openvpn

а как же маршрутизация?

на сервере
[code]iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE[/code]
где eth0 - интерфейс, к которому прибинден openvpn, а 10.8.0.0/24 - подсеть openvpn. Вообще, всё есть тут.

NAT внутри своей сети - просто гениальное архитектурное решение.

Человек роутинг хочет - вот ему и роутинг.
Бриджи, кстати, не всегда адекватно работают и сложнее поддаются фильтрации трафика и мониторингу.

Не вижу ни одной причины к тому, чтобы при необходимости не использовать NAT внутри своей сети.

Не вижу ни одной причины к тому, чтобы при необходимости не использовать NAT внутри своей сети.

Использование NAT внутри своей сети однозначно свидетельствует о руках, растущих из жопы.

Использование NAT внутри своей сети однозначно свидетельствует о руках, растущих из жопы.

Абсолютно не согласен. Например при построении DMZ NAT может быть отличным средством.

Например при построении DMZ NAT может быть отличным средством.

NAT это костыл, а костыль в приципе не может быть «отличным средством». Он:

1. Съедает процессорное время на маршрутизаторах

2. Снижает детализацию протоколов «кто куда ходил»

3. Ухудшает возможности контроля доступа

4. Ломает либо сильно усложняет работу всех протоколов, которые используют общение peer-to-peer (SIP/Skype/H.323 - в общем, все Voice/Video over IP), заставляя софт делать предположения или хитрые настройки

Единственное место для NAT - интерфйес между раутабельной и нераутабельной сеткой, то бишь внешний интерфейс локалки с серыми адресами, где она стыкуется с Internet. Всё, других мест для NAT тупо нет.

Все это верно, я правильно понял, что вы не можете себе представить задачи, в которой 2-4 могут не иметь значения?

я правильно понял, что вы не можете себе представить задачи, в которой 2-4 могут не иметь значения?

У меня даже на домашнем компе поднят апач «только для своих» (я с него книжки на мобилу и планшетку тягаяю) - и контроль доступа для мня всегда важен.

У меня на каждом из компьютеров (домашний, рабочий, виртуалка в интернете, ноутбук и еще один сервер у заказчика) подняты постгресы, к которым надо коннектиться с любого из этих же компов - и прямая сквозная раутебельность для меня важна.

У меня SIP/Skype не только на компьютерах и ноутбуках, но даже на мобильнике. И торрент-клиент и emule-клиент (для локалки) на компах есть.

И я не считаю это чем-то необычным.

Так что ДА, Я НЕ МОГУ ПРЕДСТАВИТЬ ЗАДАЧИ КОГДА ПУНКТЫ 2-4 НЕ ИМЕЮТ ЗНАЧЕНИЯ. И поэтому повторю - NAT это костыль. Костыль прямым не бывает.

Так что ДА, Я НЕ МОГУ ПРЕДСТАВИТЬ ЗАДАЧИ КОГДА ПУНКТЫ 2-4 НЕ ИМЕЮТ ЗНАЧЕНИЯ.

ничего. Со временем все получится.

2 чая и тортик этому джентельмену.

Заранее извиняюсь за оффтоп и портянку ниже:
Всё правильно сказал. Я раньше тоже относился к NAT нейтрально, пока не хлебнул говнеца с всякими хитрыми проприетарными поделиями(привет, Гарант+), которые просто не знают что такое NAT или требуют мегамощных танцев с бубном и задалбывания сотрудников поддержки этих поделий(которые тоже казалось бы о NAT слышат первый раз). Поэтому везде(я подчеркиваю, ВЕЗДЕ) где можно я от этого ушел. Стараюсь делать NAT только на выходе в интернет и в специфических случаях, где без него никак. В остальных же случаях - распространяю маршруты через OSPF/RIP/whatever...

представить задачи, в которой 2-4 могут не иметь значения?

дай угадаю - раздача интернета хомячкам? Чтобы вменяемо работал HTTP/HTTPS, а дальше - черт с ним? Это единственная задача, которая мне приходит на ум...

парни, спасибо за советы)) проблема была в маске сети на клиентском компьютере, узнал просто - посмотрел tcpdump ом, NAT внутри одной сети openvpn... не нужен, большинство задач по маршрутизации берёт на себя сам openvpn)) Достаточно форвардинга в ядре)
извиняюсь что долго не отвечал)

Спасибо за дискуссию, оставлю для потомков:

http://habrahabr.ru/blogs/sysadm/134638/

Sorry.

Тьфу, дерьмо вопрос:

iptables -P FORWARD DROP
iptables -A FORWARD -i lan0 -o wan0 -j ACCEPT
iptables -A FORWARD -m state --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A POSTROUTING -o wan0 -s 192.168.0.0/16 -j MASQUERADE (ну или -j SNAT --to-source ...)

И пусть теперь провайдер запрописывается хоть мульёном хоть мульярдом маршрутов.