Sziasztok. Elakadtam, segítséget kérnék, mert nem vagyok egy guru. Openvpn hálózat, nyomtatás. Adott egy céges belső hálózat, (t-com ipsound mögött) ahol van egy központi gép, legyen mondjuk ERPSERVER a neve, amin Leap15.2 fut. Ezen van minden, ERP, CUPS, samba, stb, de NEM ez a router/gateway a hálózaton. Ugyanezen a hálózaton van egy szintén Leap15.2, ezen fut az openvpn kiszolgáló. A kliens csatlakozások működnek, nyomtatás megy, de csak erről a gépről. Ha az ERPSEVER gépen futó cups alá fel akarok telepíteni egy vpn kliens hálózaton található IP-s nyomtatót, akkor ez nem megy. Telnet alól "No route to host" üzenetet kapok, bár pingelni meg tudom a nyomtatót. Az ERPSERVER gépen be vannak állítva a vpn kliensek hálózati címei a router táblába, ez nem lehet gond. (ping megy!) VISZONT ha kikapcsolom az openvpn szerver gépen a tűzfalat, akkor elérhető az opnevpn kliens hálózaton található IP nyomtató. Mindkét gépen a firewalld fut, szükséges portok nyitva, de valami benézek.
openvpn server tüzfalbeállítások:
firewall-cmd --zone=trusted --add-interface tun0
firewall-cmd --zone=trusted --add-masquerade
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.1x.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.2x.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d ........
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
firewall-cmd --list-services
ssh mdns samba-client openvpn apache2 apache2-ssl ftp http https samba ipp ipp-client
firewall-cmd --list-ports
9100/tcp 9100/udp
Milyen tűzfalszabály kell még szerintetek az openvpn kiszolgálóra? Köszönöm előre is a segítséget!
Hozzászólások
Maga a nat es masquerade szabaly meg hianyzik, ahogy nezem.
Nem tudom, pontosabban mire gondolsz, de épp az az érdekes, hogyha a vpn szerveren kikapcsolom a tűzfalat teljesen, akkor minden tökéletesen működik, vagyis akkor a másik gépről is elérhető a kliens nyomtatója, tehát valamelyik port még blokkolva van, de melyik? ...vagy félreértek valamit?
Erre gondolok ezalatt:
Illetve belegondolva meg, eredendően az openvpn subnet-je es a masik subnet kozott is engedelyezned kell a forgalmat, tehat az oke, hogy az OpenVPN portja engedelyezett (gondolom a 9100-on hajtod), igy tudnak csatlakozni a szerverhez, de onnan meg tovabb is kell engedned.
Hozzáadtam ezt a sort, és teszteltem, változás nincs. A vpn kiszolgálón akár be van kapcsolva a tűzfal, akár nincs, elérhetők a nyomtatók, van ping, és van telnet kapcsolat. Az ERPSERVER gépről van ping a nyomtatókhoz a vpn kiszolgáló tűzfalától függetlenül, de a telnet kapcsolat (és CUPS) csak a vpnkiszolgáló kikapcsolt tűzfala esetén van. A 9100 a nyomtatóport, a vpn a szabvány porton érhető el
A ket subnet kozotti atjaras adott? Azt kerdeztem meg az elobb. Joideje nem hasznok mezitlabas iptables-sokkal tobb tippem nincs kapasbol, egy frontenddel valoszinuleg te is jobban jarnal.
A céges, benti hálózaton van pár smb-val és win szerverrel megosztott mappa, ezeket a vpn kliensek látják, és felcsatolhatók.
Magán az ERPSERVER-en is van megosztott mappa, ezek is látszódnak normálisan.
A kérdezett beállítás az openvpn serveroldali configjában szerepel :"client-to-client"
Mindenesetre köszi, hogy segíteni próbáltál, én még túrázok ezen...
Igazan nincs mit, nem tudom mennyire komplex a tuzfal ezen a vason, de javasolnam neked is a Shorewall-t, azon azt gondolom, konkretan percek alatt ossze tudnad ezt megbizhatoan dobni. Egy ideje mar csak azt hasznalom (iptables frontend) szerveren.