[Berlin-wireless] vpn routing frage wenn nur noch public ips im spiel sind.

ulf kypke u.kypke
Mi Dez 10 16:30:21 CET 2014 

hallo,
etwas off topic aber vielleicht kann mir ja einer weiterhelfen.

ich habe ein netz, sagen wir mal ein /24 aus privaten ips. klassisches
kleines firmen netz. diese haben ein gateway und dort auch ein vpn server
drauf, der einen tunnel zu einer server farm aufbaut, irgendwo in einem
data center.
diese server haben auch innerhalb des vpn private ips. nach aussen je
server eine echte ip für webdienste.

jetzt ist es so, dass ich das /24 iger firmennetz in public ips umwandeln
möchte, ich habe also nun innerhalb des vpns anfragen nicht mehr von
privaten ips via nat sondern public ips.
die rückroute der server kann nur innerhalb des vpn tunnels erfolgen, wenn
ich denen  mittels routing sage, dass die systeme im /24 iger netz durch
den tunnel erreichbar sind.
wenn ich das aber mache, dann erreiche ich diese server ja nur noch via dem
tunnel.
und hinzu kommt dass auf diesen servern webdienste llaufen, die ich auch
mit deren public ips anspreche. eben aus dem firmennetz.

mit dem alten setup und den privaten ip netz war das alles ziemlich einfach
mittels nat zu lösen, jetzt mit den public ips funktioniert das so
natürlich nicht mehr. das ziel war ja auch das nat zu entsorgen.
wie geht das nun, das ich den servern und dem vpn gateway sage, sie sollen
zum einen via vpn rückrouten via vpn machen und "normale" anfragen eben
nicht durch den vpn tunneln sondern via internet.
eine idee, die ich sofort hatte war, ich könnte doch nat benutzen und bei
vpn anfragen die /24iger public ips hinter der vpn ip verstecken. dann
wissen die server, wenn anfragen via der vpn ip kommen gehts durch den
tunnel zurück, kommen die anfragen aus dem /24 iger netz dann aussenrum
durch internet.

aber wie soll so eine iptables rule aussehen?
bzw. ist das überhaupt der richtige ansatz?

gruss ulf



-- 
----------------------------------
Ulf Kypke-Burchardi
Köpenicker Strasse 159
10997 Berlin, Germany
+49 - (0) 177 - 3405152
----------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20141210/5cc96faa/attachment.html>

Mehr Informationen über die Mailingliste Berlin