Re: openvpn роутинг
5 мая 2008 г. 9:36 пользователь apm написал: А на 192.168.10.1 фаярвол стоит??? Там iptables, но все что там есть с запретами относится к внешнему интерфейсу, все остальное accept. Так и еще разок. На шлюзе надо было сделать: -route add -net 10.10.0.0 netmask 255.0.0.0 gw 192.168.10.4 -и правила для iptables(при условии, что в таблице filter по умолчанию drop) - iptables -A FORWARD -s 10.10.0.0/255.0.0.0 -d 192.168.10.0/255.255.255.0 -j ACCEPT - iptables -A FORWARD -s 192.168.10.0/255.255.255.0 -d 10.10.0.0/255.0.0.0 -j ACCEPT Если после проверки не работает, попробуйте посмотреть какие пакеты идут на шлюз(192.168.10.1) от vpn клиентов, возможно это прояснит ситуацию.
Re: openvpn роутинг
Igor Kozlov пишет: На шлюзе(192.168.10.1) сделать роутинг на сетку 10.10.0.0 Не могу понять какой именно роутинг нужно сделать пробовал варианты: route add -net 10.10.0.0 netmask 255.255.255.0 dev br0 (устройство куда локалка воткнута) route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.1 (шлюз сетевой) route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 (сервер openvpn) не один не помог. Подозреваю что я безнадежно глуп. Подскажите плиз, что делаю не так.. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openvpn роутинг
On Sun, 04 May 2008 18:27:25 +0600 apm [EMAIL PROTECTED] wrote: На шлюзе(192.168.10.1) сделать роутинг на сетку 10.10.0.0 Не могу понять какой именно роутинг нужно сделать пробовал варианты: route add -net 10.10.0.0 netmask 255.255.255.0 dev br0 (устройство куда локалка воткнута) route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.1 (шлюз сетевой) route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 (сервер openvpn) не один не помог. Подозреваю что я безнадежно глуп. Подскажите плиз, что делаю не так.. 192.168.10.x (кроме 192.168.10.4) тоже должны знать маршрут до сети 10.10.0.0. Или хотя бы 192.168.10.1 должен знать его, а остальные должны доверять icmp-редиректам от него. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openvpn роутинг
Alexey Trunyov пишет: 192.168.10.x (кроме 192.168.10.4) тоже должны знать маршрут до сети 10.10.0.0. Или хотя бы 192.168.10.1 должен знать его, а остальные должны доверять icmp-редиректам от него. На 192.168.10.1 который является default gateway для всей подсети, я сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 из за этого или нет, не знаю, но клиенты openvpn подключенные стали видеть 192.168.10.1 но не 192.168.10.4. А что значит доверять icmp редиректам? как это реализовать? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openvpn роутинг
4 мая 2008 г. 18:29 пользователь apm написал: На 192.168.10.1 который является default gateway для всей подсети, я сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 Это опечатка или вы так сделали??. В первом сообщении vpn шлюзом был 192.168.10.4
Re: openvpn роутинг
Igor Kozlov пишет: 4 мая 2008 г. 18:29 пользователь apm написал: На 192.168.10.1 который является default gateway для всей подсети, я сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 Это опечатка или вы так сделали??. В первом сообщении vpn шлюзом был 192.168.10.4 Опечатка простите, gw прописал сервер с openvpn -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openvpn роутинг
Igor Kozlov пишет: 4 мая 2008 г. 18:29 пользователь apm написал: На 192.168.10.1 который является default gateway для всей подсети, я сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 Это опечатка или вы так сделали??. В первом сообщении vpn шлюзом был 192.168.10.4 Опечатка простите, gw прописал сервер с openvpn -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openvpn роутинг
4 мая 2008 г. 18:29 пользователь apm написал: На 192.168.10.1 который является default gateway для всей подсети, я сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 из за этого или нет, не знаю, но клиенты openvpn подключенные стали видеть 192.168.10.1 но не 192.168.10.4. А на 192.168.10.1 фаярвол стоит???
Re: openvpn роутинг
Igor Kozlov пишет: 4 мая 2008 г. 18:29 пользователь apm написал: На 192.168.10.1 который является default gateway для всей подсети, я сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 из за этого или нет, не знаю, но клиенты openvpn подключенные стали видеть 192.168.10.1 но не 192.168.10.4. А на 192.168.10.1 фаярвол стоит??? Там iptables, но все что там есть с запретами относится к внешнему интерфейсу, все остальное accept. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
openvpn роутинг
Наблюдаю странную вещь, может недопонимаю чего то, подскажите. Есть такая схема: Есть локальная сеть, через шлюз подключенная к интернету. Внутри в локалки сеть 192.168.10.0, внутренний адрес шлюза 192.168.10.1 Внутри, на компе с адресом 192.168.10.4 поднимаю openvpn, делаю редирект порта 1194 со шлюза на него. В конфиге openvpn в том числе указываю push route 192.168.10.0 255.255.255.0 , на этом компе net/ipv4/ipforward=1, iptables - везде accept. Клиенты снаружи замечательно конектятся на openvpn сервер, получают в таблицу роутинга 192.168.10.0 10.10.0.5 255.255.255.0 UG0 00 tun0 10.10.0.5 0.0.0.0 255.255.255.255 UH0 00 tun0 где 10.10.0.5 адрес openvpn сервера на tun интерфейсе. Вобщем выглядит все благополучно, однако, клиент не получает доступа к другим машинам локальной сети , например telnet 192.168.10.3 с клиента подключенного к openvpn не проходит,а с самого сервера openvpn проходит. Что я забыл сделать? Ранее я openvpn на шлюзе поднимал, и все работало, а сейчас на шлюзе невозможно. inline: 1.svg
Re: openvpn роутинг
3 мая 2008 г. 18:24 пользователь apm написал: Наблюдаю странную вещь, может недопонимаю чего то, подскажите. Есть такая схема: Есть локальная сеть, через шлюз подключенная к интернету. Внутри в локалки сеть 192.168.10.0, внутренний адрес шлюза 192.168.10.1 Внутри, на компе с адресом 192.168.10.4 поднимаю openvpn, делаю редирект порта 1194 со шлюза на него. В конфиге openvpn в том числе указываю push route 192.168.10.0 255.255.255.0 , на этом компе net/ipv4/ipforward=1, iptables - везде accept. Клиенты снаружи замечательно конектятся на openvpn сервер, получают в таблицу роутинга 192.168.10.0 10.10.0.5 255.255.255.0 UG0 00 tun0 10.10.0.5 0.0.0.0 255.255.255.255 UH0 00 tun0 где 10.10.0.5 адрес openvpn сервера на tun интерфейсе. Вобщем выглядит все благополучно, однако, клиент не получает доступа к другим машинам локальной сети , например telnet 192.168.10.3 с клиента подключенного к openvpn не проходит,а с самого сервера openvpn проходит. Что я забыл сделать? Ранее я openvpn на шлюзе поднимал, и все работало, а сейчас на шлюзе невозможно. На шлюзе(192.168.10.1) сделать роутинг на сетку 10.10.0.0