Назад | Перейти на главную страницу

Использование OpenVPN на двух машинах Linux * не на шлюзах * для соединения сетей через Интернет

Я запускаю OpenVPN, связывая две машины Linux в двух сетях. Эти машины не являются шлюзами сети. Также существуют отдельные маршрутизаторы DD-WRT, которые действуют как шлюзы в обеих сетях.

Я хотел бы использовать эту настройку, чтобы обе сети были полностью видимы и доступны друг другу через Интернет. Какие типы маршрутов мне нужно будет настроить на каждом устройстве / маршрутизаторе, чтобы это стало возможным? Нужно ли мне использовать какие-либо правила iptables (не думаю, что буду).

Кроме того, всего пара моментов-

Связь между двумя полями работает нормально. Они могут пинговать друг друга и передавать трафик.
Я не хочу, чтобы через VPN проходил какой-либо нормальный интернет-трафик - только трафик, предназначенный для перехода на конкретный сайт.
Сети имеют отдельные диапазоны IP и обе сетевая маска 255.255.255.0.

Я застрял, и я попытался добавить всевозможные статические маршруты как на свои Linux-серверы, так и на маршрутизаторы, и мне кажется, что я не могу получить ничего, что можно пинговать за пределами ссылки VPN. Любая помощь будет принята с благодарностью!

ОБНОВИТЬ

Я добавил маршруты на свои VPN-боксы и маршрутизаторы DD-WRT, но я не могу пинговать что-либо за пределами машин. Я могу пинговать 172.16.130.2 с VPN-клиента, и наоборот, я могу пинговать 172.16.120.2 с VPN-сервера, но все равно ничего больше.

Я также включил переадресацию IP в ядрах обоих VPN-серверов.

Добавление текущих маршрутов:

VPN-сервер: неопубликованный статический IP-адрес eth0 / 172.16.130.2 eth1 / 10.9.8.1 tun0

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.9.8.2        *               255.255.255.255 UH    0      0        0 tun0
24.249.108.192  *               255.255.255.224 U     0      0        0 eth0
172.16.130.0    172.16.130.1    255.255.255.0   UG    0      0        0 eth1
172.16.130.0    *               255.255.255.0   U     0      0        0 eth1
172.16.120.0    10.9.8.2        255.255.255.0   UG    0      0        0 tun0
default         wsip-24-249-108 0.0.0.0         UG    0      0        0 eth0

VPN-клиент: 172.16.120.2 eth0 / 10.9.8.2 tun0

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.9.8.1        *               255.255.255.255 UH    0      0        0 tun0
172.16.130.0    10.9.8.1        255.255.255.0   UG    0      0        0 tun0
172.16.120.0    *               255.255.255.0   U     0      0        0 eth0
default         munch-router    0.0.0.0         UG    0      0        0 eth0

Вам нужно будет добавить маршруты в блоки DD-WRT для противоположного сегмента VPN, указывающие на «шлюзы» Linux VPN. Вам также понадобятся маршруты на этих VPN-шлюзах к другому сайту через интерфейс tap / tun к другому сайту.

DD_WRT_SITE_A# route add SITEB/24 gw SITEA_VPN_GATEWAY_IP
VPN_GATEWAY_SITE_A# route add SITEB/24 gw tap_ip_of_SITE_B_VPN_GATEWAY

DD_WRT_SITE_B# route add SITEA/24 gw SITEB_VPN_GATEWAY_IP
VPN_GATEWAY_SITE_B# route add SITEA/24 gw tap_ip_of_SITE_A_VPN_GATEWAY

Если вы еще не сделали этого, вам также потребуется включить маршрутизацию на новых шлюзах Linux VPN:

http://www.ducea.com/2006/08/01/how-to-enable-ip-forwarding-in-linux/

# sysctl -w net.ipv4.ip_forward=1