PTT職涯區 / MIS (IT資訊人員)

Re: [討論] OPENVPN NAT問題

看板MIS (IT資訊人員)作者 (麥克賴)時間9年前 (2015/10/19 04:37), 編輯推噓2(208)
留言10則, 3人參與, 最新討論串2/2 (看更多)
我想你應該發了另外一個subnet給VPN Client, 所以你還是得要做NAT的... A) 在OpenVPN Server上面做, 往外-Internet以及往內-Intranet 的server會覺得這些東西都是 VPN Server來要的 (不建議) B) 在你的NAT Server 上設定一筆Static Route, 讓他知道往Client-Subnet 要去找VPN Server, 另對Client-subnet 也做 NAT (這樣比較好) 由於我是在 BSD 下實做的, Linux 的命令我不熟就沒法打給你看, 不過你可以看看這個架構圖... Internet--------(WAN 1.2.3.4) NAT_Device |(LAN 192.168.0.0/24) | | LAN Switch | |---DNS(192.168.0.1) | |---File Server(192.168.0.2) | |---OpenVPN Server (192.168.0.3) | |--VPN Clinet Subnet (192.168.8.0/24) So, NAT_Device 上面要有一筆記錄是: Add route 192.168.8.0 Mask 24 192.168.0.3 (凡是要去192.168.8.0/24的請去找192.168.0.3) NAT_Device 上面除了原本的 nat on 1.2.3.4 from 192.168.0.0/24 to any -> 1.2.3.4 還要多一條 nat on 1.2.3.4 from 192.168.8.0/24 to any -> 1.2.3.4 OpenVPN Server 上面的 GW 則要開, 封包才會轉... P.S.Firewall/NAT BOX 如果有SPI, 這樣會不通喔, 不過有SPI的機器通常 也不需要這樣搞了吧.... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 107.170.243.78 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1445200674.A.326.html
10/19 08:34, , 1F
我也覺得Server因為要給client IP 所以NAT是必要的
10/19 08:34, 1F
10/19 09:41, , 2F
不用在兩個裝置上都做NAT,在原本的NAT裝置上加靜態路由
10/19 09:41, 2F
10/19 09:41, , 3F
然後在NAT設備上加192.168.8.0/24to any 的NAT
10/19 09:41, 3F
10/19 09:56, , 4F
至於會在VPNserver上多做一個NAT,大多是因為上層的設備
10/19 09:56, 4F
10/19 09:56, , 5F
沒有辦法動到設定的關係。
10/19 09:56, 5F
10/19 10:10, , 6F
nat on 1.2.3.4 from 192.168.8.0/24 不用加這條
10/19 10:10, 6F
10/19 23:35, , 7F
對...上層設備沒辦法動設定是個問題,所以從Server上改
10/19 23:35, 7F
10/19 23:37, , 8F
而且在某種條件下,ping 不通,但Firewall上看的到ping
10/19 23:37, 8F
10/19 23:40, , 9F
我自己的推測是因為UFW路由錯了繞不進來。
10/19 23:40, 9F
10/19 23:42, , 10F
這種情況可看到帶clint IP 的 Ping 但Client顯示無回應
10/19 23:42, 10F
更多 michaellai 的文章
文章代碼(AID): #1M90CYCc (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 michaellai 的文章
文章代碼(AID): #1M90CYCc (MIS)