OpenVPN problema

Hálózatok egyéb

Egy erdekes dolog merult fel.
Van egy VPN kliens, ami mogott tobb alhalozat is van, es egy server. Static key-el osszekapcsolva oket, nincs semmi problema, jol mukodik. De mivel tobb kliense is kellene hogy legyen, at kellett alakitani tanusitvanyalapu hitelesitesre. A kapcsolat jol mukodik, a kliens mogotti alhalozatokat viszont igy nem latni.

Kliens : 10.0.0.x, 192.168.0.x
Server : Internet, 10.0.0.x

A tunnel forgalmat ha nezem, a server tunneljebe lathatoan belemennek a 192.168.0.x csomagok, de a kliensnel ezek nem jonnek ki. Ugyanakkor a klienst megpingelve a 10.0.0.x-es cimen latszik is a forgalom es erkezik is valasz.
Van valami amit engedelyezni kell hogy az OpenVPN ne blockolja a mas alhalozatokba iranyulo forgalmat, amit static key-el valo osszekottetes eseten nem kell ?

A server configja :
local x.x.x.x
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun

A kliens configja :

tls-client
dev tun
proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
comp-lzo

  • 1113 megtekintés

( jonnyuser | 2010. 05. 10., h – 16:03 )

Látom nem könnyű a kérdés,hiába a sok olvasó. Közben próbálok én is rájönni, majd írom mi sikerül.

( Fisher v | 2010. 05. 10., h – 16:15 )

Hát, elsőnek egy (két) routing tábla is jól jönne. Nekem a minta szerver konfigban megadott módon megy _egy_ hálózat, tanúsítványokkal, és elvileg semmi akadálya, hogy több is menjen.

Valoban :

Server :
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
x.x.x.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 x.x.x.1 0.0.0.0 UG 100 0 0 eth0

Client :
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

A servernek is van sajat Internet kapcsolata az eth0-n.
A clientnek is van a ppp0-n.
A server a 10.0.0.1 a client a 10.0.0.2, egymast jol latjak, a 192.168.0.0ba iranyulo csomagok rendben a 10.0.0.2hoz kerulnek, tcpdump-pal latom us oket a tun0 interfacen,
de a clienten a tun0ban semmi forgalom. Ha persze megpingelem a 10.0.0.2-t, akkor mennek es latszanak is a csomagok, a kapcsolat rendben mukodik.

A kliensoldalon kéne lennie egy olyan route-nak, ami kb. ilyen:

x.x.x.0 x.x.x.y 255.255.255.0 UG 0 0 0 tun0

Szerintem. Azaz kéne neki egy route arra a hálózatra, amin a szerver lakik. Ha jól látom, akkor a 192.168.0.0/24 az a kliens mögötti hálózat, arra van neki route, van még egy host route és egy default. De ez még kevés. Megnéztem, nekem van egy

push "route 192.168.20.0 255.255.255.0"

szerű sor a szerveren, ami szerintem neked is megoldja a problémádat.

Hat ezek vannak :

A tun0 fele, itt a pingek mennek, ez jonak tunik
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

Ez a LANja, itt vannak a gepek amiket el kellene erni :
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Ez pedig az Internetkapcsolat routeja.
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

A gepeket ha pingelem leven a LANban vannak, valaszolnak.
Internet van, ugyhogy a ppp0 is rendben, illetve azon megy a VPN is.
A 10.0.0.1 es 10.0.0.2 tudja egymast pingelni rendesen, tehat a VPN kapcsolat is jo, egymast latjak.

( dragi v | 2010. 05. 10., h – 16:55 )

client-to-client kell szerintem server configba.

( Gorkhaan (nem ellenőrzött) | 2010. 05. 10., h – 16:55 )

Szerver configban én a helyedben használnám a: --topology subnet opciót. Könnyebben kezelhető mint a P2P mód.

|| "Software is like sex: it's better when it's free." Linus Torvalds || Visit Gorkhaan's Homepage