Клиент под Linux и маршрутизация

[Paullo612]

Здравствуйте! Вопрос следующего характера: Возможно ли какими либо средствами пересылать пакеты с обычного сетевого интерфейса в тоннель, создаваемый Linux версией IP клиента? Если возможно, то как?

Клиент под линкусом завёлся, пинги идут, всё замечательно... Только как теперь всё это дело раздать по сети?

 

[Deonis]

если Linux на дефолтовом роутере, то в общем случае должно работать так.

в частных случаях возможны варианты.

P.S. телепатов нет

 

[Paullo612]

На самом деле конфигурация довольно сложная. Linux действительно на дефолтном роутере. Соответственно имеется сетевой интерфейс с входящим интернетом, интерфейс с поднятым DHCP и DNS, с которого интернет раздаётся и интерфейс OpenVPN. Хотелось бы сделать так, чтобы трафик через IP/Клиента шёл только с VPN интерфейса.

 

[Deonis]

ничего не выйдет. Amicon'овский VPN клиент использует фильтр-драйвер, а не виртуальный адаптер, как к примеру OpenVPN.

в чем, конкретно, задача? зачем это надо?

 

[Paullo612]

...Решил поступить плохо. Чисто в теории возможно перелопатить модуль ядра и поиграться там с приходящими пакетами, заворачивая их в нужный интерфейс. Пока понял только то, что клиент с помощью фильтра пакеты приходящие с других интерфейсов отправляет, а обратно в FORWARD не пускает. Буду копать. О результатах отпишусь.

 

[Deonis]

Не проще ли использовать NAT?
Только надо использовать NAT, фильтр-драйвер которого будет находится "выше" фильтр-драйвера VPN, чтобы последний воспринимал прошедшие трансляцию пакеты, как пакеты отправленные с собственного хоста.

P.S. Только не забудьте свериться с лицензионным соглашением на Amicon VPN. Даже если Вы сможете реализовать VPN канал для хостов вашей подсети, то каждый хост, на сколько мне известно, должен быть включен в лицензионное соглашение. ИМХО, это как раз одна из причин, по которой Amicon VPN драйвер сделан не в виде виртуального сетевого адаптера, а в виде фильтр-драйвера - усложнить нелагальное использование технологии.

 

[Paullo612]

Немного переписал модуль ядра. Сделал так, чтобы он слушал соединения на определённом интерфейсе, что, собственно решило проблему. Единственное - пришлось внутри жёстко зашить айпишники внутренней подсети и публичный сбербанка. Но что делать - в нашем распоряжении исходники только модуля ядра( Если кому интересно как это работает - пишите.

PS: Линуксовый фаерволл - iptables организован так, что в данном случае применение NAT не возможно, тк пакеты изымаются фильтр-драйвером до применения правил NAT. И ничего с этим сделать нельзя.

 

[texpoimet]

Мне очень интересно. Отправьте личку, пожалуйста.