Здравствуйте!
Подскажите пожалуйста как можно реализовать с помощью OpenVPN такую конфигурацию на FreeBSD:


Client1----Server1--->Server2------>Internet

тоесть выход в Интернет будет идти через второй сервер 
по частям все получается:
1. Client1 коннектится к Server1 по OpenVPN
2. Server1 коннектится к Server2 по OpenVPN

Но вот как "связать" эти отдельные коннекты? пробуем ставить NAT на Server1 - но пакеты не уходят с него на Server2 :(

Подскажите пожалуйста что делать? Хотябы схему действий - скрипты и софт уже настроим сами

Спасибо!

вот еще подробнее:

с Сервера1 соединяемся с Сервером2 и получаем такой интерфейс на Сервере2:

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
        inet 10.8.7.1 --> 10.8.7.2 netmask 0xffffffff
        Opened by PID 2177

на Сервере1 получаем такой интерфейс:

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.8.7.10 --> 10.8.7.9 netmask 0xffffffff
        Opened by PID 74283

теперь Клиент1 соединяется с Сервером1 и на Сервере1 поднимается еще один интерфейс:

tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.8.8.1 --> 10.8.8.2 netmask 0xffffffff
        Opened by PID 78220

на Сервере1 запускам NAT
natd -p 8672 -n tun0 -log -log_denied

тоесть мы его ставим на интерфейс который смотрит на Сервер2

и еще на Сервере1 в файрволе конечно добавляем правило
ipfw add 359 divert 8672 all from 10.8.8.1/24 to any via tun1
ipfw add 360 divert 8672 all from any to 10.8.8.1/24 via tun1

это заворачивает пакеты с Клиента1 на NAT на интерфейсе tun0, также в файрволе разрешаем пакеты от подсети 10.8.8.* наружу через интерфейсы tun0/1

пробуем с Клиент1 коннект к почтовому сервису на Сервер2 и NAT нам показывает такое:

In  {default}[TCP]  [TCP] 10.8.8.6:4288 -> Сервер2:25 aliased to
           [TCP] 10.8.8.6:4288 -> Сервер2:25
In  {default}[TCP]  [TCP] 10.8.8.6:4288 -> Сервер2:25 aliased to
           [TCP] 10.8.8.6:4288 -> Сервер2:25
In  {default}[TCP]  [TCP] 10.8.8.6:4288 -> Сервер2:25 aliased to
           [TCP] 10.8.8.6:4288 -> Сервер2:25

получается что пакеты не поворачиваются на линию которая идет на Сервер2, а так и вращаются на том интерфейсе куда пришли

вот такая "картина маслом" - подскажите что нужно еще править?

как-то все слишком сложно реализовано на первый взгляд. возможно нашлось бы более простое решение если знать каким образом между собой связаны серверы и клиент.

и что мешает на тунеле между серверами сделать одинаковые ip? например:
Сервере2:
        inet 10.8.7.1 --> 10.8.7.2

на Сервере1:
        inet 10.8.7.2 --> 10.8.7.1

или 

Сервере2:
        inet  10.8.7.9 --> 10.8.7.10

на Сервере1:
        inet 10.8.7.10 --> 10.8.7.9

на мой взгляд, так меньше путанницы, а возможно это и решит проблему

все связываются между собой по Интернету - хотя для VPN это не суть важно, адресация все равно идет как локальная



это как одинаковые IP? а как пакеты будут "знать" в какую сторону им идти, ведь с обеих сторон одинаковый IP? в принципе я пока не совсем хорошо знаю технологию VPN, но кажется это странный вариант 

[quota]netstat -rn[/quota]

после поднятия всех коннектов такие роуты:

на Сервере2:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            88.хх.хх.хх        UGS         0 3343724965   bge0
10.8.8/24          10.8.8.2           UGS         0        0   tun1
10.8.8.2           10.8.8.1           UH          1        0   tun1
88.хх.хх.хх/27     link#1             UC          0        0   bge0
............

на Сервере1:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            2хх.ххх.х.ххх      UGS         0  1120190    em0
10.8.7.0/24        10.8.7.2           UGS         0        0   tun0
10.8.7.2           10.8.7.1           UH          1        0   tun0
10.8.8.0/24        10.8.8.1           UGS         0        0   tun1
10.8.8.1           10.8.8.2           UH          1        0   tun1
..............................

на Клиенте1 (winXP):
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0        10.0.18.1     10.0.18.116       31
          0.0.0.0          0.0.0.0         10.8.7.5        10.8.7.6       1
        10.0.18.0    255.255.255.0      10.0.18.116     10.0.18.116       30
      10.0.18.116  255.255.255.255        127.0.0.1       127.0.0.1       30
         10.8.7.0    255.255.255.0         10.8.7.5        10.8.7.6       1
         10.8.7.4  255.255.255.252         10.8.7.6        10.8.7.6       30
         10.8.7.6  255.255.255.255        127.0.0.1       127.0.0.1       30
..................

пока не могу никак соединить переброску на Сервере1 между 10.8.7.1 и 10.8.8.2 - ведь там эти два сегмента должны связываться - причем дело в том, что не нужно это делать _default_ шлюзом - там на Сервере1 есть свой основной интернет - нужно именно завернуть пакеты которые идут _из_ 10.8.7.0/24, а команда "route add" указывает шлюз для пакетов "куда"
тоесть нужно пакеты с 10.8.7.0/24 идущие в интернет завернуть на 10.8.8.2 - натом пробовал - что-то не доходят, толком ведь не могу просмотреть что и куда идет
или как еще можно?

ну вот допустим у вас тунель между сервером1 и сервером2 имеет разную адресацию


я предлагаю на эту "трубу" задать такие адреса чтобы на сервере 2 оно выглядело как AddressX --> AddressY
а на сервере 1 AddressY --> AddressX