iptables, openvpn, xlite

Miguel Oyarzo O. admin en aim.cl
Vie Abr 24 04:59:22 CLT 2009 

Arturo Mardones escribió:
> Hola a todos,
> 
> Recurro a ustedes por un poco de iluminacion... porque en realidad...
> ya no entiendo mucho... tengo una vpn para conectar xlite a una
> central ip (siemens)
> 
> en mi iptables tengo...
> 
> -A INPUT -i tun+ -j ACCEPT
> 
> -A FORWARD -i tun0 -o eth0 -j ACCEPT
> 
> lo raro, es que con esto... si uso la aplicacion de administracion de
> la central no conecta, ni me da ping... y ademas peeeeeeeeeero xlite
> me funciona, pero cuando llamo a un telefono sip, en el firewall me
> arroja problemas de que debo hacer un forward -i eth0 -o tun0
> 
> lo agrego y la llamada tampoco me funciona... peeeeeeeero no tengo el
> problema del firewall... cuec!
> 
> y para que me funcione el ping y demases debo agregar:
> 
>  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE y
> todo bien....
> 
> ya estoy un tantito mareado.... alguien tiene alguna idea???... porque
> xlite igual se marea?? ya pregunte en el foro de xlite y no tuve mucha
> suerte
> 
> Saludos y gracias desde ya.

Debes consierar usar FORWARD cuando sabes que el paquete es ruteable 
entre los las redes IP asociados a cada interfaz (palabras simples, los 
paquetes de un extremo saben como alcanzar al otro mediante sus puertas 
de enlace).

Cuando no hay posibilidad de ruteo (por ejemplo una LAN e INTERNET), 
puedes usar SNAT o MASQUERADE en una de las interfaces (como en tu 
ejemplo) y eso permitirá que los paquetes provenientes de la interfaz 
contraria puedan atravezar el ruteador en un sentido ( y recibir 
respuestas relacionadas a esa conexion)

Esto es dificil de entender si no lees algo de material de routing y 
traslacion de puertos (es la parte basica del rutero entre dispositivos)

La instruccion de POSTROUTING que muestras arriba me da a entender que 
tu caso es el segundo, es decir, no es posible rutear entre ambas redes, 
por lo que MASQUERADE te esta abriendo paso.

Solucion, depende de lo que tengas alli, pero con tan poca informacion 
que das no se me ocurre nada logico

=====================================
Miguel A. Oyarzo O.
Ingeniería en Redes y Comunicaciones
Linux User: # 483188 - counter.li.org
Austro Internet S.A. & INALAMBRICA S.A.
Teléfono: [+05661] 710030
Punta Arenas - Chile
=====================================

Más información sobre la lista de distribución Linux