Windows 7 OpenVPN szerver belső hálózat elérés

 ( djtacee | 2019. február 28., csütörtök - 22:24 )

Sziasztok!

Kérlek segítsetek megfejteni mit rontok el, mert szerintem a "nagy könyv" szerint készült minden, mégsem életképes a hálózat úgy ahogy terveztem. Megjegyzésnek beszúrom hogy ugyanilyen elrendezésben Windows Server 2008R2 + Linksys router párosítással évekig ment a dolog, most egy másik hálózatban Windows 7 lett, körülbelül ennyi az eltérés (illetve hogy a szoftverek újabbak).

A hálózat felépítése:

Router LAN: 192.168.17.254, DHCP .100-.199-ig
Szerver IP: 192.168.17.102 - DHCP cím-fenntartás aktív - OS: Windows 7 Pro
Irodai gép: 192.168.17.101 - DHCP cím-fenntartás aktív - OS: Windows 7 Pro

OpenVPN konfigurációs állomány releváns részei:

topology subnet
client-to-client
local 192.168.17.102
# server and remote endpoints
server 10.8.17.0 255.255.255.0
# Add route to Client routing table for the OpenVPN Server
push "route 10.8.17.1 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
push "route 10.8.17.0 255.255.255.0"
# Local subnet
push "route 192.168.17.0 255.255.255.0"

A "szerver" gépen elvégzett beállítások:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters => IPEnableRouter = 1
Útválasztás és távelérés (routong and remote access) szolgáltatás elindítva, automatikusra állítva.

A helyzet: becsatlakozok VPN-el, pingelni tudom a szerver IP-jét (10.8.17.1), és megvan a kliens oldali route, mert a 192.168.17.102 (szintén a szerver IP címe) is válaszol ping-re. Eddig jó. Ha nem fut a RRAS szolgáltatás akkor nincs ping, ahogy lennie kell, eddig ez is jó. Most jön az hogy a hálózat többi gépét szeretném elérni a VPN-en keresztül. Tracert-el nézve eljut a csomag a célig, ami a példámban legyen a 192.168.17.101-es irodai gép, onnan ugye nem találnak vissza a csomagok, ezért a routerben beállítottam egy statikus útvonalat így:

10.8.17.0 MASK 255.255.255.0 GATEWAY 192.168.17.102

Így már a router 192.168.17.254-es IP-je ping-re válaszol, de például az admin felülete nem töltődik be. Az irodai gép (101) nem is válaszol. Természetesen minden esetben ki van kapcsolva a Windows tűzfal, ezt már kivettem a képből, nem ez fogja meg. Sejthető hogy a szerver gépen a RRAS teszi a dolgát, mert amennyiben az irodai gépen felveszem a fenti route szabályt kézzel, akkor hibátlanul működik a kommunikáció, elérhető a gép. Ezzel az a baj hogy vannak olyan gépek a hálózaton amik cél-hardverek, nem lehet a hálózati beállításukhoz plusz útvonalat rögzíteni, csak szeretnénk simán VPN mögé tenni őket hogy biztonságos legyen az elérésük. Én úgy gondolom mindent megfelelően állítottam be, próbáltam különböző típusú routerekkel, ma már OpenWRT-vel "felszerelt" példánnyal is, a probléma minden esetben ugyanaz: a belső hálózat többi gépe (ami nem a szerver) nem érhető el VPN-en keresztül, hiába van a routerben beállítva a static route. Kérlek segítsetek, mint rontok el, mi az amit nem / rosszul tudok? Google 30-40 találata végignyálazva, 10-15+ órám áll ebben a vacakban...

Itt van a szerver route táblája, szerintem ez is rendben van:

0.0.0.0 0.0.0.0 192.168.17.254 192.168.17.102 20
10.8.17.0 255.255.255.0 Kapcsolaton belüli 10.8.17.1 276
10.8.17.1 255.255.255.255 Kapcsolaton belüli 10.8.17.1 276
10.8.17.255 255.255.255.255 Kapcsolaton belüli 10.8.17.1 276
127.0.0.0 255.0.0.0 Kapcsolaton belüli 127.0.0.1 306
127.0.0.1 255.255.255.255 Kapcsolaton belüli 127.0.0.1 306
127.255.255.255 255.255.255.255 Kapcsolaton belüli 127.0.0.1 306
192.168.17.0 255.255.255.0 Kapcsolaton belüli 192.168.17.102 276
192.168.17.102 255.255.255.255 Kapcsolaton belüli 192.168.17.102 276
192.168.17.255 255.255.255.255 Kapcsolaton belüli 192.168.17.102 276
224.0.0.0 240.0.0.0 Kapcsolaton belüli 127.0.0.1 306
224.0.0.0 240.0.0.0 Kapcsolaton belüli 192.168.17.102 276
224.0.0.0 240.0.0.0 Kapcsolaton belüli 10.8.17.1 276
255.255.255.255 255.255.255.255 Kapcsolaton belüli 127.0.0.1 306
255.255.255.255 255.255.255.255 Kapcsolaton belüli 192.168.17.102 276
255.255.255.255 255.255.255.255 Kapcsolaton belüli 10.8.17.1 276

Köszönöm a segítséget minden hálózatos szakinak!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

icmp redirect-el akarod megoldani ami csak akkor mukodik ha elkuldi a router es ha elfogadja a kliens.
/etc/sysctl.conf:
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

ha a router nem kuldi vagy a kliens nem fogadja el akkor csinalnod kell egy cimforditast a szerveren hogy a lan fele meno csomagok ezzel a forras cimmel lepjenek ki a szerverbol, emberi nyelven:
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.17.102

--
neked aztan fura humorod van...

su