Discussion:
consulta de VPN
MAbeeTT
2013-10-09 04:03:58 UTC
Permalink
Supongamos que tengo

* Una red LAN 192.168.100.0/24 (A) que tiene su DHCP, gateway que
integra con otras redes de 192.68.0.0/16. (B)
* Una computadora a la que se le puede instalar linux con varias NICs
que pueden asociarse a una ip pública y alguna de A

Y que quiero poder participar en la LAN citada desde un equipo de
Internet de manera transparente.

No tengo ni quiero intervenir el DHCP de A.

Estuve indagando documentación de OpenVPN, hacer bridge ethernet
(capa2) podría ser una manera de que a los clientes en internet se les
asigne IP de la A con el dhcp server de A, pero con ello llegaría la
directiva del default GW y todo el tráfico de los clientes se iría por
el GW de A, cuando solo debería ser el tráfico de B.

Si uso server-bridge se podría entregar una IP que ya haya asignado el
DHCP de A.

Entonces hasta acá llegué, se me ocurre por ahí mezclar NAT, que en A
se vean los clientesde vpn como una única IP, pero no sé qué nombre
propio tiene eso.

Alguna idea?
--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
Alejandro Vargas
2013-10-09 10:31:50 UTC
Permalink
Post by MAbeeTT
Y que quiero poder participar en la LAN citada desde un equipo de
Internet de manera transparente.
No tengo ni quiero intervenir el DHCP de A.
Estuve indagando documentación de OpenVPN, hacer bridge ethernet
(capa2) podría ser una manera de que a los clientes en internet se les
asigne IP de la A con el dhcp server de A, pero con ello llegaría la
directiva del default GW y todo el tráfico de los clientes se iría por
el GW de A, cuando solo debería ser el tráfico de B.
Si uso server-bridge se podría entregar una IP que ya haya asignado el
DHCP de A.
Me parece que el cliente de DHCP tiene una opción para decirle que no
acepte el default gateway que le digan del otro lado.

Otra idea: el DHCP de A debe tener un rango de IPs que entrega. Si podés
averiguar qué rango es, podés hacer que el openvpn asigne IPS en otro rango
diferente.

Se me ocurren cosas más raras como crear varias eth virtuales sobre la LAN
y para cada una pedir por DHCP una ip diferente, y después hacer que el
openvpn haga NAT para cada cliente en una eth diferente. Pero eso
requeriría una configuración específica para cada cliente del openvpn.

Otra cosa que se me ocurre es usar un proxy de DHCP. No los he usado nunca
pero tal vez alguno pueda parchar el gateway.
--
Qapla'
Alejandro Vargas
fedux
2013-10-09 11:13:58 UTC
Permalink
Post by MAbeeTT
Supongamos que tengo
* Una red LAN 192.168.100.0/24 (A) que tiene su DHCP, gateway que
integra con otras redes de 192.68.0.0/16. (B)
* Una computadora a la que se le puede instalar linux con varias NICs
que pueden asociarse a una ip pública y alguna de A
Y que quiero poder participar en la LAN citada desde un equipo de
Internet de manera transparente.
No tengo ni quiero intervenir el DHCP de A.
Estuve indagando documentación de OpenVPN, hacer bridge ethernet
(capa2) podría ser una manera de que a los clientes en internet se les
asigne IP de la A con el dhcp server de A, pero con ello llegaría la
directiva del default GW y todo el tráfico de los clientes se iría por
el GW de A, cuando solo debería ser el tráfico de B.
Si uso server-bridge se podría entregar una IP que ya haya asignado el
DHCP de A.
Entonces hasta acá llegué, se me ocurre por ahí mezclar NAT, que en A
se vean los clientesde vpn como una única IP, pero no sé qué nombre
propio tiene eso.
Alguna idea?
Podes poner un openvpn en un host en A, hacer NAT de todo lo que venga
de la interfaz virtual en ese host (la interfaz de openvpn) y en la
configuracion de openvpn haces un "push-route" de todas las redes que
queres acceder desde los peers del openvpn y listo.
Alejandro Vargas
2013-10-10 06:54:30 UTC
Permalink
Post by fedux
Podes poner un openvpn en un host en A, hacer NAT de todo lo que venga
de la interfaz virtual en ese host (la interfaz de openvpn) y en la
configuracion de openvpn haces un "push-route" de todas las redes que
queres acceder desde los peers del openvpn y listo.
No se si el NAT será suficiente para lo que busca, porque cuando dice que
quiere que sea transparente, me imagino que eso incluirá que pasen los
broadcasts de windows buscando su "entorno de red" y permitir que haya
accesos desde la red interna hacia la remota.
--
Qapla'
Alejandro Vargas
MAbeeTT
2013-10-10 13:44:01 UTC
Permalink
Post by Alejandro Vargas
Post by fedux
Podes poner un openvpn en un host en A, hacer NAT de todo lo que venga
de la interfaz virtual en ese host (la interfaz de openvpn) y en la
configuracion de openvpn haces un "push-route" de todas las redes que
queres acceder desde los peers del openvpn y listo.
No se si el NAT será suficiente para lo que busca, porque cuando dice que
quiere que sea transparente, me imagino que eso incluirá que pasen los
broadcasts de windows buscando su "entorno de red" y permitir que haya
accesos desde la red interna hacia la remota.
Para los conocimientos que tengo me deberé conformar con NAT. Porque
si hago bridge ethernet van a pasar las respuestas de server DHCP, con
la directiva de default GW.

Se me ocurre
* Reescribir la directiva en los clientes: muy sucio.
* Meter una especie de proxy-DHCP que elimine la directiva e installe
los push de rutas de esa LAN.

No tengo ni las palabras clave para alguna de las dos. :(
--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
Loading...