[linux] IP tunel cez masquerading
Oskar Stolc
Oskar.Stolc na intrak.sk
Pondělí Červenec 21 12:58:07 CEST 2003
On Mon, Jul 21, 2003 at 11:45:29AM +0200, Rybarik, Michal wrote:
> hello all,
>
> hladam riesenie, ako spojit tunelom stroj ktory je na verejnom internete
> so strojom, ktory je za maskaradou (pricom na ten maskaradovaci stroj
> nemam pristup). spojenie by malo byt "bezudrzbove", to znamena ked spadne
> jedna zo stran alebo nieco na trase, po obnoveni spojenia sa tunel opat
> rozchodi sam, bez zasahu (na stroj za nat-kom neexistuje zvonku ziadny
> pristup, port forward, alebo nieco take, spojenie musi byt iniciovane
> zvnutra. jediny pristup bude ten tunel a masina je na druhom konci republiky
> takze spolahlivost by sa _fakt_ zisla).
>
> behal som v podobnej situacii pokusne ppp over ssh, ale to sa imho po
> spadnuti spojenia nezotavi, a okrem toho, rad by som pouzil nejake na to
> navrhnute riesenie. ako prvy som pozeral ip-sec (frees/wan) ale pri nom
> sa v dokumentacii pise, ze cez NAT to chodit nebude, kedze NAT prepisuje
> adresy paketov a tym porusi ich integritu.
>
> za vsetky napady vopred dakujem
Ak vies splnit nasledovne poziadavky, mozno sa ti to podari:
- na oboch pocitach mas ako modul vykompilovany 'tun device'
- tvoj maskaradovaci firewall je tolerantny k UDP paketom, ktore
odchadzaju z lokalnej siete do inetu, t.j. nezahadzuje ich
inac, tato vec aj mna dlhsiu dobu zaujimala, tak som vyskusal balik
'openvpn' (openvpn.sourceforge.net). Na prenos pouziva UDP pakety. Moja
konfiguracia je takato:
+--------+ +---------+ +--------+
| remote |----------------| fw/masq |------| hidden |
+--------+ +---------+ +--------+
IP1 IP2 IP3
tunel je vytvoreny medzi pocitacom hidden (ktory je na lokalnej sieti a
je maskovany firewallom, cize z vonka neviditelny) a pocitacom remote,
ktory ma verejnu adresu IP1. Druha verejna adresa je na vonkajsom
interfejse firewallu IP2.
openvpn je nainstalovany na pocitacoch 'remote' a 'hidden'.
konfiguracia na 'remote':
----------------------------------------------------
remote IP2
dev tun
ifconfig 10.4.0.1 10.4.0.2
secret /etc/openvpn/remote-hidden.key
port 5000
user nobody
comp-lzo
verb 4
daemon
----------------------------------------------------
konfiguracia na 'hidden':
----------------------------------------------------
remote IP1
dev tun
ifconfig 10.4.0.2 10.4.0.1
secret /etc/openvpn/remote-hidden.key
port 5000
user nobody
comp-lzo
verb 4
daemon
----------------------------------------------------
ako vygenerovat subor *.key (rovnaky na oboch stranach tunelu) sa
docitas v dokumentacii...
spojenie sa nadviaze, ak z vnutorneho pocitaca 'hidden' zacnem pingat
'remote' masinu. potom sa (zrejme vdaka timeoutu v masq pre UDP pakety)
drzi spojenie... ale ten neustaly ping z pocitaca 'hidden' je asi
podmienkou... Odpoved z 'remote' masiny sa dostane na 'hidden' zrejme
vdaka ESTABLISHED,RELATED pravidlu na firewalle.
oskar
>
> s pozdravom
> michal rybarik
> _______________________________________________
> http://lists.linux.sk/listinfo/linux
> Prehladavanie archivu: http://search.lists.linux.sk
> Meta FAQ: http://faq.lists.linux.sk
Další informace o konferenci linux