[Megoldva] Openvpn site-to-site

Sziasztok!

 

Site-to-site vpn-t próbálok összehozni Turnkey Openvpn-nel. Elvileg egyszerű. Telepítettem az egyik telephelyünkön (A) szerverként, a másikon (B) pedig kliensként.

A szerveren készítettem egy kliens konfigot, amit átvittem a kliensre, betettem a /etc/openvpn könyvtárba átnevezve .conf kiterjesztésűre. Tűzfalon beengedtem A-ban a B felől érkező csomagokat, és forwardoltam az openvpn szerverhez.

Ha a B-ből, az openvpn kliensről pingelek egy számítógépet az A helyi hálózatában, akkor kapok választ tőle. Ha a B-ből egy másik számítógépről próbálom ugyanazt a számítógépet megpingelni A-ban, nem kapok választ. Az alapértelmezett átjárókon beállítottam statikus route-ot, hogy a kliensek másik hálózatba irányuló csomagjait az openvpn szerver/kliens kapja meg.

Első kérdés: az helyes, hogy amikor az openvpn kliensről pingelek A-ban egy gépet, a csomag a tun0 ip-jéről megy ki a tcpdump -eni any icmp alapján, amikor egy kliensről próbálok pingelni B-ből, az openvpn kliensen az látszik, hogy a kliens ip-jével küldi tovább a csomagot, nem a tun0-éval.

Utóbbi csomag viszont már nem jelenik meg A-ban az openvpn szerveren... A második kérdés az, hogy vajon miért nem? Mi a különbség a két eset között?

Hozzászólások

Jó lenne legalább az érintett IP címek megadása, és/vagy egy sematikus rajz, ki hová van kötve, és a statikus route-ok, amiket felvettél, meg a VPN végpontok route táblájának ide vágó részei.

Ha a VPN végpontokról működik a túloldal elérése, de a hálózat többi tagjáról nem, akkor biztosan útválasztási probléma van. Esetleg tűzfalon nem jut át (de azt egy rövid tűzfal kikapcsolással könnyű tesztelni).

Pontosan. A hivatkozott doksi segítségével sikerült úgy beállítanom a szervert, hogy mindkét oldali hálózatból át lehet látni a másikba. Routolási bejegyzések hiányoztak. Jó lett volna, ha a Turnkey doksijában is benne lett volna, sok órányi keresgélést megspórolt volna...

Köszönöm!