Re: OpenVPN no enruta
En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un enmascarament al client perque els paquets sabèssin tornar: iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE I també, al router d'internet, vaig haver de incloure una route pel rang de la vpn cap al server. Però no sé si és d'ajuda en el teu cas. Sort i salutacions! El dj 18 de 07 de 2013 a les 00:33 +0200, en/na Adrià va escriure: Hola, estic muntant una VPN entre un OpenVPN i un client Android i s'estableix però no m'enruta el tràfic (la idea és que tot el tràfic de l'Android passi per la VPN quan aquesta estigui aixecada). Deixo alguns resultats: // Android android:/ $ ip a show dev tun0 19: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 500 link/none inet 192.168.2.6 peer 192.168.2.5/32 scope global tun0 android:/ $ ip route 0.0.0.0/1 via 192.168.2.5 dev tun0 default via 192.168.1.2 dev wlan0 default via 192.168.1.2 dev wlan0 metric 207 128.0.0.0/1 via 192.168.2.5 dev tun0 IP_PUBLICA_OPENVPN via 192.168.1.2 dev wlan0 192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.12 metric 207 192.168.1.2 dev wlan0 scope link 192.168.2.1 via 192.168.2.5 dev tun0 192.168.2.5 dev tun0 proto kernel scope link src 192.168.2.6 android:/ $ ping 192.168.2.1 PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data. 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=245 ms ^C android:/ # traceroute www.google.com traceroute to www.google.com (173.194.41.211), 30 hops max, 38 byte packets 1 192.168.2.1 (192.168.2.1) 244.389 ms 167.659 ms 103.826 ms 2^C A la banda del servidor, en primer lloc deshabilito iptables per evitar que en pugui ser el causant: servidor:/# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination servidor:/# ip a show dev tun0 16: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.2.1 peer 192.168.2.2/32 scope global tun0 servidor:/# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default IP_PUBLICA_SERVIDOR 0.0.0.0 UG0 0 0 eth0 XARXA_PUBLICA * NETMASK U 0 0 0 eth0 192.168.2.0 192.168.2.2 255.255.255.248 UG0 0 0 tun0 192.168.2.2 * 255.255.255.255 UH0 0 0 tun0 Penso que el problema està en el servidor, que no enruta. Deixo les línies més rellevants del server.conf: proto tcp dev tun ca ca.crt cert xxx.crt key xxx.key dh dh1024.pem server 192.168.2.0 255.255.255.248 ifconfig-pool-persist ipp.txt push redirect-gateway def1 bypass-dhcp keepalive 10 120 comp-lzo persist-key persist-tun Després de tota aquesta parrafada, algú té alguna idea o suggeriment? Gràcies per avançat. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1374129876.4292.4.camel@hakuna
Re: OpenVPN no enruta
On Thu, Jul 18, 2013 at 08:44:36AM +0200, XaviP wrote: En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un enmascarament al client perque els paquets sabèssin tornar: iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE I també, al router d'internet, vaig haver de incloure una route pel rang de la vpn cap al server. Però no sé si és d'ajuda en el teu cas. Sort i salutacions! Gràcies per la resposta. No m'havia fixat que l'Android té habilitat l'iptables; provaré a desactivar-lo/afegir aquesta regla que comentes. De totes maneres, entenc que al servidor l'enrutament hauria de funcionar, no? servidor:/# traceroute www.google.com -i tun0 traceroute to www.google.com (173.194.34.20), 30 hops max, 60 byte packets 1 * * * 2 * * * 3 ^C D'altra banda, se m'havia oblidat comentar-ho, però: servidor:/# cat /proc/sys/net/ipv4/ip_forward 1 Gràcies! -- Adrià García-Alzórriz ad...@fsfe.org GPG Key: 09494C14 A computer salesman visits a company president for the purpose of selling the president one of the latest talking computers. Salesman: This machine knows everything. I can ask it any question and it'll give the correct answer. Computer, what is the speed of light? Computer: 186,282 miles per second. Salesman: Who was the first president of the United States? Computer: George Washington. President: I'm still not convinced. Let me ask a question. Where is my father? Computer: Your father is fishing in Georgia. President: Hah!! The computer is wrong. My father died over twenty years ago! Computer: Your mother's husband died 22 years ago. Your father just landed a twelve pound bass. signature.asc Description: Digital signature
Re: OpenVPN no enruta
Crec que també et podria ser util debugejar amb tcpdump al server. Salut! El dj 18 de 07 de 2013 a les 09:11 +0200, en/na Adrià va escriure: On Thu, Jul 18, 2013 at 08:44:36AM +0200, XaviP wrote: En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un enmascarament al client perque els paquets sabèssin tornar: iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE I també, al router d'internet, vaig haver de incloure una route pel rang de la vpn cap al server. Però no sé si és d'ajuda en el teu cas. Sort i salutacions! Gràcies per la resposta. No m'havia fixat que l'Android té habilitat l'iptables; provaré a desactivar-lo/afegir aquesta regla que comentes. De totes maneres, entenc que al servidor l'enrutament hauria de funcionar, no? servidor:/# traceroute www.google.com -i tun0 traceroute to www.google.com (173.194.34.20), 30 hops max, 60 byte packets 1 * * * 2 * * * 3 ^C D'altra banda, se m'havia oblidat comentar-ho, però: servidor:/# cat /proc/sys/net/ipv4/ip_forward 1 Gràcies! -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1374145058.4314.2.camel@hakuna
Re: OpenVPN no enruta
prova fent el masquerade al servidor iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE però tal com diu XaviP t'aniria molt bé mirar que passa al servidor amb tcpdump El dia 18 de juliol de 2013 12.57, XaviP pezba...@riseup.net ha escrit: Crec que també et podria ser util debugejar amb tcpdump al server. Salut! El dj 18 de 07 de 2013 a les 09:11 +0200, en/na Adrià va escriure: On Thu, Jul 18, 2013 at 08:44:36AM +0200, XaviP wrote: En una openvpn semblant, amb openwrt al client, vaig haver d'incloure un enmascarament al client perque els paquets sabèssin tornar: iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE I també, al router d'internet, vaig haver de incloure una route pel rang de la vpn cap al server. Però no sé si és d'ajuda en el teu cas. Sort i salutacions! Gràcies per la resposta. No m'havia fixat que l'Android té habilitat l'iptables; provaré a desactivar-lo/afegir aquesta regla que comentes. De totes maneres, entenc que al servidor l'enrutament hauria de funcionar, no? servidor:/# traceroute www.google.com -i tun0 traceroute to www.google.com (173.194.34.20), 30 hops max, 60 byte packets 1 * * * 2 * * * 3 ^C D'altra banda, se m'havia oblidat comentar-ho, però: servidor:/# cat /proc/sys/net/ipv4/ip_forward 1 Gràcies! -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1374145058.4314.2.camel@hakuna
Re: OpenVPN no enruta
Benvolguts, potser és una qüestió molt bàsica, i no voldria ofendre ningú, però... ja has habilitat el trànsit IP a través del servidor OpenVPN? fes-hi un 'cat /proc/sys/net/ipv4/ip_forward'. Si torna 0 és que no ho has activat! Salutacions. Al 18/07/13 00:33, En/na Adrià ha escrit: Hola, estic muntant una VPN entre un OpenVPN i un client Android i s'estableix però no m'enruta el tràfic (la idea és que tot el tràfic de l'Android passi per la VPN quan aquesta estigui aixecada). Deixo alguns resultats: // Android android:/ $ ip a show dev tun0 19: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 500 link/none inet 192.168.2.6 peer 192.168.2.5/32 scope global tun0 android:/ $ ip route 0.0.0.0/1 via 192.168.2.5 dev tun0 default via 192.168.1.2 dev wlan0 default via 192.168.1.2 dev wlan0 metric 207 128.0.0.0/1 via 192.168.2.5 dev tun0 IP_PUBLICA_OPENVPN via 192.168.1.2 dev wlan0 192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.12 metric 207 192.168.1.2 dev wlan0 scope link 192.168.2.1 via 192.168.2.5 dev tun0 192.168.2.5 dev tun0 proto kernel scope link src 192.168.2.6 android:/ $ ping 192.168.2.1 PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data. 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=245 ms ^C android:/ # traceroute www.google.com traceroute to www.google.com (173.194.41.211), 30 hops max, 38 byte packets 1 192.168.2.1 (192.168.2.1) 244.389 ms 167.659 ms 103.826 ms 2^C A la banda del servidor, en primer lloc deshabilito iptables per evitar que en pugui ser el causant: servidor:/# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination servidor:/# ip a show dev tun0 16: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.2.1 peer 192.168.2.2/32 scope global tun0 servidor:/# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default IP_PUBLICA_SERVIDOR 0.0.0.0 UG0 0 0 eth0 XARXA_PUBLICA * NETMASK U 0 0 0 eth0 192.168.2.0 192.168.2.2 255.255.255.248 UG0 0 0 tun0 192.168.2.2 * 255.255.255.255 UH0 0 0 tun0 Penso que el problema està en el servidor, que no enruta. Deixo les línies més rellevants del server.conf: proto tcp dev tun ca ca.crt cert xxx.crt key xxx.key dh dh1024.pem server 192.168.2.0 255.255.255.248 ifconfig-pool-persist ipp.txt push redirect-gateway def1 bypass-dhcp keepalive 10 120 comp-lzo persist-key persist-tun Després de tota aquesta parrafada, algú té alguna idea o suggeriment? Gràcies per avançat. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51e80c3d.9010...@xicra.com
[SOLUCIONAT] Re: OpenVPN no enruta
On Thu, Jul 18, 2013 at 04:33:27PM +0200, tictacbum wrote: prova fent el masquerade al servidor iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Aquesta és la mare dels ous. Afegint únicament això al servidor ja m'ha funcionat :-) Tenia una regla similar al iptables, i ni deshabilitant-lo em funcionava. Afegint després aquesta regla únicament ja ha començat a funcionar tot, així que ara ja acabaré d'afinar el firewall i a per una altra cosa! pero tal com diu XaviP t'aniria molt be mirar que passa al servidor amb tcpdump Sí, tantes proves que he fet i una de les més bàsiques se m'ha passat per alt :-/ En tot cas, gràcies a totes les respostes rebudes. -- Adrià García-Alzórriz ad...@fsfe.org GPG Key: 09494C14 Una celebridad es una persona que ha pasado toda su vida tratando de llegar a famoso y cuando lo consigue, usa gafas negras para que nadie lo reconozca. -- Woody Allen. (1935-) Actor, director y escritor estadounidense. signature.asc Description: Digital signature