作者michaellai (麦克赖)
看板MIS
标题Re: [讨论] OPENVPN NAT问题
时间Mon Oct 19 04:37:52 2015
我想你应该发了另外一个subnet给VPN Client, 所以你还是得要做NAT的...
A) 在OpenVPN Server上面做, 往外-Internet以及往内-Intranet
的server会觉得这些东西都是 VPN Server来要的 (不建议)
B) 在你的NAT Server 上设定一笔Static Route, 让他知道往Client-Subnet
要去找VPN Server, 另对Client-subnet 也做 NAT (这样比较好)
由於我是在 BSD 下实做的, Linux 的命令我不熟就没法打给你看,
不过你可以看看这个架构图...
Internet--------(WAN 1.2.3.4)
NAT_Device
|(LAN 192.168.0.0/24)
|
|
LAN Switch
|
|---DNS(192.168.0.1)
|
|---File Server(192.168.0.2)
|
|---OpenVPN Server (192.168.0.3)
|
|--VPN Clinet Subnet (192.168.8.0/24)
So,
NAT_Device 上面要有一笔记录是:
Add route 192.168.8.0 Mask 24 192.168.0.3
(凡是要去192.168.8.0/24的请去找192.168.0.3)
NAT_Device 上面除了原本的
nat on 1.2.3.4 from 192.168.0.0/24 to any -> 1.2.3.4
还要多一条
nat on 1.2.3.4 from 192.168.8.0/24 to any -> 1.2.3.4
OpenVPN Server 上面的 GW 则要开, 封包才会转...
P.S.Firewall/NAT BOX 如果有SPI, 这样会不通喔, 不过有SPI的机器通常
也不需要这样搞了吧....
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 107.170.243.78
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1445200674.A.326.html
1F:推 atuanmini: 我也觉得Server因为要给client IP 所以NAT是必要的 10/19 08:34
2F:→ deadwood: 不用在两个装置上都做NAT,在原本的NAT装置上加静态路由 10/19 09:41
3F:→ deadwood: 然後在NAT设备上加192.168.8.0/24to any 的NAT 10/19 09:41
4F:→ deadwood: 至於会在VPNserver上多做一个NAT,大多是因为上层的设备 10/19 09:56
5F:→ deadwood: 没有办法动到设定的关系。 10/19 09:56
6F:推 xxoo1122: nat on 1.2.3.4 from 192.168.8.0/24 不用加这条 10/19 10:10
7F:→ atuanmini: 对...上层设备没办法动设定是个问题,所以从Server上改 10/19 23:35
8F:→ atuanmini: 而且在某种条件下,ping 不通,但Firewall上看的到ping 10/19 23:37
9F:→ atuanmini: 我自己的推测是因为UFW路由错了绕不进来。 10/19 23:40
10F:→ atuanmini: 这种情况可看到带clint IP 的 Ping 但Client显示无回应 10/19 23:42