forwarding traffic into vpn without nat

Alles rund um Netzwerktechnik und Protokolle
spoi
Posts: 32
Joined: 2005-03-27 23:50

forwarding traffic into vpn without nat

Post by spoi »

Hi,

ich hoffe hier die richtige Kategorie erwischt zu haben.

Ich habe einen Server mit einem IP Netz, dass providerseitig auf eth0 geroutet wird.
Nun sollen verschiedene VPN Clients IPs aus diesem Netz nutzen können. Das Problem an der Sache ist, diese Clients sollen die echte externe IP haben, es kommt also kein NAT infrage, sondern ich möchte ein reines forwarding.

bis dato habe ich folgendes probiert:

iptables -A FORWARD -d 178.63.164.44 -o tap1

kann mir jemand sagen, was hieran falsch ist?

Gruß
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: forwarding traffic into vpn without nat

Post by EdRoxter »

-o ist eine Bedingung/Abfrage, kein Ziel. Da fehlt mindestens ein -j.

Außerdem wirst du wohl Probleme bekommen, wenn im selben "physikalischen" Netz (damit meine ich das VPN) andere Maschinen die selbe /32 haben wie deine eth0.

Gib den Clients in deinem "LAN" (also den VPN-Endpunkten) Adressen aus den lokalen Adressräumen (z.B. 192.168.x.x) und mach ein

Code: Select all

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 178.63.164.44 -j DNAT --to-destination 192.168.x.y
iptables -t nat -A POSTROUTING -p tcp -s 192.168.x.y -j SNAT --to-source 178.63.164.44
Wichtig ist natürlich, dass eth0 auf der 178.x.y.z-IP lauscht und dass das Routing ins lokale Netz richtig gesetzt ist (also im einfachsten Fall, dass tap1 einfach in deinem verwendeten 192.168.x.y-Subnetz liegt, die Routen sollte networking dann automatisch konfigurieren).

Damit schreibt iptables die Ziel-IP einkommender Pakete auf deiner öffentlichen IP auf die interne um und ausgehende Pakete von der korrespondierenden internen auf die öffentliche. Je nach POLICY muss natürlich dann auch noch FORWARD explitit ACCEPTed werden.

Hab ich was vergessen?
jan10001
Anbieter
Posts: 732
Joined: 2004-01-02 12:17

Re: forwarding traffic into vpn without nat

Post by jan10001 »

Ich glaube er meint etwas anderes. Er hat einen IP Adressbereich bekommen und möchte den VPN Clients aus diesen Pool IP's zuweisen, so verstehe ich das.
Last edited by jan10001 on 2010-08-13 18:52, edited 1 time in total.
papabaer
Userprojekt
Userprojekt
Posts: 169
Joined: 2009-05-14 17:40
Location: Halle (Saale)

Re: forwarding traffic into vpn without nat

Post by papabaer »

In dem Fall geht das nicht über NAT, sondern einfach über Routing der einzelnen Adressen.

Entweder, du kannst in deinem Adress-Block einen eigenen Subnetz-Bereich abtrennen, den du dann an die VPN-Clients und ans tap0 verteilst. Wenn du z.B. ein /28ger-Block hast könntest du einen /29-Block definieren für die Clients. Aus diesem Block nimmst du eine IP für tap0, die anderen gehen an die Clients. Dabei verlierst du allerdings 3 IPs (1*Netzadresse für den definierten Block, 1*Broadcast und eine IP für tap0)

Die andere Möglichkeit wäre, einfach IPs aus dem bestehenden Block an die VPN-Clients zu verteilen und am VPN-Server entsprechende Hostrouten über tap0 zu definieren. In dem Fall geht nur eine IP für das tap-device drauf.
EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: forwarding traffic into vpn without nat

Post by EdRoxter »

Auch eine Möglichkeit, die dem vielleicht näher kommt. Ich war davon ausgegangen, dass es einfach nur wichtig ist, dass die Adressen aus dem WAN erreichbar sind und der Traffic transparent bei den entsprechenden Clients ankommt. Da wäre die iptables-Lösung mit NAT natürlich schön quick&dirty, wenn es nicht aus irgendwelchen Gründen wichtig ist, dass diese selbst auf ihrer /32 lauschen.