У меня есть настройка, подобная той, что есть на github turnkeylinux https://github.com/turnkeylinux-apps/openvpn/blob/master/docs/site-to-site.rst

У меня есть VPC с общедоступной и частной подсетями и экземпляр NAT в общедоступной подсети. В общедоступной подсети у меня также есть сервер openvpn, предоставленный AMI turnkeylinux. Теперь у меня есть 2 vpn-клиента, которые подключаются удаленно к серверу openvpn в VPC, и у этих клиентов нет проблем с доступом к частной подсети.

Хотелось бы, чтобы хосты в частной подсети достигали клиентов vpn, а не локальной сети за клиентами.

VPC: 10.1.0.0/16
Public subnet: 10.1.0.0/24
  NAT: 10.1.0.2
  OVPN server: 10.1.0.3
Private subnet: 10.1.1.0/24
  A host on the private subnet is 10.1.1.4

Клиенты VPN получают IP-адреса в подсети 10.1.128.0/17 . Итак, у меня есть 2 клиента с IP- адресами : 10.1.128.6 и 10.1.128.10

Теперь все клиенты могут успешно достичь 10.1.1.4 , но 10.1.1.4 не может достичь 10.1.128.6 или 10.1.128.10

Возможно ли, чтобы узлы в частной подсети достигли реальных клиентов VPN?

1 ответ1

1

Да, это возможно.

Мне пришлось добавить маршрут в таблицу маршрутов частной подсети, которая будет перенаправлять трафик на 10.1.128.0/17 с помощью экземпляра openvpn (10.1.0.3).

После этого мне пришлось добавить маскарадинг из eth0 в tun0 (на сервере ovpn). Настройка tun0 на eth0 уже установлена. Это команда:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .