Installáltam a fentit és egy érthetetlen jelenséggel találkoztam.
A felállás egyszerű. Van egy hálózat 10.0.0.0/8 egy tűzfal 10.0.0.1 (ez
a default gw a hálózaton)és ehhez szeretnék kintről csatlakozni. A
csatlakoztatandó gép kis router mögött van ami a 192.168.2.0/24 címet
adja befelé (ennek szinte biztos, hogy nincs jelentősége, de ezért nem
lehet a 192.168.0.0/16 hálót használni vpn-nek, mert lehet rá számítani,
hogy a roadwarrioraimnak lesz ilyen címe)
Az openvpn simán felment, mindenféle kulcsok generálva, elindulás után
van is tap interface.
A kliens telepítése után a kapcsolat gyönyörűen felépült. (A kliens win,
de szerintem ennek sincs sok jelentősége.)
A gond ott kezdődik, hogy ha a vpnnek a 172.16.17.0/24 címet adom meg
Ha a VPN szervernek (gondolom a szerver direktívával) a 172.16.17.0/24
címet adod akkor annak a 10.0.0.0/8 hálózatba routolni kell:
push "route 10.0.0.0 255.0.0.0"
sem mukkan. Azaz a kliens által kapott ip címet lehet pingelni, de a
gateway-t már nem. A linux oldalon a tun interface-en nem érkezik semmi.
Most jön ami nekem kissé misztikus.
Ha a vpn a 10.128.0.0/24 címtartományt kapja akkor lehet pingelni a
10.0.0.1-et (a vpn linux vége - a tun interface-en jönnek-mennek a
pingek), de a 10.128.0.5 címet nem, holott a openvpn statusaban az van,
hogy ő volt a dhcp szerver akitől kapta az ip címet.
Ebből egy szót se értek
Persze a hálózat többi gépe nem pingelhető, mert azok ha meg is jönne a
csomag akkor is azt hinnék, hogy a 10.128.0.0/24 az ő hálózatukon van és
nem küldik a 10.0.0.1-nek. (Proxyarphoz nincs kedvem.)
Én ebből szintén routolásra következtetek
A különös az, hogy meg sem jelenik a 10.0.0.10 echo-requestje a tun
interface-en.
Az ideális az lenne, hogy a 172.16.17.0/24 legyen a vpn ip tartomány, de
az még ennyire sem csinál semmit.
Mit felejtettem ki? Minden ötletet szívesen fogadok.
Ezeket nézd meg:
1. a szerver és a kliens konfigjában is "dev tun" van-e
2. mind a szerver mind a kliens ugyan azt a protokollt használja-e proto
udp / proto tcp
3. Ha az udp protokoll nem megy ez időnként előfordul (főként BSD-s
severeken) próbáld a tcp-t
4. nézd meg, hogy a local direktívát még véletlenül se használd, se a
szerveren, se a klienseken
5. a comp-lzo direktíva, azonosan (szerver / kliens) legyen, vagy ne legyen
_________________________________________________
linux lista - [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux
