[linux] IP tunel cez masquerading

Oskar Stolc Oskar.Stolc na intrak.sk
Pondělí Červenec 21 12:58:07 CEST 2003 

On Mon, Jul 21, 2003 at 11:45:29AM +0200, Rybarik, Michal wrote:
> hello all,
> 
> hladam riesenie, ako spojit tunelom stroj ktory je na verejnom internete 
> so strojom, ktory je za maskaradou (pricom na ten maskaradovaci stroj 
> nemam pristup). spojenie by malo byt "bezudrzbove", to znamena ked spadne 
> jedna zo stran alebo nieco na trase, po obnoveni spojenia sa tunel opat 
> rozchodi sam, bez zasahu (na stroj za nat-kom neexistuje zvonku ziadny 
> pristup, port forward, alebo nieco take, spojenie musi byt iniciovane 
> zvnutra. jediny pristup bude ten tunel a masina je na druhom konci republiky 
> takze spolahlivost by sa _fakt_ zisla).
> 
> behal som v podobnej situacii pokusne ppp over ssh, ale to sa imho po 
> spadnuti spojenia nezotavi, a okrem toho, rad by som pouzil nejake na to 
> navrhnute riesenie. ako prvy som pozeral ip-sec (frees/wan) ale pri nom 
> sa v dokumentacii pise, ze cez NAT to chodit nebude, kedze NAT prepisuje 
> adresy paketov a tym porusi ich integritu.
> 
> za vsetky napady vopred dakujem

Ak vies splnit nasledovne poziadavky, mozno sa ti to podari:
- na oboch pocitach mas ako modul vykompilovany 'tun device'
- tvoj maskaradovaci firewall je tolerantny k UDP paketom, ktore
  odchadzaju z lokalnej siete do inetu, t.j. nezahadzuje ich

inac, tato vec aj mna dlhsiu dobu zaujimala, tak som vyskusal balik
'openvpn' (openvpn.sourceforge.net). Na prenos pouziva UDP pakety. Moja
konfiguracia je takato:


   +--------+                +---------+      +--------+
   | remote |----------------| fw/masq |------| hidden |
   +--------+                +---------+      +--------+
              IP1         IP2               IP3


tunel je vytvoreny medzi pocitacom hidden (ktory je na lokalnej sieti a
je maskovany firewallom, cize z vonka neviditelny) a pocitacom remote,
ktory ma verejnu adresu IP1. Druha verejna adresa je na vonkajsom
interfejse firewallu IP2.

openvpn je nainstalovany na pocitacoch 'remote' a 'hidden'.

konfiguracia na 'remote':

----------------------------------------------------
remote IP2
dev tun
ifconfig 10.4.0.1 10.4.0.2
secret /etc/openvpn/remote-hidden.key
port 5000
user nobody
comp-lzo
verb 4
daemon
----------------------------------------------------

konfiguracia na 'hidden':

----------------------------------------------------
remote IP1
dev tun
ifconfig 10.4.0.2 10.4.0.1
secret /etc/openvpn/remote-hidden.key
port 5000
user nobody
comp-lzo
verb 4
daemon
----------------------------------------------------

ako vygenerovat subor *.key (rovnaky na oboch stranach tunelu) sa
docitas v dokumentacii...

spojenie sa nadviaze, ak z vnutorneho pocitaca 'hidden' zacnem pingat
'remote' masinu. potom sa (zrejme vdaka timeoutu v masq pre UDP pakety)
drzi spojenie... ale ten neustaly ping z pocitaca 'hidden' je asi
podmienkou...  Odpoved z 'remote' masiny sa dostane na 'hidden' zrejme
vdaka ESTABLISHED,RELATED pravidlu na firewalle.

oskar

> 
> s pozdravom
> michal rybarik
> _______________________________________________
> http://lists.linux.sk/listinfo/linux
> Prehladavanie archivu: http://search.lists.linux.sk
> Meta FAQ: http://faq.lists.linux.sk

Další informace o konferenci linux