klink0v (klink0v) wrote,
klink0v
klink0v

Category:

OpenVPN и client-to-client

В порядке напоминашки больше для самого себя.

Если хочется, чтобы подключенные к OpenVPN-серверу узлы могли обмениваться данными и друг с другом тоже, есть два способа.

  1. Включить client-to-client на сервере. В этом случае транзитные пакеты даже не попадут в ядро, их смаршрутизирует сам демон OpenVPN.
  2. Включить ip_forward в ядре. В таком случае транзитные пакеты пойдут обычными путями, в соответствии с системными таблицами маршрутизации и через цепочку FORWARD в iptables, как положено. Но в этом случае есть некоторые нюансы.

Нюансы:

  • Второй способ применим только для маршрутизируемого режима работы виртуального интерфейса ("tun").
  • Должен быть включен net.ipv4.ip_forward (что логично).
  • На каждого клиента потребуется спустить все необходимые маршруты, в том числе и до соседей, а не только до сервера.
  • Самое главное: отключить icmp redirects (echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects; echo 0 > /proc/sys/net/ipv4/conf/tun0/send_redirects ).

Подробнее можно почитать здесь.

Tags: it, linux, администрирование, сети
Subscribe

  • Смена IMEI в Mikrotik SXT

    ... Прикупил тут на дачу богомерзкий Mikrotik SXT LTE. Да, я ненавижу микротики, но для дерёвни пойдёт. Всё равно ничего лучше в данной ценовой…

  • Не клеится у меня видеонаблюдение дома...

    Недолго я радовался смонтированной дома у родителей системе видеонаблюдения. Меньше года она исправно проработала. А потом начались какие-то…

  • Juniper SRX <--> Cisco ASA : IPSEC, PRF

    Предыстория вопроса. Приходят очередные контрагенты, говорят "давай строить IPSec-тоннель". Традиционно предлагают DH Group 2 и SHA-1.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments