rain87
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
admin931
Цитата: да к сожалению это разные вещи...
в очень приближенном рассмотрении Masquerading отличается от NAT`a тем, что шлюз подменяет в отправленном пакете адрес клиента на свой. |
выше камрады уже расписали... от себя добавлю что MASQUERADE это то же самое что и SNAT, только слишком умное. если SNAT'у надо явно указывать, на какой адрес подменять отправителя, то MASQUERADE сам это определяет, на основании того, в какой интерфейс будет уходить пакет. лично я стараюсь его избегать, не люблю когда компьютер умнее меня  но в целом вопрос религиозных взглядов
Цитата:| соединен с сервером FreeBSD x.x.x.x по OpenVPN (192.168.10.1), за которым есть подсеть 10.10.10.0/24. |
у тебя есть сеть 10.10.10.0/24, в которой стоит сервер с фряхой, с ипом (каким?). на фряхе поднят овпн сервак с ипом 192.168.10.1
Цитата:| есть сеть за удаленным шлюзом 10.10.11.0/24, в ней шлюз Ubuntu (10.x) 10.10.11.1, он же клиент OpenVPN 192.168.10.3 |
где-то есть сеть 10.10.11.0/24, в ней комп 10.10.11.1, который по овпн подключается к серверу с фряхой, получает от него ип 192.168.10.3
Цитата:| но в сети той, есть еще один шлюз для DMZ ресурсов 10.10.10.47 (подсеть 10.0.0.0/16) |
в сети с фряхой стоит комп 10.10.10.47, за которым находится ещё одна сеть 10.0.0.0/16
Цитата: на все компьютеры, которым нужен доступ к этой сети прописан соответствующий маршрут.
так, что из сети 10.10.10.0/24 видно все в сети 10.0.0.0/16 |
прекрасно, т.е. на компах 10.10.10.0/24 прописано чёто типа route add -net 10.0.0.0/16 gw 10.10.10.47 (в том числе на серваке с фряхой)
Цитата:| 1 проблема шлюз 10.10.10.47 мной не управляется... потому маршрут до сети 10.10.11.0 на нем не указать... |
т.е. 10.10.10.47 может получить доступ только к 10.10.10.0/24
Цитата: 2 шлюз 10.10.10.1 (192.168.10.1) на FreeBSD, и замена не планируется... а на нем я просто не знаю как изменить
настройки подключения, чтобы в место NAT, для некоторых пользователей стал Masquerading`ом.
почему Masquerading - потому, что сам шлюз доступ к ресурсам 10.0.0.0/16 имеет..., следовательно и пользователи
за ним тоже могут (если спрячутся за Masquerading) |
т.е. по сути тебе надо сделать SNAT для клиентов из овпн, чтобы к 10.10.10.47 они приходили как сервер фряхи; кроме того надо на клиентах овпн указать роут, чтоб они знали что 10.0.0.0/16 доступен через 192.168.10.1
роута в твоём ccd/user_net... я не вижу. а правило ната будет выглядеть
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source <ИП сервака с фряхой>
фряху я не знаю, как там это будет выглядеть - спроси у фряховодов. через ipfw аналогичное правило можно добавить
Добавлено:
Цитата:| push "route 10.0.0.0 255.0.0.0 192.168.10.1" |
- я так понимаю, это роут для 10.0.0.0/16 ? будь внимательнее, 16 - это маска 255.255.0.0, а не та что ты написал. поправь эту строку, и тогда роут будет прописываться - останется только добавить правило СНАТ на серваке с фряхой
Добавлено:
ну и само собой должен быть разрешён ip_forwarding на серваке с фряхой. опять таки, у фряховодов узнай, как это делается
----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat |
|
