[Berlin-wireless] vpn routing frage wenn nur noch public ips im spiel sind.
ulf kypke
u.kypke
Do Dez 11 12:30:05 CET 2014
fixed,
für die, die es interessiert,
man benutzt postrouting -t nat am outgoing interface und excludiert das esp
protokoll.
vorallem am exclude von esp scheiterten meine versuche
sudo iptables -t nat -A POSTROUTING -o eth0 --src 185.xxx.xxx.0/24 --dst
10.x.x.x/17 ! -p esp -j SNAT --to-source 185.xxx.xxx.1
Am 10. Dezember 2014 um 16:30 schrieb ulf kypke <u.kypke at gmail.com>:
> hallo,
> etwas off topic aber vielleicht kann mir ja einer weiterhelfen.
>
> ich habe ein netz, sagen wir mal ein /24 aus privaten ips. klassisches
> kleines firmen netz. diese haben ein gateway und dort auch ein vpn server
> drauf, der einen tunnel zu einer server farm aufbaut, irgendwo in einem
> data center.
> diese server haben auch innerhalb des vpn private ips. nach aussen je
> server eine echte ip für webdienste.
>
> jetzt ist es so, dass ich das /24 iger firmennetz in public ips umwandeln
> möchte, ich habe also nun innerhalb des vpns anfragen nicht mehr von
> privaten ips via nat sondern public ips.
> die rückroute der server kann nur innerhalb des vpn tunnels erfolgen, wenn
> ich denen mittels routing sage, dass die systeme im /24 iger netz durch
> den tunnel erreichbar sind.
> wenn ich das aber mache, dann erreiche ich diese server ja nur noch via
> dem tunnel.
> und hinzu kommt dass auf diesen servern webdienste llaufen, die ich auch
> mit deren public ips anspreche. eben aus dem firmennetz.
>
> mit dem alten setup und den privaten ip netz war das alles ziemlich
> einfach mittels nat zu lösen, jetzt mit den public ips funktioniert das so
> natürlich nicht mehr. das ziel war ja auch das nat zu entsorgen.
> wie geht das nun, das ich den servern und dem vpn gateway sage, sie sollen
> zum einen via vpn rückrouten via vpn machen und "normale" anfragen eben
> nicht durch den vpn tunneln sondern via internet.
> eine idee, die ich sofort hatte war, ich könnte doch nat benutzen und bei
> vpn anfragen die /24iger public ips hinter der vpn ip verstecken. dann
> wissen die server, wenn anfragen via der vpn ip kommen gehts durch den
> tunnel zurück, kommen die anfragen aus dem /24 iger netz dann aussenrum
> durch internet.
>
> aber wie soll so eine iptables rule aussehen?
> bzw. ist das überhaupt der richtige ansatz?
>
> gruss ulf
>
>
>
> --
> ----------------------------------
> Ulf Kypke-Burchardi
> Köpenicker Strasse 159
> 10997 Berlin, Germany
> +49 - (0) 177 - 3405152
> ----------------------------------
>
>
--
----------------------------------
Dipl.-Ing. Ulf Kypke-Burchardi
Köpenicker Strasse 159
10997 Berlin, Germany
+49 - (0) 177 - 3405152
----------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20141211/b6e5c765/attachment.html>
Mehr Informationen über die Mailingliste Berlin