Re: openvpn роутинг

2008-05-05 Пенетрантность Igor Kozlov 
5 мая 2008 г. 9:36 пользователь apm написал:
 
  А на 192.168.10.1 фаярвол стоит???
 
  Там iptables, но все что там есть с запретами относится к внешнему
 интерфейсу, все остальное accept.


Так и еще разок.
На шлюзе надо было сделать:
  -route add -net 10.10.0.0 netmask 255.0.0.0 gw 192.168.10.4
  -и правила для iptables(при условии, что в таблице filter по умолчанию drop)
  - iptables -A FORWARD -s 10.10.0.0/255.0.0.0 -d
192.168.10.0/255.255.255.0 -j ACCEPT
  - iptables -A FORWARD -s 192.168.10.0/255.255.255.0   -d
10.10.0.0/255.0.0.0 -j ACCEPT

Если после проверки не работает, попробуйте посмотреть какие пакеты
идут на шлюз(192.168.10.1)
от vpn клиентов, возможно это прояснит ситуацию.

Re: openvpn роутинг

2008-05-04 Пенетрантность apm 

Igor Kozlov пишет:




 На шлюзе(192.168.10.1) сделать роутинг на сетку 10.10.0.0

Не могу понять какой именно роутинг нужно сделать
пробовал варианты:
route add -net 10.10.0.0 netmask 255.255.255.0 dev br0 (устройство куда 
локалка воткнута)
route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.1 (шлюз 
сетевой)
route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 (сервер 
openvpn)

не один не помог.
Подозреваю что я  безнадежно глуп. Подскажите плиз, что делаю не так..


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: openvpn роутинг

2008-05-04 Пенетрантность Alexey Trunyov 
On Sun, 04 May 2008 18:27:25 +0600
apm [EMAIL PROTECTED] wrote:

   На шлюзе(192.168.10.1) сделать роутинг на сетку 10.10.0.0
 
 Не могу понять какой именно роутинг нужно сделать
 пробовал варианты:
 route add -net 10.10.0.0 netmask 255.255.255.0 dev br0 (устройство куда 
 локалка воткнута)
 route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.1 (шлюз 
 сетевой)
 route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3 (сервер 
 openvpn)
 не один не помог.
 Подозреваю что я  безнадежно глуп. Подскажите плиз, что делаю не так..

192.168.10.x (кроме 192.168.10.4) тоже должны знать маршрут до сети 10.10.0.0.
Или хотя бы 192.168.10.1 должен знать его, а остальные должны доверять 
icmp-редиректам от него.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: openvpn роутинг

2008-05-04 Пенетрантность apm 

Alexey Trunyov пишет:


192.168.10.x (кроме 192.168.10.4) тоже должны знать маршрут до сети 10.10.0.0.
Или хотя бы 192.168.10.1 должен знать его, а остальные должны доверять 
icmp-редиректам от него.



На 192.168.10.1 который является default gateway для всей подсети, я 
сделал route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3


из за этого или нет, не знаю, но клиенты openvpn подключенные стали 
видеть  192.168.10.1 но не 192.168.10.4.


А что значит доверять icmp редиректам? как это реализовать?


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: openvpn роутинг

2008-05-04 Пенетрантность Igor Kozlov 
4 мая 2008 г. 18:29 пользователь apm написал:
  На 192.168.10.1 который является default gateway для всей подсети, я сделал
 route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3
Это опечатка или вы так сделали??. В первом сообщении vpn шлюзом был
192.168.10.4

Re: openvpn роутинг

2008-05-04 Пенетрантность apm 

Igor Kozlov пишет:

4 мая 2008 г. 18:29 пользователь apm написал:

 На 192.168.10.1 который является default gateway для всей подсети, я сделал
route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3

Это опечатка или вы так сделали??. В первом сообщении vpn шлюзом был
192.168.10.4

Опечатка простите, gw прописал сервер с openvpn


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: openvpn роутинг

2008-05-04 Пенетрантность apm 

Igor Kozlov пишет:

4 мая 2008 г. 18:29 пользователь apm написал:

 На 192.168.10.1 который является default gateway для всей подсети, я сделал
route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3

Это опечатка или вы так сделали??. В первом сообщении vpn шлюзом был
192.168.10.4

Опечатка простите, gw прописал сервер с openvpn


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: openvpn роутинг

2008-05-04 Пенетрантность Igor Kozlov 
4 мая 2008 г. 18:29 пользователь apm написал:
  На 192.168.10.1 который является default gateway для всей подсети, я сделал
 route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3

  из за этого или нет, не знаю, но клиенты openvpn подключенные стали видеть
 192.168.10.1 но не 192.168.10.4.

А на 192.168.10.1 фаярвол стоит???

Re: openvpn роутинг

2008-05-04 Пенетрантность apm 

Igor Kozlov пишет:

4 мая 2008 г. 18:29 пользователь apm написал:

 На 192.168.10.1 который является default gateway для всей подсети, я сделал
route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.10.3

 из за этого или нет, не знаю, но клиенты openvpn подключенные стали видеть
192.168.10.1 но не 192.168.10.4.


А на 192.168.10.1 фаярвол стоит???
Там iptables, но все что там есть с запретами относится к внешнему 
интерфейсу, все остальное accept.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

openvpn роутинг

2008-05-03 Пенетрантность apm 

Наблюдаю странную вещь, может  недопонимаю чего то, подскажите.
Есть такая схема:
Есть локальная сеть, через шлюз подключенная к интернету.
Внутри в локалки сеть 192.168.10.0, внутренний адрес шлюза 192.168.10.1
Внутри, на компе с адресом 192.168.10.4 поднимаю openvpn, делаю редирект 
порта 1194 со шлюза на него. В конфиге openvpn в том числе указываю push 
route 192.168.10.0 255.255.255.0 , на этом компе net/ipv4/ipforward=1, 
 iptables - везде accept.


Клиенты снаружи замечательно конектятся на openvpn сервер, получают в 
таблицу роутинга
192.168.10.0 10.10.0.5   255.255.255.0   UG0  00 
tun0

10.10.0.5   0.0.0.0 255.255.255.255 UH0  00 tun0
где 10.10.0.5 адрес openvpn сервера на tun интерфейсе.

Вобщем выглядит все благополучно, однако, клиент не получает доступа к 
другим машинам локальной сети , например telnet 192.168.10.3 с клиента 
подключенного к openvpn не проходит,а с самого сервера openvpn проходит.


Что я забыл сделать?

Ранее я openvpn на шлюзе поднимал, и все работало, а сейчас на шлюзе 
невозможно.



inline: 1.svg

Re: openvpn роутинг

2008-05-03 Пенетрантность Igor Kozlov 
3 мая 2008 г. 18:24 пользователь apm написал:
 Наблюдаю странную вещь, может  недопонимаю чего то, подскажите.
  Есть такая схема:
  Есть локальная сеть, через шлюз подключенная к интернету.
  Внутри в локалки сеть 192.168.10.0, внутренний адрес шлюза 192.168.10.1
  Внутри, на компе с адресом 192.168.10.4 поднимаю openvpn, делаю редирект
 порта 1194 со шлюза на него. В конфиге openvpn в том числе указываю push
 route 192.168.10.0 255.255.255.0 , на этом компе net/ipv4/ipforward=1,
 iptables - везде accept.

  Клиенты снаружи замечательно конектятся на openvpn сервер, получают в
 таблицу роутинга
  192.168.10.0 10.10.0.5   255.255.255.0   UG0  00
 tun0
  10.10.0.5   0.0.0.0 255.255.255.255 UH0  00
 tun0
  где 10.10.0.5 адрес openvpn сервера на tun интерфейсе.

  Вобщем выглядит все благополучно, однако, клиент не получает доступа к
 другим машинам локальной сети , например telnet 192.168.10.3 с клиента
 подключенного к openvpn не проходит,а с самого сервера openvpn проходит.

  Что я забыл сделать?

  Ранее я openvpn на шлюзе поднимал, и все работало, а сейчас на шлюзе
 невозможно.

На шлюзе(192.168.10.1) сделать роутинг на сетку 10.10.0.0