Re: OpenVPN no enruta

2013-07-18 Conversa XaviP 
En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un
enmascarament al client perque els paquets sabèssin tornar:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

I també, al router d'internet, vaig haver de incloure una route pel rang
de la vpn cap al server.

Però no sé si és d'ajuda en el teu cas.
Sort i salutacions!

 
El dj 18 de 07 de 2013 a les 00:33 +0200, en/na Adrià va escriure:
 Hola,
 
 estic muntant una VPN entre un OpenVPN i un client Android i
 s'estableix però no m'enruta el tràfic (la idea és que tot el tràfic
 de l'Android passi per la VPN quan aquesta estigui aixecada).
 
 Deixo alguns resultats:
 
 // Android
 android:/ $ ip a show dev tun0
 19: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc
 pfifo_fast state UNKNOWN qlen 500
 link/none
 inet 192.168.2.6 peer 192.168.2.5/32 scope global tun0
 
 android:/ $ ip route
 0.0.0.0/1 via 192.168.2.5 dev tun0
 default via 192.168.1.2 dev wlan0
 default via 192.168.1.2 dev wlan0  metric 207
 128.0.0.0/1 via 192.168.2.5 dev tun0
 IP_PUBLICA_OPENVPN via 192.168.1.2 dev wlan0
 192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.12
 metric 207
 192.168.1.2 dev wlan0  scope link
 192.168.2.1 via 192.168.2.5 dev tun0
 192.168.2.5 dev tun0  proto kernel  scope link  src 192.168.2.6
 
 android:/ $ ping 192.168.2.1
 PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=245 ms
 ^C
 
 android:/ # traceroute www.google.com
 traceroute to www.google.com (173.194.41.211), 30 hops max, 38 byte
 packets
 1  192.168.2.1 (192.168.2.1)  244.389 ms  167.659 ms  103.826 ms
 2^C
 
 A la banda del servidor, en primer lloc deshabilito iptables per
 evitar que en pugui ser el causant:
 
 servidor:/# iptables -L 
 Chain INPUT (policy ACCEPT)
 target prot opt source   destination 
 
 Chain FORWARD (policy ACCEPT)
 target prot opt source   destination 
 
 Chain OUTPUT (policy ACCEPT)
 target prot opt source   destination
 
 servidor:/# ip a show dev tun0
 16: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc
 pfifo_fast state UNKNOWN qlen 100
 link/none 
 inet 192.168.2.1 peer 192.168.2.2/32 scope global tun0
 
 servidor:/# route
 Kernel IP routing table
 Destination Gateway Genmask Flags Metric Ref
 Use Iface
 default IP_PUBLICA_SERVIDOR  0.0.0.0 UG0  0
 0 eth0
 XARXA_PUBLICA   *   NETMASK   U 0  0
 0 eth0
 192.168.2.0 192.168.2.2 255.255.255.248 UG0  0
 0 tun0
 192.168.2.2 *   255.255.255.255 UH0  0
 0 tun0
 
 Penso que el problema està en el servidor, que no enruta.
 Deixo les línies més rellevants del server.conf:
 
 proto tcp
 dev tun
 
 ca ca.crt
 cert xxx.crt
 key xxx.key
 dh dh1024.pem
 
 server 192.168.2.0 255.255.255.248
 
 ifconfig-pool-persist ipp.txt
 
 push redirect-gateway def1 bypass-dhcp
 
 keepalive 10 120
 
 comp-lzo
 
 persist-key
 persist-tun
 
 Després de tota aquesta parrafada, algú té alguna idea o suggeriment?
 
 Gràcies per avançat.



-- 
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1374129876.4292.4.camel@hakuna

Re: OpenVPN no enruta

2013-07-18 Conversa Adrià 
On Thu, Jul 18, 2013 at 08:44:36AM +0200, XaviP wrote:
 En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un
 enmascarament al client perque els paquets sabèssin tornar:
 
 iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
 
 I també, al router d'internet, vaig haver de incloure una route pel rang
 de la vpn cap al server.
 
 Però no sé si és d'ajuda en el teu cas.
 Sort i salutacions!

Gràcies per la resposta. No m'havia fixat que l'Android té habilitat
l'iptables; provaré a desactivar-lo/afegir aquesta regla que comentes.

De totes maneres, entenc que al servidor l'enrutament hauria de
funcionar, no?

servidor:/# traceroute www.google.com -i tun0
traceroute to www.google.com (173.194.34.20), 30 hops max, 60 byte
packets
 1  * * *
 2  * * *
 3  ^C

D'altra banda, se m'havia oblidat comentar-ho, però:

servidor:/# cat /proc/sys/net/ipv4/ip_forward 
1

Gràcies!

-- 
Adrià García-Alzórriz
ad...@fsfe.org
GPG Key: 09494C14

A computer salesman visits a company president for the purpose of selling
the president one of the latest talking computers.
Salesman:   This machine knows everything. I can ask it any question
and it'll give the correct answer.  Computer, what is the
speed of light?
Computer:   186,282 miles per second.
Salesman:   Who was the first president of the United States?
Computer:   George Washington.
President:  I'm still not convinced. Let me ask a question.
Where is my father?
Computer:   Your father is fishing in Georgia.
President:  Hah!! The computer is wrong. My father died over twenty
years ago!
Computer:   Your mother's husband died 22 years ago. Your father just
landed a twelve pound bass.


signature.asc
Description: Digital signature

Re: OpenVPN no enruta

2013-07-18 Conversa XaviP 
Crec que també et podria ser util debugejar amb tcpdump al server.
Salut!


El dj 18 de 07 de 2013 a les 09:11 +0200, en/na Adrià va escriure:
 On Thu, Jul 18, 2013 at 08:44:36AM +0200, XaviP wrote:
  En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un
  enmascarament al client perque els paquets sabèssin tornar:
  
  iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
  
  I també, al router d'internet, vaig haver de incloure una route pel rang
  de la vpn cap al server.
  
  Però no sé si és d'ajuda en el teu cas.
  Sort i salutacions!
 
 Gràcies per la resposta. No m'havia fixat que l'Android té habilitat
 l'iptables; provaré a desactivar-lo/afegir aquesta regla que comentes.
 
 De totes maneres, entenc que al servidor l'enrutament hauria de
 funcionar, no?
 
 servidor:/# traceroute www.google.com -i tun0
 traceroute to www.google.com (173.194.34.20), 30 hops max, 60 byte
 packets
  1  * * *
  2  * * *
  3  ^C
 
 D'altra banda, se m'havia oblidat comentar-ho, però:
 
 servidor:/# cat /proc/sys/net/ipv4/ip_forward 
 1
 
 Gràcies!
 



-- 
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1374145058.4314.2.camel@hakuna

Re: OpenVPN no enruta

2013-07-18 Conversa tictacbum 
prova fent el masquerade al servidor

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

però tal com diu XaviP t'aniria molt bé mirar que passa al servidor amb
tcpdump


El dia 18 de juliol de 2013 12.57, XaviP pezba...@riseup.net ha escrit:

 Crec que també et podria ser util debugejar amb tcpdump al server.
 Salut!


 El dj 18 de 07 de 2013 a les 09:11 +0200, en/na Adrià va escriure:
  On Thu, Jul 18, 2013 at 08:44:36AM +0200, XaviP wrote:
   En una openvpn semblant, amb openwrt al client, vaig haver d'incloure
 un
   enmascarament al client perque els paquets sabèssin tornar:
  
   iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
  
   I també, al router d'internet, vaig haver de incloure una route pel
 rang
   de la vpn cap al server.
  
   Però no sé si és d'ajuda en el teu cas.
   Sort i salutacions!
 
  Gràcies per la resposta. No m'havia fixat que l'Android té habilitat
  l'iptables; provaré a desactivar-lo/afegir aquesta regla que comentes.
 
  De totes maneres, entenc que al servidor l'enrutament hauria de
  funcionar, no?
 
  servidor:/# traceroute www.google.com -i tun0
  traceroute to www.google.com (173.194.34.20), 30 hops max, 60 byte
  packets
   1  * * *
   2  * * *
   3  ^C
 
  D'altra banda, se m'havia oblidat comentar-ho, però:
 
  servidor:/# cat /proc/sys/net/ipv4/ip_forward
  1
 
  Gràcies!
 



 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/1374145058.4314.2.camel@hakuna

Re: OpenVPN no enruta

2013-07-18 Conversa Peplluis 
Benvolguts,

potser és una qüestió molt bàsica, i no voldria ofendre ningú, però...
ja has habilitat el trànsit IP a través del servidor OpenVPN?

fes-hi un 'cat /proc/sys/net/ipv4/ip_forward'.

Si torna 0 és que no ho has activat!

Salutacions.

 
Al 18/07/13 00:33, En/na Adrià ha escrit:
 Hola,

 estic muntant una VPN entre un OpenVPN i un client Android i
 s'estableix però no m'enruta el tràfic (la idea és que tot el tràfic
 de l'Android passi per la VPN quan aquesta estigui aixecada).

 Deixo alguns resultats:

 // Android
 android:/ $ ip a show dev tun0
 19: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc
 pfifo_fast state UNKNOWN qlen 500
 link/none
 inet 192.168.2.6 peer 192.168.2.5/32 scope global tun0

 android:/ $ ip route
 0.0.0.0/1 via 192.168.2.5 dev tun0
 default via 192.168.1.2 dev wlan0
 default via 192.168.1.2 dev wlan0  metric 207
 128.0.0.0/1 via 192.168.2.5 dev tun0
 IP_PUBLICA_OPENVPN via 192.168.1.2 dev wlan0
 192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.12
 metric 207
 192.168.1.2 dev wlan0  scope link
 192.168.2.1 via 192.168.2.5 dev tun0
 192.168.2.5 dev tun0  proto kernel  scope link  src 192.168.2.6

 android:/ $ ping 192.168.2.1
 PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=245 ms
 ^C

 android:/ # traceroute www.google.com
 traceroute to www.google.com (173.194.41.211), 30 hops max, 38 byte
 packets
 1  192.168.2.1 (192.168.2.1)  244.389 ms  167.659 ms  103.826 ms
 2^C

 A la banda del servidor, en primer lloc deshabilito iptables per
 evitar que en pugui ser el causant:

 servidor:/# iptables -L 
 Chain INPUT (policy ACCEPT)
 target prot opt source   destination 

 Chain FORWARD (policy ACCEPT)
 target prot opt source   destination 

 Chain OUTPUT (policy ACCEPT)
 target prot opt source   destination

 servidor:/# ip a show dev tun0
 16: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc
 pfifo_fast state UNKNOWN qlen 100
 link/none 
 inet 192.168.2.1 peer 192.168.2.2/32 scope global tun0

 servidor:/# route
 Kernel IP routing table
 Destination Gateway Genmask Flags Metric Ref
 Use Iface
 default IP_PUBLICA_SERVIDOR  0.0.0.0 UG0  0
 0 eth0
 XARXA_PUBLICA   *   NETMASK   U 0  0
 0 eth0
 192.168.2.0 192.168.2.2 255.255.255.248 UG0  0
 0 tun0
 192.168.2.2 *   255.255.255.255 UH0  0
 0 tun0

 Penso que el problema està en el servidor, que no enruta.
 Deixo les línies més rellevants del server.conf:

 proto tcp
 dev tun

 ca ca.crt
 cert xxx.crt
 key xxx.key
 dh dh1024.pem

 server 192.168.2.0 255.255.255.248

 ifconfig-pool-persist ipp.txt

 push redirect-gateway def1 bypass-dhcp

 keepalive 10 120

 comp-lzo

 persist-key
 persist-tun

 Després de tota aquesta parrafada, algú té alguna idea o suggeriment?

 Gràcies per avançat.



--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e80c3d.9010...@xicra.com

[SOLUCIONAT] Re: OpenVPN no enruta

2013-07-18 Conversa Adrià 
On Thu, Jul 18, 2013 at 04:33:27PM +0200, tictacbum wrote:
prova fent el masquerade al servidor
 
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Aquesta és la mare dels ous. Afegint únicament això al servidor ja
m'ha funcionat :-)

Tenia una regla similar al iptables, i ni deshabilitant-lo em
funcionava. Afegint després aquesta regla únicament ja ha començat a
funcionar tot, així que ara ja acabaré d'afinar el firewall i a per
una altra cosa!

pero tal com diu XaviP t'aniria molt be mirar que passa al servidor amb
tcpdump
 

Sí, tantes proves que he fet i una de les més bàsiques se m'ha passat
per alt :-/

En tot cas, gràcies a totes les respostes rebudes.

-- 
Adrià García-Alzórriz
ad...@fsfe.org
GPG Key: 09494C14

Una celebridad es una persona que ha pasado toda su vida tratando de
llegar a famoso y cuando lo consigue, usa gafas negras para que nadie lo
reconozca.
-- Woody Allen. (1935-) Actor, director y escritor
estadounidense. 


signature.asc
Description: Digital signature