Problem s OpenVPN
Honza Bětík
honza at betik.cz
Sun Sep 6 02:16:09 CEST 2009
Ta routovací tabulka je ze kterého zařízení? Zařízení v síti
192.168.1.0/24, nebo na VPNce?
Bylo by fajn poslat semkaj i routovací tabuli ze servru a ze stroje ve
vzdálené LAN. Zatím to vypadá, že stroje ze vzdálené LAN nevědí, kam
poslat odpověď na ping (ale zase v tom nesedí ten switch, a taky to
odporuje tvému tvrzení, že to posílají na default). Zkusil bych na
některém stroji natvrdo přidat routu na VPNku. Ještě mě napadá, je možné
z 192.168.1.0/24 pingnout VPN rozhraní serveru?
Honza
Milan Cizek napsal(a):
> Ahoj,
>
>> A co na to říká wireshark/tcpdump? Předpokládám, že ten
>
> Ping (z pohledu klienta neuspesny) z klienta na zarizeni v LAN (em0 je LAN
> sitovka 192.168.1.1)...
>
> server# tcpdump -vvv -i em0 icmp
> tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96
> bytes
> 23:49:32.539675 IP (tos 0x0, ttl 127, id 52368, offset 0, flags [none],
> proto ICMP (1), length 60) 172.20.0.6 > 192.168.1.2: ICMP echo request, id
> 768, seq 57603, length 40
> 23:49:37.874949 IP (tos 0x0, ttl 127, id 52390, offset 0, flags [none],
> proto ICMP (1), length 60) 172.20.0.6 > 192.168.1.2: ICMP echo request, id
> 768, seq 57859, length 40
>
> server# ping 192.168.1.2
> PING 192.168.1.2 (192.168.1.2): 56 data bytes
> 64 bytes from 192.168.1.2: icmp_seq=0 ttl=255 time=0.578 ms
>
>> packet tedy serverem projde. Dostane se až na cílovou
>> stanici? Odejde z ní odpověď?
>
> Je to vzdalena lokalita, takze primo na stanici to nedumpnu. Ale vzhledem k
> tomu ze při pingu ze serveru odpoved dorazi, tak bych usuzoval, ze odpoved
> odchazi.
>
>> Chybí mi tu nějaké informace, alespoň vpn konfigurace, výpis
>> routovacích tabulek... zkus prosím dodat.
>
> Server:
> -------------------
> mode server
> tls-server
> dev tun0
> proto udp
> server 172.20.0.0 255.255.255.0
> client-config-dir /usr/local/etc/openvpn/ccd
> keepalive 10 120
> client-to-client
> max-clients 32
> ca /usr/local/etc/openvpn/keys/cacert.pem
> cert /usr/local/etc/openvpn/keys/cert.pem
> key /usr/local/etc/openvpn/keys/key.pem
> dh /usr/local/etc/openvpn/keys/dh1024.pem
> push "route 192.168.1.0 255.255.255.0"
> comp-lzo
> ping-timer-rem
> persist-tun
> persist-key
> group openvpn
> user openvpn
>
> Klient:
> -------------------
> client
> remote *.*.*.* 1194
> dev tun
> proto udp
> ca ../cert/ca.crt
> cert ../cert/client01.crt
> key ../cert/client01.key
> comp-lzo
> verb 3
>
> Aktivní směrování:
> Cíl v síti Síťová maska Brána Rozhraní Metrika
> 0.0.0.0 0.0.0.0 10.0.3.1 10.0.3.20 20
> 10.0.3.0 255.255.255.0 10.0.3.20 10.0.3.20 20
> 10.0.3.20 255.255.255.255 127.0.0.1 127.0.0.1 20
> 10.255.255.255 255.255.255.255 10.0.3.20 10.0.3.20 20
> 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
> 172.20.0.0 255.255.255.0 172.20.0.5 172.20.0.6 1
> 172.20.0.4 255.255.255.252 172.20.0.6 172.20.0.6 30
> 172.20.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
> 172.20.255.255 255.255.255.255 172.20.0.6 172.20.0.6 30
> 192.168.1.0 255.255.255.0 172.20.0.5 172.20.0.6 1
> 224.0.0.0 240.0.0.0 10.0.3.20 10.0.3.20 20
> 224.0.0.0 240.0.0.0 172.20.0.6 172.20.0.6 30
> 255.255.255.255 255.255.255.255 10.0.3.20 10.0.3.20 1
> 255.255.255.255 255.255.255.255 172.20.0.6 172.20.0.6 1
> Výchozí brána: 10.0.3.1
>
> Milan
>
--
[root at server ~]# [ $[ $RANDOM % 6 ] == 0 ] && rm -rf /
More information about the Users-l
mailing list