Есть ovpn-туннель с маршрутом сеть 172.32.0.0/24 gateway 172.32.0.10. В сети есть сервер 172.32.0.10. Сеть натится. За туннелем появился сервер 172.16.1.123. За текущим натом не виден.
При добавлении маршрута через шлюз ovpn-туннеля для сервера 172.16.1.123 через gateway 172.32.0.10 с самого маршрутизатора пинг идет. Нужно занатить сервер для локальной сети.
Придумал такое решение.
В Mangle, маркируем маршрут, правило переносим в начало:
Chain - prerouting, src - 192.168.1.0/24 (локальная сеть), dst - 172.16.1.123, action - mark_routing, New routing mark - ovpn-to172.16.1.123, passtrough - none.
В NAT натим маркированный маршрут:
Chain - srcnat, src - 192.168.1.0/24 (локальная сеть), dst - 172.16.1.123, Routing mark - ovpn-to172.16.1.123, action - masquerade.
Заработало.
Показаны сообщения с ярлыком NAT. Показать все сообщения
Показаны сообщения с ярлыком NAT. Показать все сообщения
понедельник, 20 ноября 2017 г.
понедельник, 13 июля 2015 г.
Windows XP включение NAT
Используем для создания софтового роутера. Есть VPN, поднятый на компьютере с XP с помощью клиента CiscoVPN, который нужно раздать по сети. На компьютерах в сети прописываем постоянный маршрут сети VPN и шлюз - софтроутер. Далее, настройки для этого роутера:
- проверяем что запущен сервис "Маршрутизация и удалённый доступ" ("Routing and Remote Access"), и его режим запуска - "Авто".
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Tcpip\Parameters "IPEnableRouter=1"
- netsh routing ip nat install
- netsh routing ip nat show global если сообщение "NAT должен быть установлен первым" , то перезагрузка
- netsh routing ip nat add interface "VPN" full где "VPN" - название сетевого соединения, которое нужно раздать. Его можно посмотреть и скопировать в сетевых подключениях. Данную команду можно выполнить для более чем одного интерфейса, организовав маршрутизацию для нескольких сетей.
- netsh routing ip nat add interface "LAN" private где "LAN" - название сетевого соединения для локальной сети, которая натится.
взято отсюда
пятница, 27 марта 2015 г.
Windows 7 NAT
Как известно в Windows 7 NAT тремя командами как в XP не поднимается. А возникла ситуация, что надо.
В моем случае есть VPN-туннель с сервером Центрального офиса (ЦО), поднятым на Cisco, клиенты - Windows машины с программой VPN-клиента Cisco. VPN нужен для запуска программы из сети ЦО для ограниченного числа пользователей. Оборудования, чтобы соединить туннель офис-офис нет (у меня D-Link). На локальных машинах все ок, а с тонкими клиентами проблема. На терминальный сервер не поставишь такого клиента.
Выход - создаем программный роутер на базе компьютера Windows 7. Адрес ему задаем статический. На терминальном сервере прописываем постоянный статический маршрут к сети VPN:
route -p -4 add <сеть VPN> mask <маска VPN> <ip soft-routera>
На роутере устанавливаем VPN-клиента. В результате создается дополнительный сетевой интерфейс для VPN. Устанавливаем программу NAT32 скачанную с этого сайта. По рекомендации с сайта скачиваем и устанавливаем драйвер WinPkFilter. Запускаем VPN-клиента. Конфигурируем NAT (в окошке отмечаем какой интерфейс Интернет, какой Приват). После запуска над треем появляется окно, в котором мониторится сеть.
Минус - при дисконнекте VPN-клиента, перезапускать программы нужно вручную. Поэтому на роутере запущен пинг на VPN-сервер для постоянной сетевой активности.
В моем случае есть VPN-туннель с сервером Центрального офиса (ЦО), поднятым на Cisco, клиенты - Windows машины с программой VPN-клиента Cisco. VPN нужен для запуска программы из сети ЦО для ограниченного числа пользователей. Оборудования, чтобы соединить туннель офис-офис нет (у меня D-Link). На локальных машинах все ок, а с тонкими клиентами проблема. На терминальный сервер не поставишь такого клиента.
Выход - создаем программный роутер на базе компьютера Windows 7. Адрес ему задаем статический. На терминальном сервере прописываем постоянный статический маршрут к сети VPN:
route -p -4 add <сеть VPN> mask <маска VPN> <ip soft-routera>
На роутере устанавливаем VPN-клиента. В результате создается дополнительный сетевой интерфейс для VPN. Устанавливаем программу NAT32 скачанную с этого сайта. По рекомендации с сайта скачиваем и устанавливаем драйвер WinPkFilter. Запускаем VPN-клиента. Конфигурируем NAT (в окошке отмечаем какой интерфейс Интернет, какой Приват). После запуска над треем появляется окно, в котором мониторится сеть.
Минус - при дисконнекте VPN-клиента, перезапускать программы нужно вручную. Поэтому на роутере запущен пинг на VPN-сервер для постоянной сетевой активности.
понедельник, 7 апреля 2014 г.
Подключение видеонаблюдения в сети 3G через OpenVPN сервер на VDS с белым адресом.
Задача: нужен доступ к видеорегистратору за серым адресом сети 3G.
3G находится за натом, поэтому напрямую подключиться не можем (либо платим ежемесячно за выделение нам белого адреса, что не хочется). Нужен белый адрес. Есть сервер Windows 2008 R2 на VDS с белым адресом. Его будем использовать как сервер OpenVPN. В качестве клиента OpenVPN будет роутер с возможностью подключения 3G модема, с возможностью установки альтернативной прошивки, например DD-WRT. Был использован TP-Link. Также на самом Windows сервере просматривать видео не желательно (тормозит из-за видеокарты), поэтому будет еще один OpenVPN клиент, на котором будет просматриваться видео.
3G находится за натом, поэтому напрямую подключиться не можем (либо платим ежемесячно за выделение нам белого адреса, что не хочется). Нужен белый адрес. Есть сервер Windows 2008 R2 на VDS с белым адресом. Его будем использовать как сервер OpenVPN. В качестве клиента OpenVPN будет роутер с возможностью подключения 3G модема, с возможностью установки альтернативной прошивки, например DD-WRT. Был использован TP-Link. Также на самом Windows сервере просматривать видео не желательно (тормозит из-за видеокарты), поэтому будет еще один OpenVPN клиент, на котором будет просматриваться видео.
суббота, 5 апреля 2014 г.
Linux NAT MASQUERADE
Задача: нужно получить доступ с сервера OpenVPN под ОС Windows к сети клиента OpenVPN под ОС Ubuntu. Сеть между клиентом и сервером OpenVPN 10.8.0.0/24. Серверу назначен статический адрес 10.8.0.1 в конфигурации OpenVPN. Клиентом является роутер, ему назначен статический адрес 10.8.0.2 в конфигурации OpenVPN. Для того чтобы видеть локальную сеть 192.168.0.0/24 за ним - нужно включить NAT на роутере:
eth0 - интерфейс с адресом 192.168.0.10, -o eth0 выходной интерфейс, -s 10.8.0.0/24 IP-сеть источника пакета (то есть подмена IP-адреса источника пакета на IP-адрес роутера будет только для пакетов из сети 10.8.0.0/24). Если смотреть через Wireshark на пакеты в интерфейсе eth0, то до включения NAT заходят пакеты с источником из сети 10.8.0.0 получателем из сети 192.168.0.0, но ответы не приходят, так как получатели ничего не знают о сети 10.8.0.0. При включении NAT источник заменяется на IP-адрес роутера. Просмотреть таблицу NAT можно командой:
sudo iptables -L -t nat
На сервере 10.8.0.1 должен быть прописан маршрут к этой сети через клиентский роутер 10.8.0.2:
route add 192.168.0.0 mask 255.255.255.0 10.8.0.2
Командой в ОС Windows pathping можно посмотреть через какие хопы проходит пинг.
Подписаться на:
Комментарии (Atom)