POSTROUTING ne fonctionne pas comme escompté sur une interface tun
Von: Eric Belhomme ({rico}+no/spam@ricospirit.net) [Profil]
Datum: 21.09.2009 14:14
Message-ID: <h97r4s$h8b$1@s1.news.oleane.net>
Newsgroup: fr.comp.reseaux.ip fr.comp.os.linux.configuration
Datum: 21.09.2009 14:14
Message-ID: <h97r4s$h8b$1@s1.news.oleane.net>
Newsgroup: fr.comp.reseaux.ip fr.comp.os.linux.configuration
Bonjour, J'ai un petit soucis de POSTROUTING avec une interface tun... Voici le contexte : - tun1 est créé par openvpn - eth1 est une patte sur mon LAN 4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:1e:58:df:e1:80 brd ff:ff:ff:ff:ff:ff inet 172.16.1.1/24 brd 172.16.1.255 scope global eth1:0 ... 17: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/[65534] inet 172.24.253.1 peer 172.24.253.2/32 scope global tun1 le LAN distant (192.168.96.0/24) doit pouvoir joindre le LAN local (192.168.1.0/24). Voici les routes : 172.24.253.2 dev tun1 proto kernel scope link src 172.24.253.1 172.24.253.0/29 via 172.24.253.2 dev tun1 192.168.96.0/24 via 172.24.253.2 dev tun1 172.16.1.0/24 dev eth1 proto kernel scope link src 172.16.1.1 192.168.0.0/18 via 172.16.1.254 dev eth1 La passerelle distante a donc comme IP 172.24.253.2, mais aussi 192.168.96.254. Ses routes sont : 172.16.0.0/16 172.24.253.1 UG 172.24.253.1 172.24.253.2 UH 192.168.0.0/19 172.24.253.1 UG 192.168.96.0/24 link#1 U Donc fort logiquement, lorsqu'elle tente de se connecter à une machine du réseau 192.168.1.0/24, elle le fait via sont interface tun (172.24.253.2) Le problème, c'est que le réseau 172.24.253.0/29 n'est connu que de mes passerelles, et je souhaite qu'il en soit ainsi. J'ai donc rajouté une règle iptables pour SNATter ces connexions : iptables -t nat -A POSTROUTING -o eth1 -s 172.24.253.2 -d 192.168.1.0/24 -j SNAT --to-source 192.168.96.254 Mais cette règle ne semble jamais appliquée ! pourtant un tcpdump me donne ceci : sudo tcpdump -ni eth1 icmp tcpdump: WARNING: eth1: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 14:09:45.260597 IP 172.24.253.2 > 192.168.1.192: ICMP echo request, id 17184, seq 0, length 64 On voit bien, sur l'interface eth1, un paquet sortir par eth1 avec comme adresse source 172.24.253.2 et comme destination une adresse inclue dans mon netmask 192.168.1.0/24 ! Alors où est l'erreur ? Merci pour vos suggestions :) -- Rico[ Auf dieses Posting antworten ]
Antworten
- Pascal Hambourg (21.09.2009 15:46)
- Eric Belhomme (21.09.2009 16:18)
- Pascal Hambourg (21.09.2009 16:29)
- Eric Belhomme (22.09.2009 18:41)
- Pascal Hambourg (22.09.2009 20:23)
- Eric Belhomme (23.09.2009 13:33)
- Pascal Hambourg (23.09.2009 16:40)