OpenVPN Routeurs trafic distant en fonction du sous-réseau

J'ai réussi à configurer OpenVPN Pour parcourir tout le trafic via un serveur distant openvpn.

Serveur OpenVPN Il a deux interfaces: eth0 -> accès Internet eth1 -> Réseau privé: 192.168.1.0/24

Maintenant tout le trafic est associé à Eth0.

server.conf

# SERVER UDP/9494
mode server
proto udp
port 9494
dev tun
tcp-queue-limit 128
tun-mtu 1500
mssfix 1300
tun-mtu-extra 32
txqueuelen 15000
# KEYS
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth ta.key 0
cipher AES-256-CBC
# NETWORK
server 192.168.2.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 4.4.4.4"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
# SECURITY
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# LOGS
verb 3
mute 20
status openvpn-status.log
; log-append /var/log/openvpn.log

Iptables:

iptables -A INPUT -p udp --dport 9494 -d $SERVER_IP --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Je veux faire la même chose, sauf pour la gamme 192.168.1.0/24, qui devrait être attaché à Eth1

Comment puis-je faire cela avec iptables?

Merci pour le conseil
Invité:

Giselle

Confirmation de:

Je pense que vous devriez ajouter des règles pour le réseau privé dans POSTROUTING et FORWARD, Mais vous devriez les définir.

de face

Autres règles POSTROUTING.

De plus, si je vois correctement que la première règle POSTROUTING Sans spécification du réseau source répond à tous vos forfaits, la ligne suivante ne correspondra jamais - Retirez-le.

Donc, je pense que vos règles iptables Devrait ressembler à ceci:

iptables -A INPUT -p udp --dport 9494 -d $SERVER_IP --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Peut-être devriez-vous entrer dans un magazine pour voir si vous avez besoin de reconfiguration ou manquez quelque chose.

Après les règles ci-dessus, ajoutez:

iptables -A FORWARD -j LOG --log-prefix 'iptables-forward: '
iptables -t nat -A POSTROUTING -j LOG --log-prefix 'iptables-postrouting: '

Giselle

Confirmation de:

Si vous voulez juste ajouter des itinéraires à vos clients OpenVPN Pourrait communiquer avec le reste du réseau, procédez comme suit:

Cliquez sur "route 192.168.1.0 255.255.255.0"

Cliquez sur "route 192.168.2.0 255.255.255.0"

Pour répondre aux questions, connectez-vous ou registre