per questioni di sicurezza ho necessita' di permettere ad un pc di navigare attraverso una VPN.
Il layout e' questo:
[ il [PC1] pinga correttamente il GW al di la' della VPN indirizzo 192.168.2.2.
Mi hanno suggerito di creare un secondo indirizzo sul [GW1] che funga da "canale" vs 192.168.2.2.
Quindi ho creato con
Codice: Seleziona tutto
ifconfig eth0:1 192.168.1.11
Poi ho aggiunto le seguenti regole per instradare il suo traffico
Codice: Seleziona tutto
iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
iptables -t nat -A POSTROUTING -s 192.168.2.2/32 -d 192.168.1.2/32 -j SNAT --to-source 192.168.1.11
Sapete aiutarmi?
** RISOLTO: SOLUZIONE PER CHI DOVESSE INTERESSARE **
- creato un tunnel tra GW1 e GW2
- eliminato eth0:1 su GW1
- ho modificato su GW1 la rete 192.168.1.0/32 in 192.168.3.0/32 per evitare overlap
- PC1 ora ha 192.168.3.2 gw 192.168.3.1
modificata la conf di GW1 in:
Codice: Seleziona tutto
/usr/sbin/ip tunnel add tun0 mode gre local 192.168.3.1 remote 192.168.2.1 ttl 255
/sbin/ifconfig tun0 mtu 1400
/sbin/ifconfig tun0 192.168.4.1 netmask 255.255.255.0 up
/usr/sbin/ip rule add from 192.168.3.2/255.255.255.255 table 4
/usr/sbin/ip route add default via 192.168.4.2 dev tun0 table 4
Codice: Seleziona tutto
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.3.2/32 -j SNAT --to 192.168.2.1 --persistent
/usr/sbin/iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300
/usr/sbin/ip tunnel add tun0 mode gre local 192.168.2.1 remote 192.168.3.1 ttl 255
/sbin/ifconfig tun0 mtu 1400
/sbin/ifconfig tun0 192.168.4.2 netmask 255.255.255.0 up
/usr/sbin/ip rule add from 192.168.3.2/255.255.255.255 table 4
/usr/sbin/ip route add default via 192.168.2.2 table 4
/usr/sbin/ip route add 192.168.3.2 via 192.168.4.1 dev tun0 table 4
/usr/sbin/ip route add 192.168.3.2 via 192.168.4.1
Grazie a chi mi ha dato una mano