openvpn за NAT

From

Leizer A. Karabin (2:5005/14.44)

To

Alex Masterov

Date

2006-11-24T20:24Z

Area

RU.UNIX.BSD

Добрый день, Alex свет Masterov!

Я, собственно, просто так вышел Thursday November 23 2006 17:06,
тут слышу - Alex Masterov говорит Spartak Radchenko (ну я встрял, конечно):

AM>>> Есть сервер OpenVPN 2.0.6 на FreeBSD 6.1-RELEASE, транспорт для
AM>>> OpenVPN - UDP. Предполагается открытие филиала, в котором будут 2
AM>>> станции с XP, подключенные через ADSL маршрутизатор D-Link 504T, при
AM>>> этом станции получат "серые" адреса и будет использоваться NAT этого
AM>>> маршрутизатора.   Реально ли будет одновременно установить
AM>>> соединение OpenVPN c одним сервером с обоих компьютеров за NAT?
SR>> А что может этому помешать?

AM> В случае UDP src port, как правило, совпадает с dst port.
AM> Вобще говоря, судя по опыту, должно работать, т.к. по OpenVPN подключаются
AM> например из-за ната через GPRS к спутниковым провайдерам. Но механизм мне
AM> не очень понятен.

AM>>> Интересует вопрос: как NAT распознает был данный UDP пакет с сервера
AM>>> послан для первой или для второй станции?

SR>> По четвёрке src IP, src port, dst IP, dst port. Как всегда.

AM> Ну, допустим, первая станция имеет адрес 192.168.34.1 и соединяется на
AM> сервер 11.11.11.11. Внешний IP, скажем 22.22.22.22. В случае OpenVPN она
AM> будет посылать UDP пакеты с порта 33465 на порт 33465
AM> например:

AM> IP 192.168.34.2.33465 > 11.11.11.11.33465: UDP, length

AM> После NAT пакет будет иметь следующий вид:

AM> IP 22.22.22.22.33465 > 11.11.11.11.33465: UDP, length

AM> Пусть вторая станция имеет адрес 192.168.34.2
AM> После NAT пакет будет иметь тот же самый вид:

AM> IP 22.22.22.22.33465 > 11.11.11.11.33465: UDP, length

AM> И когда обратно придет ответный пакет

AM> IP 11.11.11.11.33465 > 22.22.22.22.33465: UDP, length

AM> как NAT разберется куда его послать на 192.168.34.1 или на 192.168.34.2?

        Здесь ты один раз точно соврамши. Клиенты будут на сервер долбиться по разным портам udp. Так это должно быть настроено на обоих концах. Разные порты на сервере для разных линков и одинаковые на обоих концах одного динка. Во всяком случае у меня openvpn 1.6 работал только так. Добавление многоточечности в 2.0 не должно было это изменить.

За сим навеки и проч. Leizer                 [Team Smile'ик - отменить!]

Realname: Лазарь Арнольдович КарабИн

--- GoldEd 1.1.5-030104
 * Origin: Окно выходило в густой ветвистый зад (2:5005/14.44)
SEEN-BY: 50/12 400/814 450/1024 463/68 464/36 465/213 550/5068 5000/0 20 26 27
SEEN-BY: 5000/61 94 104 116 130 170 5000 5002/76 5002 5004/75 1111 5005/14 24
SEEN-BY: 5005/28 42 47 52 53 63 67 75 76 77 80 89 92 95 107 5009/14 5010/77
SEEN-BY: 5010/275 5011/13 5012/46 5013/21 5015/28 5019/31 5020/400 545 2238
SEEN-BY: 5020/2395 2871 4441 5021/29 5025/3 5027/12 5029/34 5030/1080 1957
SEEN-BY: 5035/38 5045/7 5054/1 4 8 9 11 28 35 36 37 45 63 66 67 70 75 84 85
SEEN-BY: 5055/177 5057/119 5059/9 5062/10 5063/3 5064/7 5070/66 5076/1 5077/70
SEEN-BY: 5080/1003 5084/9 5085/13 5090/1029 5095/20 5096/18 6001/10 6090/1

PATH: 5005/14 5000/5000 5020/545 5054/1 37