par dotazu na VPN - OpenVPN
Miroslav Lachman
000.fbsd at quip.cz
Wed Apr 16 15:27:17 CEST 2008
Miroslav Lachman wrote:
> Dan Lukes wrote:
>
>>Miroslav Lachman wrote:
>>
>>
>>>tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
>>> inet 10.8.0.226 --> 10.8.0.225 netmask 0xffffffff
>>> Opened by PID 827
>>
>>
>>>Klienti v LAN maji adresy v rozsahu 10.1.1.0/24 a meli by byt schopni se
>>>dostat napriklad na 10.8.0.1
>>
>>
>> Takze si pustis tcpdump na interface tun0, zkusis komunikaci, ktera
>>nejde a zanalyzujes co ti ukazuje tcpdump. Predpokladam, ze uvidis
>>pakety odchazejici, ale neuvidis vracet se odpovedi. Takze primo z
>>routeru to jde, ale z druhe strany neprichazeji odpovedi - pak to musi
>>resit spravce routeru na opacne strane, ale nejspis je to problem s
>>routovaci tabulkou nebo firewallem tam.
>>
>> Pokud odpovedi z druhe strany prichazet budou, budou videt na routeru
>>ale na klienta nedorazi, pak je problem na tve strane.
>>
>> A dal bych to resil az kouknes na ten tcpdump a budeme vedet, ktera z
>>moznosti to je.
[...]
> Packety tedy odchazi a nevraci se - je i jine mozne vysvetleni nez to,
> ze je to "spatne" nastavene na druhem konci? Rad bych vyloucil svou
> vlastni chybu pred tim, nez zacnu (docela slozite) otravovat nekoho na
> druhe strane.
Patrne je to skutecne firewallem na druhe strane tunelu, ktery zkratka
nepovoluje komunikaci z jinych adres, nez je ta sit 10.8.0.0/24
Ted se mi podarilo dostat se i k dumpu z puvodniho linuxoveho stroje, ze
ktereho se migruje (ten zustal na puvodni pobocce) a tam je videt, ze
packety, jdouci pres tunX maji jako zdrojovou adresu uvedenou adresu
toho tunX zarizeni, nikoliv LAN klienta. Na serveru bezi NAT pres IPTables:
iptables -A POSTROUTING -s $IP_LAN/$IP_MASK -t nat -j MASQUERADE
Bohuzel neovladam syntaxi pravidel a fungovani IPTables, takze mi to zas
az tak moc nerika. Mel jsem za to, ze je to jen NAT na provoz ven do
internetu, ale evidentne to NATuje i provoz do toho VPN tunelu.
Udelal jsem tedy na tom novem stroji s FreeBSD to same - v PF pridal NAT
jeste pro tun0 a je klid, co melo fungovat, to funguje - klienti se z
LAN dostanou na sluzby poskytovane protistranou (web a nejaky samba share):
nat on $vpn_brno_if from $int_if:network to any -> ($vpn_brno_if)
Mirek
More information about the Users-l
mailing list