vpn proxy/D/SNAT - tema de gandire

**aduntoredas** · 16-07-2010 11:25

Pentru domnii care se intreaba ce mai viseaza lumea in materie de retelistica si linux, iata o problema de rezolvat. Apreciez orice sfaturi legate de subiect.

Se da un server cu ceva IP-uri routabile in internet. Se doreste conectarea la acest server printr-un tunel vpn (se va folosi in acest scop openvpn sau ceva compatibil). Clientul care se conecteaza la server prin VPN doreste mascarea sa in internet prin una din ip-urile routabile ale serverului. De exemplu:

Client IP (fixed public IP address): a.b.c.d
Server IP addresses (public): x.y.z.t, x.y.z.u, x.y.z.v, x.y.z.w
Clientul se conecteaza la adresa x.y.z.t, si iese in internet prin aceeasi adresa x.y.z.t (serverul VPN mascheaza conexiunea clientului / masq). Daca acelasi client doreste sa se conecteze la server prin x.y.z.u, accesul nu i se va permite (i se permite doar accesul la ip-ul alocat lui). Se poate pune si un squid cu access list-uri pentru acest scop. Ideea de baza e ca pentru stabilirea unui tunel clientul probabil va avea un ip din clasa 10.8.0.0/16 iar serverul 10.8.0.1. So, aveti vreo idee geniala?

Multumesc in avans.

**uranianul** · 04-08-2010 07:27

poti sa dai mai multe detalii ca sincer eu nu am inteles exact ce doresti sa faci?
Vrei ca un client sa aiba mereu acelasi ip rutabil cand iese in internet prin acel vpn?
Sau el e in spatele unui ruter care ii da adrese cu 10.0.x.x care sunt exact aceleasi care ii sunt date de vpn si asta il impiedica sa aiba acel acces la internet?

**aduntoredas** · 10-08-2010 14:42

Vreau ca un client sa aiba mereu acelasi ip routabil cand iese in internet prin acel VPN

Si mai vreau ca doi clienti sa nu poata interfera unul cu celalalt modificand setari prin fisierele client .ovpn

**sunfire** · 21-08-2010 13:10

Salutare.

A trecut mult timp de cind nu am mai postat la sectiunea asta a forumului

.
Inainte de a prezenta solutia pe care o vad eu vreau sa repet mai intii problema (sa vad daca am inteles bine): deci clientul (cu ip public) vrei sa-l conectezi la server (care are mai multe ipuri publice) prin VPN avind ca scop iesirea clientului in internet cu acelasi IP tot timpul. De asemenea mai vrei ca mai multi clienti sa nu poata sa iese in internet folosind celelalte ipuri publice ale internetului. Scenariul asta mi se pare plauzibil decit daca clientul are ip dinamic (ex. erdeesh fiberlink) si totusi tu vrei sa-l scoti in internet cu acelasi ip tot timpul (motivul nu conteaza).
Daca asta e problema atunci solutia mi se pare (destul de) simpla si (totodata) eleganta: pe serverul cu ipuri publice instalezi si un socks proxy (avind in vedere ca tu ai mai multe ipuri publice pe server care vrei sa fie folosite de clienti pentru e iesi pe net pui cite un socks pe fiecare ip public). Pe fiecare socks pui un singur utilizator cu parola lui (si in felul asta rezolvi si problema izolarii clientilor - clientii nu stiu decit parola individuala, deci nu pot folosi celelalte socksuri - si implicit celelalte ipuri publice de pe server - pentru autentificare si implicit pentru iesire pe net). Pe windowsul clientului instalezi Aventail connect (sau orice alt soft care socksifeaza traficul de retea - eu Aventail connect folosesc si pot sa spun ca e brici). Aventailul clientului il configurezi sa socksifeze traficul de net (si aici devine evident de ce solutia asta este eleganta: daca vrei, poti sa configurezi Aventailul sa socksifeze traficul numai catre _anumite_ clase de ipuri, nu tot traficul - deci clientul iese pe net folosind ipul public de pe server _numai_ catre clasele alea de ipuri, restul traficului nu trece prin server).
Dupa cum vezi solutia mea nu are nevoie de o conexiune VPN, deci si mai putina bataie de cap.
Sper ca am expus solutia suficient de clar si nu te-am inebunit de cap

Probabil deja ai rezolvat problema intre timp si-atunci nu mai trebuie sa-ti bati capul cu solutia propusa de mine

All za best

**aduntoredas** · 23-08-2010 11:45

Nu e vorba de bataie de cap. N-are treaba rds-ul cu asta, solutia s-a implementat deja pe undeva prin australia, clientii avand ip-uri fixe routabile de la provideri (ca doar nu peste tot s-o face ca la erdeiesh, da neamule ip-uri d-an pixulea ca nu dai de la ma-ta)

Ce zici tu, socks proxy + squid cu si fara autentificare, cu permisiuni pe ip-uri le rezolvasem mai demult in toate variantele posibile. Treaba mai era de rezolvat pentru openvpn. Merci frumos oricum pentru feed-back.
Stima,