OpenVPN connect utan nem talalok ki a subnetbol

Web, mail, IRC, IM, hálózatok

Hello!

Egy kis gondom tamadt az OpenVPN szerver beallitasa/tesztelese kozben. Sikeresen becsatlakozok, de a sajat kiosztott subnetbol nem tudok kimenni (ping, ssh, telnet).

A szerveroldai konfig erdekesebb reszei:

daemon
local
port 1194
proto udp
dev tun
tls-server
route 172.16.5.0 255.255.255.0
server 172.16.5.0 255.255.255.0
push "route 172.16.0.0 255.255.255.0"
push "dhcp-option DNS 172.16.0.2"
management 127.0.0.1 1194
verb 6
mute 20

Kliensen:

client
dev tun
proto udp

route 172.16.5.0 255.255.255.0 172.16.5.1
nobind

Szerveren a tun0:
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.5.1 P-t-P:172.16.5.2 Mask:255.255.255.255
Route
172.16.5.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.16.5.0 172.16.5.2 255.255.255.0 UG 0 0 0 tun0

Kliensoldalon:

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.5.6 P-t-P:172.16.5.5 Mask:255.255.255.255

route -n | grep tun0

172.16.5.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.16.5.1 172.16.5.5 255.255.255.255 UGH 0 0 0 tun0
172.16.0.0 172.16.5.5 255.255.255.0 UG 0 0 0 tun0

Az iptables-save idevago reszei:

-A INPUT -s 172.16.5.0/255.255.255.0 -d 172.0.0.0/255.0.0.0 -i tun0 -j ACCEPT
-A INPUT -s 172.0.0.0/255.0.0.0 -d 172.16.5.0/255.255.255.0 -i tun0 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -s 172.16.5.0/255.255.255.0 -d 172.0.0.0/255.0.0.0 -i tun0 -j ACCEPT
-A FORWARD -s 172.16.5.0/255.255.255.0 -d 172.0.0.0/255.0.0.0 -o tun0 -j ACCEPT
-A FORWARD -s 172.16.5.0/255.255.255.0 -d 172.16.0.0/255.255.0.0 -i tun0 -j ACCEPT
-A FORWARD -s 172.16.5.1 -i tun0 -j ACCEPT
-A FORWARD -i tun0 -o tun0 -j ACCEPT
-A OUTPUT -s 172.16.5.0/255.255.255.0 -d 172.0.0.0/255.0.0.0 -o tun0 -j ACCEPT
-A OUTPUT -s 172.0.0.0/255.0.0.0 -d 172.16.5.0/255.255.255.0 -o tun0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

Probaltam a traceroute-ot, de csak a 172.16.5.1-ig jutok el:
mycomp:/etc/openvpn# traceroute 172.16.0.2
traceroute to 172.16.0.2 (172.16.0.2), 30 hops max, 40 byte packets
1 172.16.5.1 (172.16.5.1) 424.353 ms 432.729 ms 436.993 ms
2 * * *
3 * * *
4 * * *
mycomp:/etc/openvpn#

A 172.16.5.1 valaszol ping-re,de a 172.16.0.2 nem. Nem jut ki a csomag a subnetbol. Iptraf-fal a tun0-n nem mutat kapcsolatot. Egeszen biztos vagyok benne, hogy valami nagyon egbekialto hiba van benne, de nem vettem eszre magamtol.
Elore is kosz a segitseget.
udv,
sjrextor

  • 1271 megtekintés

( willy v | 2008. 11. 19., sze – 03:21 )

route es a server egyutt nem kell (server pont eleg).
szerveroldalon nem latszik a 172.16.0.0/255.255.255.0 network route-ja (megy egyaltalan? defaultroute-n keresztul megy vagy connected network?)
cat /proc/sys/net/ipv4/ip_forward ?
az iptables resz amit bevagtal full zagyva, gondolom a probalkozas miatt. Viszont ha igy van inkabb a kiserletezes idejere kapcsold ki.

cat /proc/sys/net/ipv4/ip_forward = 1

A tuzfalat nem tudom kikapcsolni, mivel a gep eleg messze van es elesben mukodik.

"szerveroldalon nem latszik a 172.16.0.0/255.255.255.0"
172.16.5.0/24-re vagy a 172.16.0.0/16-ra gondoltal?

szerk:
Egy mukodo vpn-szervernel:

192.168.193.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.193.0 192.168.193.2 255.255.255.0 UG 0 0 0 tun0

( sjrextor | 2008. 11. 19., sze – 08:54 )

172.16.5.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.16.5.0 172.16.5.2 255.255.255.0 UG 0 0 0 tun0
172.16.0.0 172.16.5.2 255.255.255.0 UG 0 0 0 tun0 ### Ez a bejegyzes kerult be. Ezt a subnetet kell elerni az OpenVPN-en keresztul.

Csak ennyit valtoztatott, de nem jut ki meg mindig a csomag. Az iroute-ot is elhelyeztem.

Pontosabban annyit dobott rajta, hogy arra a tartomanyra, amire eppen be szeretnek jutni, az en openvpn kliens address-emet adta meg, mint atjaro. Ezert azok a tartomanyok nem is ertek el a netet. Minden ugy van a szerver es a kliens oldali beallitasokban, ahogyan a sample configban van az openvpn doksiban:

server 172.16.5.0 255.255.255.0

push "route 172.16.0.0 255.255.255.0" // 172.16.0.0/24 szerverek tartomanya, ezt kell elerni

Kivettem az iroute-ot, mert kulonben sehol nem volt net, csak a tuzfalon. Egeszen biztos vagyok benne, hogy valami teljesen trivialis route-olasi hibat vetettem, de nem tudok rajonni, hogy mi az.