Význam maškarádování u VPN zóny

Ahoj, pokouším se pochopit, jak funguje firewall a zóny v LuCI, a myslím, že většinu jsem rozklíčoval. Co mi však vrtá hlavou, je zapnuté maškarádování u zóny vpn_turris:

U zóny WAN rozumím, že tato volba zajišťuje překlad adres (NAT) u paketů putujících do této zóny, což je pro přístup vnitřních zařízení do vnějšího internetu potřeba. Ale co to dělá u VPN zóny? Kdybych na to aplikoval stejnou logiku, vychází mi, že: “zajišťuje překlad adres (NAT) u paketů putujících do této zóny”, čili do VPN zóny, z ostatních zón (čili prakticky pouze z LAN). Proč je to potřeba? Nebo to chápu špatně?

Zajišťuje překlad adres (NAT) u paketů putujících do této zóny”, čili do VPN zóny.

Je to užitečné, pokud si třeba platíš nějakou “anonymizačni” VPN službu, tak abys mohl připojit celou tvoji síť (analogie maškarády u WAN).

Na druhou stranu to rozbíjí možnost přímé komunikace z LAN do sítě připojené za VPN (modelový příklad třeba síť doma na adresách 192.168.1.0/24 a síť na chalupě na adresách 192.168.2.0/24 a ty chceš mít přístup z počítače doma na kamerový systém na chalupě.) Jinak známé jako LAN to LAN VPN nebo site to site VPN.

Díky, použití Turrise coby VPN klienta mě nenapadlo a NAT pro VPN zónu v takovém případě smysl dává, aby mohla přes VPN směrem ven komunikovat všechna zařízení v LAN.

Já však používám Turris coby VPN server a rád bych, aby jednotliví VPN klienti a zařízení na LAN byli vzájemně viditelní všemi směry. Pokud to chápu dobře, v takovém případě mohu maškarádování na VPN zóně vypnout.

A vůbec, nebylo by možné VPN zónu zrušit úplně a příslušné rozhraní tun_turris přidat do zóny LAN, v rámci které je povolené přesměrování? Rozbil bych tím něco?

Na základě experiementu si odpovím, že možné to je a vše funguje, jak bych čekal.

1 Like