[Sysadmins] OpenVPN в OVZ-контейнере + маршрутизация

Alex Moskalenko =?iso-8859-1?q?mav_=CE=C1_elserv=2Emsk=2Esu?=
Пт Июн 29 10:37:07 MSD 2007


В сообщении от Friday 29 June 2007 10:18:46 Nikolay A. Fetisov написал(а):
> OpenVPN раздаёт клиентам маршрут в сеть 192.168.123.0/24 через сервер
> OpenVPN?
Да, маршрут клиентам отдается и устанавливается.

> На машинах в сети 192.168.123.0/24 маршрут на 192.168.234.0/24 через
> 192.168.222.50 отдельно прописан?
Для них этот сервер - default gw, так что можно считать, что прописан.

> Iptables на HN ничего лишнего не режет?
Нет, даже policy в accept установил.

> А в целом, есть подозрение, что назначение контейнеру IP из сетки
> 192.168.123.0/24 вопрос снимет. Ну или прописывание отдельно маршрутов
> на клиентах для сети 192.168.234.0/24.
Да вот не похоже... При отсутствии правила iptables для SNAT внутри контейнера 
пакеты ОТ клиентов не покидают его пределы (не наблюдаются на HN venet0), при 
наличии этого правила (SNAT на IP контейнера) - покидают (наблюдаются на всем 
пути их прохождения - tun0 в VPS c адресами клиентов - venet0 в VE прошедшие 
через SNAT с адресом контейнера - venet0 на HN тоже с адресом контейнера - 
eth1 HN - машина в сети) и нормально маршрутизируются, доходят до клиентов и 
т.п. - в общем, при NAT все работает. Если SNAT в VE убрать - то пакеты от 
клиентов наблюдаются только на tun0 в VE (с адресами клиентов) и на venet0 в 
VE (тоже с адресами клиентов). Дальше (venet0 на HN, eth1, ....) - тишина, 
пакетов нет.

-- 
WBR, Alex Moskalenko


Подробная информация о списке рассылки Sysadmins