Üdv Mindenkinek!
A tegnapi 5 és a mai 2 óra után gondoltam írok valamit ide is:
1 Telephely 2 Telephely
--------- -------------- 15.0.0.0 -------------- -----------
10.0.0.19------->10.100.100.100-------------------------->20.100.100.100------------>20.0.0.200
--------- -------------- -------------- -----------
Részletek:
(Linux)OpenVPN szerver: 10.100.100.100 255.0.0.0
VPN ip: 15.0.0.1 255.255.0.0
(Linux)OpenVPN kliens: 20.100.100.100 255.0.0.0
VPN ip: 15.0.0.2 255.255.0.0
Probléma:
---------
20.0.0.200 nem éri el a 10.100.100.100 és mögötte lévőt sem
Szerver konfig:
---------------
dev tun0
server 15.0.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
tls-server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
#secret /etc/openvpn/static.key
port 1194
comp-lzo
#ping 15
#ping-restart 45
#ping-timer-rem
keepalive 10 40
; persist-tun
; persist-key
verb 3
proto tcp-server
Szerver route tábla
-------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
vh-tt0.vivendi- * 255.255.255.255 UH 0 0 0 ppp0
15.0.0.2 * 255.255.255.255 UH 0 0 0 tun0
15.0.0.0 15.0.0.2 255.255.0.0 UG 0 0 0 tun0
localnet * 255.0.0.0 U 0 0 0 eth1
default vh-tt0.vivendi- 0.0.0.0 UG 0 0 0 ppp0
Kliens konfig
-------------
client
dev tun
proto tcp-client
tls-client
remote 82.131.195.132 1194
resolv-retry infinite
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
Kliens route tábla
------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
adsl2-bud2.net. * 255.255.255.255 UH 0 0 0 ppp0
15.0.0.5 * 255.255.255.255 UH 0 0 0 tun0
15.0.0.1 15.0.0.5 255.255.255.255 UGH 0 0 0 tun0
localnet * 255.0.0.0 U 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0
Egyéb
-----
Akármit csinálok nem bírom explicit beállítani a kliens ipjét a vpn-ben. A szerver oldalon azt írja hogy 15.0.0.1 point-to-point 15.0.0.2. A kliensen pedig 15.0.0.6 point-to-point 15.0.0.5
Ezt a 6-ot meg az 5-öt a szerver osztja ki neki és úgy összecseszi vele a route táblákat hogy nem bírok vele. Szerintem ezért nem megy
a tűzfalakon már olyant megcsináltam hogy iptables -P INPUT|OUTPUT|FORWARD ACCEPT nehogy gátoljon de semmi változás...
10.100.100.100-on beírom hogy ping 15.0.0.2 az megy
10.100.100.100-on beírom hogy ping 20.100.100.100 az nem megy
20.100.100.100-on beírom hogy ping 10.100.100.100 az megy és a mögötte lévő is
de ami a legfontosabb lenne:
20.0.0.200-on bírom hogy ping 10.0.0.19 nem megy
Kérem aki tud segítsen előre is köszönöm
- 1378 megtekintés
Hozzászólások
Ugyan a problémádat nem oldja meg, de nem illik privát hálózatra publikus tartományt konfigurálni.
- A hozzászóláshoz be kell jelentkezni
a kliensen 15.0.0.6 - 15.0.0.5 teljesen jo. nalam is ugy van, es mukodik.
ahhoz hogy egy masik halot lasson egyik-masik ez kell a server configba:
push "route 10.0.0.0 255.0.0.0"
es asszem valahova egy iroute is kell, hogy megmond a vpn szervernek, hogy 20.100.100.100 ipk isjohetnek a vpnben.
- A hozzászóláshoz be kell jelentkezni
a leggyakoribb hiba a routingok hiáanya valóban. Ez hálózattól is függ, hogy átjáró-e az openvpn szerver.
A tls-client is felesleges például, meg pár dolog, mert a client egy helpr, ami beállít több opciót, többek között alapvetően tls-client lesz, az ifconfig sem kell stb.
- A hozzászóláshoz be kell jelentkezni
egyébként a Te barátod a client-config-dir ccd opció, abban lehet megadni fix IP-ket klienseknek egy /30-as tartományból. De ehhez az kell, hogy külön kulcsot használjanak a kliensek és ne legyen beállítva a duplicate-cn. a man lapban elég részletesen le van írva mit kell beállítani.
- A hozzászóláshoz be kell jelentkezni
Hozzáadtam a push route-t mindkét oldalhoz, a 10.100.100.100-at tudom pingetni 20.100.100.100-ról fordítva viszont nem.
A 20.0.0.200 meg még mindig nem pingeli 10.100.100.100-at. Raktam egy "tcpdump -i tun0"-t 20.100.100.100-ra hogy figyelje mi megy rajta keresztűl, és 10.100.100.100-ra is. A 20.100.100.100 még kiírja hogy echo request a 10.100.100.100 viszont már nem kapja meg.
Mindkét OpenVPN fél internet gateway is...
Ötlet?
- A hozzászóláshoz be kell jelentkezni
és a routingok rendesen be vannak állítva/állítódva? Mert nekem az jön le a hibából, hogy elmegy a ping, de nem talál vissza a válasz. A konfig átnézéséhez kicsit fáradt vagyok már... Jótanács: másik oldalon nézd meg, hogy látsz-e echo replyt. Minden lehetséges helyen. a ccd-t nem véletlenül írtam. a routingban is tud segíteni illetve kell, ha gateway mögé akarsz látni. Ago
- A hozzászóláshoz be kell jelentkezni
Hát ezt alig hiszem el: Sikerült!!
Nagyon szépen köszönöm a segítséget.
Utána olvastam Ago által javasolt client-config-dir -nek. Itt végre megoldódott az hogy magától osztogassa az IP-ket amitől átláthatóvá vált a routing tábla.
Összehoztam ugyanezt a táblát a szerveren de még mindig nem ment. A client-confi-dir-be beírtam hogy iroute 20.0.0.0 255.0.0.0 vagyis a kliens oldali hálót.
Innentől mindenki lát mindenkit =)
Köszönöm Ago-nak és a többieknek
- A hozzászóláshoz be kell jelentkezni