El vie., 20 de abr. de 2018 09:05, Cristian Mitchell <mitchell6...@gmail.com> escribió:
> > > El vie., 20 de abr. de 2018 6:56 AM, OddieX <odd...@gmail.com> escribió: > >> El día 19 de abril de 2018, 22:25, Cristian Mitchell >> <mitchell6...@gmail.com> escribió: >> > >> > >> > El 19 de abril de 2018, 20:52, OddieX<odd...@gmail.com> escribió: >> >> >> >> El día 13 de abril de 2018, 16:37, Cristian Mitchell >> >> <mitchell6...@gmail.com> escribió: >> >> > >> >> > >> >> > El 13 de abril de 2018, 14:22, OddieX<odd...@gmail.com> escribió: >> >> >> >> >> >> El día 13 de abril de 2018, 4:32, Ramses <ramses.sevi...@gmail.com> >> >> >> escribió: >> >> >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell >> >> >> > <mitchell6...@gmail.com> escribió: >> >> >> >>El 12 de abril de 2018, 22:17, OddieX<odd...@gmail.com> escribió: >> >> >> >> >> >> >> >>> Cristian gracias por contestar! >> >> >> >>> >> >> >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que >> >> >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios >> equipos >> >> >> >>> a >> >> >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no... >> >> >> >>> >> >> >> >>> La VPN la establezco contra otro equipo de la misma RED que es >> el >> >> >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall >> le >> >> >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto >> problema >> >> >> >>> de >> >> >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE >> RED >> >> >> >>> CON >> >> >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de >> >> >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo >> >> >> >>> dentro! >> >> >> >>> >> >> >> >>> Por eso es algo muy raro!!! >> >> >> >>> >> >> >> >>> >> >> >> >>> >> >> >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell >> >> >> >>> <mitchell6...@gmail.com> escribió: >> >> >> >>> > >> >> >> >>> > >> >> >> >>> > El 12 de abril de 2018, 21:06, OddieX<odd...@gmail.com> >> escribió: >> >> >> >>> >> >> >> >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton >> >> >> >><cxescal...@gmail.com> >> >> >> >>> >> escribió: >> >> >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que >> >> >> >>mencionas???. >> >> >> >>> >> > >> >> >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en >> >> >> >>> >> > openvpn. >> >> >> >>> >> > >> >> >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX >> >> >> >><odd...@gmail.com> >> >> >> >>> >> > escribió: >> >> >> >>> >> >> >> >> >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien >> ya >> >> >> >>> >> >> le >> >> >> >>ha >> >> >> >>> >> >> pasado y pueda decirme como solucionarlo: >> >> >> >>> >> >> >> >> >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8. >> >> >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como >> >> >> >>"xenbr2" >> >> >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces: >> >> >> >>> >> >> >> >> >> >>> >> >> allow-hotplug eno49 >> >> >> >>> >> >> iface eno49 inet manual >> >> >> >>> >> >> >> >> >> >>> >> >> auto xenbr2 >> >> >> >>> >> >> iface xenbr2 inet static >> >> >> >>> >> >> bridge_ports eno49 >> >> >> >>> >> >> bridge_stp off >> >> >> >>> >> >> address 192.168.0.6 >> >> >> >>> >> >> netmask 255.255.255.0 >> >> >> >>> >> >> gateway 192.168.0.249 >> >> >> >>> >> >> dns-nameservers 192.168.0.249 >> >> >> >>> >> >> >> >> >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder >> >> >> >>tranquilamente, >> >> >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y >> >> >> >>> >> >> salen >> >> >> >>sin >> >> >> >>> >> >> problemas... >> >> >> >>> > >> >> >> >>> > >> >> >> >>> > hasta donde, red local y/o internet >> >> >> >>> > >> >> >> >>> >> >> >> >> >>> >> >> >> >> >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN >> desde >> >> >> >>afuera a >> >> >> >>> >> >> un servidor que esta en la LAN, y no llego a esa >> interfaz! Ni >> >> >> >>con un >> >> >> >>> > >> >> >> >>> > servidor o virtual? >> >> >> >>> > siendo virtual que configuracion ip tiene >> >> >> >>> > >> >> >> >>> >> >> >> >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del >> >> >> >>firewall y >> >> >> >>> no >> >> >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo >> la >> >> >> >>interfaz >> >> >> >>> >> >> normal con IP si puedo llegar desde la VPN! >> >> >> >>> >> >> >> >> >> >>> > >> >> >> >>> > >> >> >> >>> > para probar en foema segura desabilita el firewall para las >> >> >> >>> > prueba >> >> >> >>> > la vpn la estas armando desde maquina a maquina o de una >> maquina >> >> >> >>> > a >> >> >> >>una >> >> >> >>> > virtual >> >> >> >>> > la maquina remota es local o esta fuera >> >> >> >>> > si esta fuera el router donde redirecciona los puertos de la >> VPN >> >> >> >>> > >> >> >> >>> >> >> >> >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de >> ruteo, >> >> >> >>> >> >> o >> >> >> >>hace >> >> >> >>> >> >> alguna cosa extraña que me provoque este problema? Me >> pasa en >> >> >> >>> >> >> 3 >> >> >> >>> >> >> maquinas distintas con diferentes versiones de Debian! >> >> >> >>> >> >> >> >> >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar! >> >> >> >>> >> >> >> >> >> >>> >> > >> >> >> >>> >> >> >> >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo >> >> >> >>acceso a >> >> >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el >> Bridge >> >> >> >>> >> de >> >> >> >>la >> >> >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si >> puedo >> >> >> >>> >> acceder! >> >> >> >>> >> >> >> >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate >> probe >> >> >> >>> >> varias opciones y nada! >> >> >> >>> >> >> >> >> >>> > >> >> >> >>> > El bridge y el ruteo son capas diferentes >> >> >> >>> > >> >> >> >>> > 192.168.0.6 es la ip del host? >> >> >> >>> > y supongo que cualquier virtual tiene una ip tipo ej >> >> >> >>> > (192.168.0.10) >> >> >> >>> > desde un equipo diferente >> >> >> >>> > podes pinguear a la 6 y a la 10? >> >> >> >>> > cual es puerta de enlace de las virtuales >> >> >> >>> > >> >> >> >>> > >> >> >> >>> > -- >> >> >> >>> > MrIX >> >> >> >>> > Linux user number 412793. >> >> >> >>> > http://counter.li.org/ >> >> >> >>> > >> >> >> >>> > las grandes obras, >> >> >> >>> > las sueñan los santos locos, >> >> >> >>> > las realizan los luchadores natos, >> >> >> >>> > las aprovechan los felices cuerdo, >> >> >> >>> > y las critican los inútiles crónicos, >> >> >> >>> > >> >> >> >>> >> >> >> >>> >> >> >> >>pinguea desde las virtuales e intentea conectarte con ssh >> >> >> >> >> >> >> >>y si no anda proba las sigueinte opciones >> >> >> >>bridge_fd 0 y 5 >> >> >> >>bridgeg_maxwait 0 y 5 >> >> >> >> >> >> >> >>puede se el tiempo de activacion del bridgeg >> >> >> > >> >> >> > OddieX, TCPDump puede ser tu amigo... >> >> >> > >> >> >> > >> >> >> > Saludos, >> >> >> > >> >> >> > Ramses >> >> >> > >> >> >> >> >> >> >> >> >> >> >> >> Cristian, desde las virtuales tambien funciona el SSH, funciona de >> >> >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN >> >> >> anda perfecto con todos los equipos de la red! Solo con la que >> tienen >> >> >> bridge configurados no funciona! >> >> >> >> >> >> >> >> >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la >> >> >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del >> >> >> bridge no llega! >> >> >> >> >> >> # tcpdump -vvv "dst port 22" -i eno50 >> >> >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture >> size >> >> >> 262144 bytes >> >> >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags >> [DF], >> >> >> proto TCP (6), length 52) >> >> >> 10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum >> >> >> 0x270c (correct), seq 903102505, win 8192, options [mss >> >> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0 >> >> >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags >> [DF], >> >> >> proto TCP (6), length 52) >> >> >> 10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum >> >> >> 0x270c (correct), seq 903102505, win 8192, options [mss >> >> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0 >> >> >> 2 packets captured >> >> >> 2 packets received by filter >> >> >> 0 packets dropped by kernel >> >> >> >> >> >> >> >> >> >> >> >> # tcpdump -vvv "dst port 22" -i xenbr2 >> >> >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture >> >> >> size 262144 bytes >> >> >> 0 packets captured >> >> >> 0 packets received by filter >> >> >> 0 packets dropped by kernel >> >> >> >> >> >> Es por eso que estoy seguro que el problema esta en el brctrl al >> crear >> >> >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo >> >> >> descubrir cual es el problema! >> >> >> >> >> >> Gracias por la ayuda! >> >> >> >> >> > >> >> > Como tenes configurado el openvpn? >> >> > recien acabo de resolver un problema muy pareciodo con ipsec en un >> >> > equipo >> >> > propietario >> >> > y el problema era de unas tablas de ruteo >> >> > >> >> > -- >> >> > MrIX >> >> > Linux user number 412793. >> >> > http://counter.li.org/ >> >> > >> >> > las grandes obras, >> >> > las sueñan los santos locos, >> >> > las realizan los luchadores natos, >> >> > las aprovechan los felices cuerdo, >> >> > y las critican los inútiles crónicos, >> >> > >> >> >> >> >> >> Config de OpenVPN Server: >> >> >> >> dev tun >> >> persist-key >> >> persist-tun >> >> port 1194 >> >> proto udp >> >> keepalive 10 120 >> >> comp-lzo >> >> ping-restart 0 >> >> client-to-client >> >> keepalive 10 120 >> >> server 10.21.0.0 255.255.0.0 >> >> ifconfig 10.21.0.1 255.255.0.0 >> >> >> >> # Chequeo de usuarios contra el ldap >> >> script-security 2 >> >> plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf >> >> username-as-common-name >> >> auth-user-pass-verify auth/auth.pl via-env >> >> >> >> >> >> # Certificados >> >> ca /etc/openvpn/keys/ca.crt >> >> cert /etc/openvpn/keys/server.crt >> >> key /etc/openvpn/keys/server.key >> >> dh /etc/openvpn/keys/dh4096.pem >> >> >> >> >> >> explicit-exit-notify 1 >> >> >> >> tls-crypt /etc/openvpn/keys/ta.key >> >> auth SHA512 # This needs to be in client.ovpn too though. >> >> tls-version-min 1.2 >> >> tls-cipher >> >> TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 >> >> ncp-ciphers AES-256-GCM:AES-256-CBC >> >> >> >> # Asignacion de IP y rutas >> >> client-config-dir /etc/openvpn/ccd >> >> >> >> # Logging options. >> >> ifconfig-pool-persist ipp.txt >> >> status /var/log/openvpn/openvpn-status.log >> >> log /var/log/openvpn/openvpn.log >> >> verb 4 >> >> >> >> >> >> >> >> Config de OpenVPN cliente (Sin los certificados): >> >> >> >> dev tun >> >> persist-key >> >> persist-tun >> >> proto udp >> >> float >> >> route-method exe >> >> route-delay 2 >> >> resolv-retry infinite >> >> nobind >> >> remote-cert-tls server >> >> auth SHA512 >> >> verb 3 >> >> remote 200.XXX.XXX.XXX 1192 >> >> comp-lzo >> >> >> >> >> >> Pero sabes que el problema me parece que es en shorewall? El tema es >> >> que le meti a todo info y no esta bloqueando nada! Pero me sigue >> >> pareciendo raro, porque resulta ser que si saco el bridge, puedo >> >> acceder a la eth0 por ejemplo, con el bridge no... >> > >> > >> > Oddiex no respndas a mi privado por favor >> > >> > la respuesta es si a que cualquier coneccion cuando se levanta y tienen >> > acceso a otra red levanta tablas de ruteo >> > >> > ahora proba lo siguiente >> > >> > con cada una de las dos configuraciones del bridge y cada una con la vpn >> > corrindo y no >> > >> > ip -r >> > >> > y vemos que pasa en cada una de las configuraciones >> > lo que te puede estar pasando es la prioridad de las tablas de ruteo >> > >> > -- >> > MrIX >> > Linux user number 412793. >> > http://counter.li.org/ >> > >> > las grandes obras, >> > las sueñan los santos locos, >> > las realizan los luchadores natos, >> > las aprovechan los felices cuerdo, >> > y las critican los inútiles crónicos, >> > >> >> >> Sry se me chispoteo... >> >> Las rutas estan bien, de echo tengo varias subredes y todas andan joya >> y llego a todos los hosts de la red, menos a los que tienen echo un >> bridge en su interfaz... >> >> 10.10.1.0/24 dev eth3 proto kernel scope link src 10.10.1.249 >> 10.21.0.0/16 via 10.21.0.2 dev tun0 >> 10.21.0.2 dev tun0 proto kernel scope link src 10.21.0.1 >> 172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.0.253 >> 192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.249 >> 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1 >> 192.168.3.0/24 via 192.168.0.15 dev eth2 >> 192.168.4.0/24 via 192.168.0.15 dev eth2 >> 192.168.5.0/24 via 192.168.0.15 dev eth2 >> 192.168.6.0/24 via 192.168.0.15 dev eth2 >> 192.168.7.0/24 via 192.168.0.15 dev eth2 >> 192.168.8.0/24 via 192.168.0.15 dev eth2 >> 192.168.9.0/24 via 192.168.0.15 dev eth2 >> 192.168.10.0/24 via 192.168.0.10 dev eth2 >> 192.168.254.0/24 via 192.168.0.15 dev eth2 >> > > Oddix > > La configuración del primer mail, con respecto al último no condicen las > configuraciones > Nombres de placas etc > Perfon estaba y estoy bastante quemado! Puse la config sel servidor q hace de bastion el q tiebe el openvpn configurado, no del server con el problema del bridge!