klink0v (klink0v) wrote,
klink0v
klink0v

OpenVPN и client-to-client

В порядке напоминашки больше для самого себя.

Если хочется, чтобы подключенные к OpenVPN-серверу узлы могли обмениваться данными и друг с другом тоже, есть два способа.

  1. Включить client-to-client на сервере. В этом случае транзитные пакеты даже не попадут в ядро, их смаршрутизирует сам демон OpenVPN.
  2. Включить ip_forward в ядре. В таком случае транзитные пакеты пойдут обычными путями, в соответствии с системными таблицами маршрутизации и через цепочку FORWARD в iptables, как положено. Но в этом случае есть некоторые нюансы.

Нюансы:

  • Второй способ применим только для маршрутизируемого режима работы виртуального интерфейса ("tun").
  • Должен быть включен net.ipv4.ip_forward (что логично).
  • На каждого клиента потребуется спустить все необходимые маршруты, в том числе и до соседей, а не только до сервера.
  • Самое главное: отключить icmp redirects (echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects; echo 0 > /proc/sys/net/ipv4/conf/tun0/send_redirects ).

Подробнее можно почитать здесь.

Tags: it, linux, администрирование, сети
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments