13.05.2011 18:45, Nicholas пишет: > On 13.05.2011 18:13, Mikhail A Antonov wrote: >> На всякий случай повторю. Клиент подключается к серверу и получает >> локальный IP (на tap). С этого локального IP он (клиент) может >> связываться с сервером _внутри_ туннеля. > > Да, это понятно. После поднятия tap я могу обращаться к сервисам сервера > по внутреннему ip 192.168.... - это работает и это уже неплохой вариант. > > Но если я обращаюсь по доменному имени сервера, то обращаюсь с нему по > внешнему ip (а доменное имя прописанно во всех клиентах imap, smtp, > etc), в этом случае - или иду к нему не через tap или, если все-таки > заворачиваю пакеты, вообще не могу достучаться. > > Ваш вариант можно использовать, но хотелось бы найти возможность > обращаться к серверу по внешнему ip через vpn/tap, что бы не менять > настройки приложений, где прописан домен. Это особенно актуально, если > приходится использовать dns кафе, что-бы согласиться с соглашением. У сервера же два реальника? Ну повесь сервисы на второй и скажи что мол после коннекта к впн маршрут к второму IP лежит через vpn. А на первом сервис openvpn.
И оставь уже фаервол в покое. Всё решается обычной маршрутизацией. Без натов вовсе. Нат тебе пригодится только если клиенты захотят через твой сервер выходить куда-то за пределы твоей локальной сети (например если ты им меняешь дефолтный маршрут на себя). Причём это будет SNAT. -- Best regards, Mikhail. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dcd7f31.2060...@solarnet.ru