El 19 de abril de 2018, 20:52, OddieX<odd...@gmail.com> escribió: > El día 13 de abril de 2018, 16:37, Cristian Mitchell > <mitchell6...@gmail.com> escribió: > > > > > > El 13 de abril de 2018, 14:22, OddieX<odd...@gmail.com> escribió: > >> > >> El día 13 de abril de 2018, 4:32, Ramses <ramses.sevi...@gmail.com> > >> escribió: > >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell > >> > <mitchell6...@gmail.com> escribió: > >> >>El 12 de abril de 2018, 22:17, OddieX<odd...@gmail.com> escribió: > >> >> > >> >>> Cristian gracias por contestar! > >> >>> > >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que > >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a > >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no... > >> >>> > >> >>> La VPN la establezco contra otro equipo de la misma RED que es el > >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le > >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema de > >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED > CON > >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de > >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo > >> >>> dentro! > >> >>> > >> >>> Por eso es algo muy raro!!! > >> >>> > >> >>> > >> >>> > >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell > >> >>> <mitchell6...@gmail.com> escribió: > >> >>> > > >> >>> > > >> >>> > El 12 de abril de 2018, 21:06, OddieX<odd...@gmail.com> escribió: > >> >>> >> > >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton > >> >><cxescal...@gmail.com> > >> >>> >> escribió: > >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que > >> >>mencionas???. > >> >>> >> > > >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en openvpn. > >> >>> >> > > >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX > >> >><odd...@gmail.com> > >> >>> >> > escribió: > >> >>> >> >> > >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya > le > >> >>ha > >> >>> >> >> pasado y pueda decirme como solucionarlo: > >> >>> >> >> > >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8. > >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como > >> >>"xenbr2" > >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces: > >> >>> >> >> > >> >>> >> >> allow-hotplug eno49 > >> >>> >> >> iface eno49 inet manual > >> >>> >> >> > >> >>> >> >> auto xenbr2 > >> >>> >> >> iface xenbr2 inet static > >> >>> >> >> bridge_ports eno49 > >> >>> >> >> bridge_stp off > >> >>> >> >> address 192.168.0.6 > >> >>> >> >> netmask 255.255.255.0 > >> >>> >> >> gateway 192.168.0.249 > >> >>> >> >> dns-nameservers 192.168.0.249 > >> >>> >> >> > >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder > >> >>tranquilamente, > >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y > salen > >> >>sin > >> >>> >> >> problemas... > >> >>> > > >> >>> > > >> >>> > hasta donde, red local y/o internet > >> >>> > > >> >>> >> > >> >>> >> >> > >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde > >> >>afuera a > >> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni > >> >>con un > >> >>> > > >> >>> > servidor o virtual? > >> >>> > siendo virtual que configuracion ip tiene > >> >>> > > >> >>> >> > >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del > >> >>firewall y > >> >>> no > >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la > >> >>interfaz > >> >>> >> >> normal con IP si puedo llegar desde la VPN! > >> >>> >> >> > >> >>> > > >> >>> > > >> >>> > para probar en foema segura desabilita el firewall para las prueba > >> >>> > la vpn la estas armando desde maquina a maquina o de una maquina a > >> >>una > >> >>> > virtual > >> >>> > la maquina remota es local o esta fuera > >> >>> > si esta fuera el router donde redirecciona los puertos de la VPN > >> >>> > > >> >>> >> > >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, > o > >> >>hace > >> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en > 3 > >> >>> >> >> maquinas distintas con diferentes versiones de Debian! > >> >>> >> >> > >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar! > >> >>> >> >> > >> >>> >> > > >> >>> >> > >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo > >> >>acceso a > >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge de > >> >>la > >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo > >> >>> >> acceder! > >> >>> >> > >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe > >> >>> >> varias opciones y nada! > >> >>> >> > >> >>> > > >> >>> > El bridge y el ruteo son capas diferentes > >> >>> > > >> >>> > 192.168.0.6 es la ip del host? > >> >>> > y supongo que cualquier virtual tiene una ip tipo ej > (192.168.0.10) > >> >>> > desde un equipo diferente > >> >>> > podes pinguear a la 6 y a la 10? > >> >>> > cual es puerta de enlace de las virtuales > >> >>> > > >> >>> > > >> >>> > -- > >> >>> > MrIX > >> >>> > Linux user number 412793. > >> >>> > http://counter.li.org/ > >> >>> > > >> >>> > las grandes obras, > >> >>> > las sueñan los santos locos, > >> >>> > las realizan los luchadores natos, > >> >>> > las aprovechan los felices cuerdo, > >> >>> > y las critican los inútiles crónicos, > >> >>> > > >> >>> > >> >>> > >> >>pinguea desde las virtuales e intentea conectarte con ssh > >> >> > >> >>y si no anda proba las sigueinte opciones > >> >>bridge_fd 0 y 5 > >> >>bridgeg_maxwait 0 y 5 > >> >> > >> >>puede se el tiempo de activacion del bridgeg > >> > > >> > OddieX, TCPDump puede ser tu amigo... > >> > > >> > > >> > Saludos, > >> > > >> > Ramses > >> > > >> > >> > >> > >> Cristian, desde las virtuales tambien funciona el SSH, funciona de > >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN > >> anda perfecto con todos los equipos de la red! Solo con la que tienen > >> bridge configurados no funciona! > >> > >> > >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la > >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del > >> bridge no llega! > >> > >> # tcpdump -vvv "dst port 22" -i eno50 > >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size > >> 262144 bytes > >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF], > >> proto TCP (6), length 52) > >> 10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum > >> 0x270c (correct), seq 903102505, win 8192, options [mss > >> 1368,nop,wscale 2,nop,nop,sackOK], length 0 > >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF], > >> proto TCP (6), length 52) > >> 10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum > >> 0x270c (correct), seq 903102505, win 8192, options [mss > >> 1368,nop,wscale 2,nop,nop,sackOK], length 0 > >> 2 packets captured > >> 2 packets received by filter > >> 0 packets dropped by kernel > >> > >> > >> > >> # tcpdump -vvv "dst port 22" -i xenbr2 > >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture > >> size 262144 bytes > >> 0 packets captured > >> 0 packets received by filter > >> 0 packets dropped by kernel > >> > >> Es por eso que estoy seguro que el problema esta en el brctrl al crear > >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo > >> descubrir cual es el problema! > >> > >> Gracias por la ayuda! > >> > > > > Como tenes configurado el openvpn? > > recien acabo de resolver un problema muy pareciodo con ipsec en un > equipo > > propietario > > y el problema era de unas tablas de ruteo > > > > -- > > MrIX > > Linux user number 412793. > > http://counter.li.org/ > > > > las grandes obras, > > las sueñan los santos locos, > > las realizan los luchadores natos, > > las aprovechan los felices cuerdo, > > y las critican los inútiles crónicos, > > > > > Config de OpenVPN Server: > > dev tun > persist-key > persist-tun > port 1194 > proto udp > keepalive 10 120 > comp-lzo > ping-restart 0 > client-to-client > keepalive 10 120 > server 10.21.0.0 255.255.0.0 > ifconfig 10.21.0.1 255.255.0.0 > > # Chequeo de usuarios contra el ldap > script-security 2 > plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf > username-as-common-name > auth-user-pass-verify auth/auth.pl via-env > > > # Certificados > ca /etc/openvpn/keys/ca.crt > cert /etc/openvpn/keys/server.crt > key /etc/openvpn/keys/server.key > dh /etc/openvpn/keys/dh4096.pem > > > explicit-exit-notify 1 > > tls-crypt /etc/openvpn/keys/ta.key > auth SHA512 # This needs to be in client.ovpn too though. > tls-version-min 1.2 > tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES- > 256-CBC-SHA256 > ncp-ciphers AES-256-GCM:AES-256-CBC > > # Asignacion de IP y rutas > client-config-dir /etc/openvpn/ccd > > # Logging options. > ifconfig-pool-persist ipp.txt > status /var/log/openvpn/openvpn-status.log > log /var/log/openvpn/openvpn.log > verb 4 > > > > Config de OpenVPN cliente (Sin los certificados): > > dev tun > persist-key > persist-tun > proto udp > float > route-method exe > route-delay 2 > resolv-retry infinite > nobind > remote-cert-tls server > auth SHA512 > verb 3 > remote 200.XXX.XXX.XXX 1192 > comp-lzo > > > Pero sabes que el problema me parece que es en shorewall? El tema es > que le meti a todo info y no esta bloqueando nada! Pero me sigue > pareciendo raro, porque resulta ser que si saco el bridge, puedo > acceder a la eth0 por ejemplo, con el bridge no... >
Oddiex no respndas a mi privado por favor la respuesta es si a que cualquier coneccion cuando se levanta y tienen acceso a otra red levanta tablas de ruteo ahora proba lo siguiente con cada una de las dos configuraciones del bridge y cada una con la vpn corrindo y no ip -r y vemos que pasa en cada una de las configuraciones lo que te puede estar pasando es la prioridad de las tablas de ruteo -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos,