El 23/11/10 10:14, Marc Olive escribió: > On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote: >> El 22/11/10 10:05, Marc Olive escribió: >>> Buenas listeros, >>> >>> Si asigno esta ruta en el firewall-router, que todos tienen configurado >>> como puerta de enlace predeterminada, entonces desde el mismo >>> firewall-router puedo hacer pings a la red VPN, pero los otros >>> ordenadores de la red no. >>> >>> Si el firewall-router puede acceder a la red VPN, por que los demas >>> ordenadores que tienen ese firewall-router como puerta de enlace >>> (gateway) predeterminada no pueden? >>> >>> El firewall tambien hace snat para dar acceso a internet (sin problemas) >>> y redirige puertos hacia servicios que deben ser accesibles desde >>> internet (tambien sin problemas). Por si sirve de pista. >>> >>> Saludos y gracias, >> Hola, >> >> si no estas enmascarando el tráfico en el FW que va desde los clientes >> de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no >> directamente al cliente que envió la petición, IP descartará ese paquete >> porque no lo esperaba desde esa dirección, si no desde el FW. >> >> Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, >> >> iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE > Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard. > Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas > las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) > los > paquetes adecuadamente. > > NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder > acceder a servicios de internet, donde esa IP interna no es válida. Entonces > la IP interna se cambia por la IP asignada a internet al enviar los paquetes > (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta. > No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos. > > La configuració del firewall (que de momento protege poco), la puse en: > http://pastebin.ca/1994330 > Hay una línea comentada, $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT, que > ahora la tengo activa para permitir el reenvio/encaminamiento de paquetes > dentro de la red interna. > > Pero si teneis razón malpensando del FW, tambien creo que el problema está > ahí... > >> Un saludo. > Gracias, > Hola,
gracias por la explicación sobre el funcionamiento de SNAT. Pero este puede usarse con otros propósitos, por ejemplo, si el tráfico esta llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen de ese tráfico, tendras que enmascarar en el sistema que tiene openvpn o bien hacer lo mismo en la puerta de enlace por defecto de la red 10.10.0.0 para alcanzar la 10.9.0.0. Como te he dicho antes, usa tcpdump en el GW y en el terminador del tunel para ver hasta donde llega el tráfico, y como llega. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ceb887f.6010...@limbo.ari.es