route entre 2 redes
DesconectadoHola gente, tengo el siguiente problema.
bueno explico el gráfico, los equipos de la red (solo algunos) deben tener salida a internet por 10.1.60.60 esto ya esta configurado con debian como gateway, pero también al mismo tiempo esos equipos que tienen internet deben tener salida al vpn que no permite ninguna conexión a internet solo permite el uso del tunel vpn, el problema surge en lo siguiente dentro del servidor Debian gateway que también esta como dns server:
iface eth0 inet static
address 192.168.1.29
netmask 255.255.255.0
dns-nameservers algundnsserver
iface eth1 inet static
address 10.1.60.60
netmask 255.255.255.0
##aki el gateway lo dejo libre
auto eth1
así funciona bien tengo conexión a internet pero no al vpn pense lo mas obvio que era añadir el gateway al eth1 10.1.60.65 pero me cuerta el internet y tengo conexión solamente al vpn.
Es de suma importancia que todos los equipos tengan conexion al tunel vpn y solo algunos al tunel vpn y a internet al mismo tiempo, no quiero usar proxy por que para conexiones "extra" usamos ip internas y dns.
Saludos y gracias.
- Inicie sesión o regístrese para enviar comentarios
- 511 lecturas
Bueno creo que lo que primero seria saber como le estas haciendo con el iptables podrias mostrarnos segun tu grafico como estas haciendo para rutear haber si por ahi va tu problema.
Arrrrg, os aseguro que estar con vosotros se aprende más de redes que con mi trabajo, sobre todo por lo que toca investigar
Como os gusta complicaros, pero bueno, el caso es que no he entendido ni papa
En el IP Tables solo añado lo siguiente para que el trafico de la red interna pase por el 10.1.60.60 luego 192.168.1.29 para obtener internet, esto esta dentro de /etc/network/if-up.d/
#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
#
# delete all existing rules.
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT
# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Don't forward from the outside to the inside.
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward
Saludos
He tenido situaciones similares a ésta con dos puertas de enlace, te sugiero lo siguiente:
- todos los nodos de la red tienen como puerta de enlace 10.1.60.60
- en el "router" 10.1.60.60 pones una ruta, de tal modo que todo el tráfico que vaya a la red IP destino de la VPN lo rediriges por el 10.1.60.65
- como complemento, sacaría el "router" de la VPN de la red local y lo pondría en el outside (terminología Cisco), de tal manera que nadie pueda entrar en la red a través de dicho router
Con ese esquema no puedo aportar más, pero al menos resuelves el tema de la doble puerta de enlace.
Gracias por responder, pero el problema es que todos esos equipos también tienen que salir por el vpn al mismo tiempo que salen por el router 10.1.60.60.
Alguna idea mas?
Saludos.
Gracias por responder, pero el problema es que todos esos equipos también tienen que salir por el vpn al mismo tiempo que salen por el router 10.1.60.60.
Alguna idea mas?
Saludos.
Sí, que vuelvas a leer la respuesta, los equipos saldrán por ambas puertas de enlace.