par dotazu na VPN - OpenVPN

Miroslav Lachman 000.fbsd at quip.cz
Wed Apr 16 15:27:17 CEST 2008


Miroslav Lachman wrote:

> Dan Lukes wrote:
> 
>>Miroslav Lachman wrote:
>>
>>
>>>tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
>>>        inet 10.8.0.226 --> 10.8.0.225 netmask 0xffffffff
>>>        Opened by PID 827
>>
>>
>>>Klienti v LAN maji adresy v rozsahu 10.1.1.0/24 a meli by byt schopni se 
>>>dostat napriklad na 10.8.0.1
>>
>>
>>	Takze si pustis tcpdump na interface tun0, zkusis komunikaci, ktera 
>>nejde a zanalyzujes co ti ukazuje tcpdump. Predpokladam, ze uvidis 
>>pakety odchazejici, ale neuvidis vracet se odpovedi. Takze primo z 
>>routeru to jde, ale z druhe strany neprichazeji odpovedi - pak to musi 
>>resit spravce routeru na opacne strane, ale nejspis je to problem s 
>>routovaci tabulkou nebo firewallem tam.
>>
>>	Pokud odpovedi z druhe strany prichazet budou, budou videt na routeru 
>>ale na klienta nedorazi, pak je problem na tve strane.
>>
>>	A dal bych to resil az kouknes na ten tcpdump a budeme vedet, ktera z 
>>moznosti to je.

[...]

> Packety tedy odchazi a nevraci se - je i jine mozne vysvetleni nez to, 
> ze je to "spatne" nastavene na druhem konci? Rad bych vyloucil svou 
> vlastni chybu pred tim, nez zacnu (docela slozite) otravovat nekoho na 
> druhe strane.

Patrne je to skutecne firewallem na druhe strane tunelu, ktery zkratka 
nepovoluje komunikaci z jinych adres, nez je ta sit 10.8.0.0/24

Ted se mi podarilo dostat se i k dumpu z puvodniho linuxoveho stroje, ze 
ktereho se migruje (ten zustal na puvodni pobocce) a tam je videt, ze 
packety, jdouci pres tunX maji jako zdrojovou adresu uvedenou adresu 
toho tunX zarizeni, nikoliv LAN klienta. Na serveru bezi NAT pres IPTables:
     iptables -A POSTROUTING -s $IP_LAN/$IP_MASK -t nat -j MASQUERADE

Bohuzel neovladam syntaxi pravidel a fungovani IPTables, takze mi to zas 
az tak moc nerika. Mel jsem za to, ze je to jen NAT na provoz ven do 
internetu, ale evidentne to NATuje i provoz do toho VPN tunelu.

Udelal jsem tedy na tom novem stroji s FreeBSD to same - v PF pridal NAT 
jeste pro tun0 a je klid, co melo fungovat, to funguje - klienti se z 
LAN dostanou na sluzby poskytovane protistranou (web a nejaky samba share):
     nat on $vpn_brno_if from $int_if:network to any -> ($vpn_brno_if)

Mirek



More information about the Users-l mailing list