные машины, которые будут разговаривать через эту машину, «здесь правы?») Ох, так запутались. Вот почему я сейчас прошу вас, добрые люди!)
(Когда вы публикуете ответ, пожалуйста, также опубликуйте комментарий потому что я могу видеть наличие комментариев но я пока не обнаружил, как получить список "мои недавние вопросы ...")
Я вижу, что этот мой очень старый вопрос так и не получил «ответа». Итак, сейчас я дам краткое изложение.
Маршрутизаторам с обеих сторон необходимо знать, route трафик, связанный с другой сетью, и диапазон IP-адресов, используемых самим OpenVPN для компьютера, на котором запущено программное обеспечение OpenVPN. Повсюду правила брандмауэра не должны блокировать это.
Конфигурация OpenVPN также должна содержать iroute директивы, чтобы сообщить о существующих диапазонах адресов позади каждый пульт. Это необходимо, даже если такой пульт только один.
Очень хорошее описание: https://backreference.org/2009/11/15/openvpn-and-iroute/
Какое-то время это работало очень хорошо, пока клиент не осознал, что его очень дорогая сетевая инфраструктура изначально поддерживает VPN в стиле ipSEC, как и VMWare на стороне облака. Таким образом, они перешли на эту технологию в качестве основного канала для подключения домашнего офиса к облачным системам, и это оказалось для них хорошим предложением «установить и забыть». Они продолжают использовать OpenVPN для поддержки «дорожных воинов» с цифровыми сертификатами и tls-auth.