Molnár István írta: >> >> Installáltam a fentit és egy érthetetlen jelenséggel találkoztam. >> >> A felállás egyszerű. Van egy hálózat 10.0.0.0/8 egy tűzfal 10.0.0.1 (ez >> a default gw a hálózaton)és ehhez szeretnék kintről csatlakozni. A >> csatlakoztatandó gép kis router mögött van ami a 192.168.2.0/24 címet >> adja befelé (ennek szinte biztos, hogy nincs jelentősége, de ezért nem >> lehet a 192.168.0.0/16 hálót használni vpn-nek, mert lehet rá számítani, >> hogy a roadwarrioraimnak lesz ilyen címe) >> >> Az openvpn simán felment, mindenféle kulcsok generálva, elindulás után >> van is tap interface. >> A kliens telepítése után a kapcsolat gyönyörűen felépült. (A kliens win, >> de szerintem ennek sincs sok jelentősége.) >> A gond ott kezdődik, hogy ha a vpnnek a 172.16.17.0/24 címet adom meg >> > Ha a VPN szervernek (gondolom a szerver direktívával) a 172.16.17.0/24 > címet adod akkor annak a 10.0.0.0/8 hálózatba routolni kell: > push "route 10.0.0.0 255.0.0.0"
Ezt megadtam. >> sem mukkan. Azaz a kliens által kapott ip címet lehet pingelni, de a >> gateway-t már nem. A linux oldalon a tun interface-en nem érkezik semmi. >> >> Most jön ami nekem kissé misztikus. >> Ha a vpn a 10.128.0.0/24 címtartományt kapja akkor lehet pingelni a >> 10.0.0.1-et (a vpn linux vége - a tun interface-en jönnek-mennek a >> pingek), de a 10.128.0.5 címet nem, holott a openvpn statusaban az van, >> hogy ő volt a dhcp szerver akitől kapta az ip címet. >> > Ebből egy szót se értek Arról van szó, hogy cserélgettem az ip tartományt a szerveren a server directiva után. A logikus és jó lehetőség (a 172.16...) semmiféle életjelet nem mutat a kevésbé logikus, azaz amikor a 10.0.0.0-ból csípek le egy subnetet félig halott (Ha minden úgy menne, ahogy a nagy könyvben meg van írva a 172.16.... menne ez meg nem igazán). >> Persze a hálózat többi gépe nem pingelhető, mert azok ha meg is jönne a >> csomag akkor is azt hinnék, hogy a 10.128.0.0/24 az ő hálózatukon van és >> nem küldik a 10.0.0.1-nek. (Proxyarphoz nincs kedvem.) >> > Én ebből szintén routolásra következtetek Én is valószínű proyxarppal meg lehetne oldani, de nem lelkesedek érte mert csúf gányolásnak tűnik. Inkább szeretnék rájönni a gond okára, hogy miért nem megy a 172.16... hálóval. >> A különös az, hogy meg sem jelenik a 10.0.0.10 echo-requestje a tun >> interface-en. >> >> Az ideális az lenne, hogy a 172.16.17.0/24 legyen a vpn ip tartomány, de >> az még ennyire sem csinál semmit. >> >> Mit felejtettem ki? Minden ötletet szívesen fogadok. >> >> > Ezeket nézd meg: > 1. a szerver és a kliens konfigjában is "dev tun" van-e igen > 2. mind a szerver mind a kliens ugyan azt a protokollt használja-e proto > udp / proto tcp igen > 3. Ha az udp protokoll nem megy ez időnként előfordul (főként BSD-s > severeken) próbáld a tcp-t Erre nem gondoltam, de sajnos a kipróbáláskor nem segített. > 4. nézd meg, hogy a local direktívát még véletlenül se használd, se a > szerveren, se a klienseken Nem használtam. > 5. a comp-lzo direktíva, azonosan (szerver / kliens) legyen, vagy ne legyen Mindkettőn van. Valami routolási gond lesz, csak azt furcsállom, hogy a tun interface-en a linux oldalon nem jelenik meg a forgalom. _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
