¿Cómo puede una VPN PPTD enrutar el tráfico a otros servidores en la red?

0

Tengo varios servidores que exponen varios servicios públicos a la web. Estos están detrás de un servidor que actúa como un firewall que utiliza IPTables y reenvía el tráfico hacia y desde los servidores. Todos los servidores tienen una IP pública, por ejemplo en el rango 1.2.3.x.

He configurado una VPN usando PPTD para el servidor de firewall. Esto se conecta con un rango de IP local en el rango 192.168.0.x. Puedo conectar y SSH a la máquina local. Sin embargo, cuando uso la IP pública de uno de los otros servidores, esto se enruta a través de Internet y no de la VPN.

¿Cómo puedo hacer que el servidor VPN acepte y enrute el tráfico en nombre de los otros servidores cuando esté conectado?

vpn  routing  iptables 
tooba
fuente
3
¿Por qué su IP pública? Debería usar su IP privada si está accediendo a través de una VPN.
Paul

Respuestas:

1

Probablemente te refieres a VPN 'PPTP'.

Este tipo de VPN funciona creando un adaptador de red virtual en el lado del cliente. Cualquier adaptador de red, virtual o no, puede / tendrá entradas en la tabla de enrutamiento y esto controla a dónde va el tráfico.

Todo el tráfico saliente se compara con la tabla de enrutamiento. Las entradas de la tabla de enrutamiento con máscaras de subred más altas o más específicas se eligen para enviar tráfico antes que las que tienen máscaras de subred más bajas o menos específicas. La máscara de subred de 192.168.0.X es 255.255.255.0 o / 24. La puerta de enlace predeterminada, que recopila todo el tráfico no recogido por ninguna otra cosa, tiene una "máscara de subred" de 0.0.0.0 o / 0.

En virtud de asignar una dirección IP y una máscara de subred a un adaptador, automáticamente obtiene una ruta gratuita. Digamos que su enrutador doméstico le da a uno de sus adaptadores una dirección IP de 10.1.1.40 y una máscara de subred de 255.255.0.0 (que equivale a / 16). Esto significa inherentemente que cualquier tráfico que salga de ese adaptador puede llegar a cualquier lugar en 10.1.XX Por lo tanto, se genera una entrada de la tabla de ruta a tal efecto. El tráfico saliente se compara con la tabla de enrutamiento y si va a otro lugar en 10.1.XX, NO pasará por su puerta de enlace predeterminada que es un / 0.

Con suerte, ahora puede ver que si envía tráfico a una IP que no está dentro de la subred de su adaptador VPN, pasará por la puerta de enlace predeterminada y, por lo tanto, a través de Internet.

Realmente, la única forma de lograr lo que está tratando de hacer es:

  • Configure la VPN en el lado del servidor para indicar a los clientes que usen el adaptador VPN como la puerta de enlace predeterminada. Esto hará que todo el tráfico del cliente atraviese su VPN.
  • Configure la VPN en el lado del servidor para decirles a los clientes que usen un servidor dentro de la VPN para DNS
  • Configure algunas reglas de firewall de IPTables que atraparán el tráfico saliente en las IP públicas de sus servidores y los redirigirá a las IP apropiadas accesibles para VPN. Si los clientes usan su VPN como la puerta de enlace predeterminada, es posible que realmente no necesite hacer esto, pero garantizaría que no haya fugas de tráfico fuera de su VPN si los clientes solo intentan llegar a direcciones internas.
  • También puede ejecutar un servidor DNS separado, o un dominio DNS separado, al que solo se puede acceder dentro de la VPN y que resuelve los nombres de los clientes en la VPN, a direcciones VPN internas en lugar de direcciones IP públicas.

Otra nota al margen: IDEA MUY MALA para usar 192.168.0.X o 192.168.1.X para una VPN de la compañía, porque esto podría entrar en conflicto con la configuración de rangos de IP comunes para enrutadores domésticos. Debería cambiarlo por algo que se use con poca frecuencia en el hogar, como 192.168.88.X.

LawrenceC
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.