[+] OpenVPN - konfiguracja sieci LAN

[Zico]

Witam.
Przeglądałem wiele tematów podobnych do moich ale żaden nie był identyczny. Na wstępie przedstawię moją architekturę:



Opis OpenVPN - połączenie szyfrowane ssl (certyfikaty). Połączenie kończy się sukcesem.

Otóż, posiadam klienta OpenVPN po drugiej stronie sieci Wan, którym łączę się z serwerem.
Dane klienta:

• Windows7 (firewall - wyłączony)
• Interfejs openvpn (uruchamiany ze zgodnością Windows Vista SP1) jako administrator
• Adres sieci 192.168.10.0/24
• Wirtualny interfejs 10.8.0.6 (ping wysyłany na adres 10.8.0.1)

• Kod: Zaznacz cały

  route print

  (jak będę w pracy to zamieszczę, bo teraz jestem w domu i nie mam dostępu).

Konfig klienta openvpn:

Kod: Zaznacz cały

dev tun
client
remote dyndns.tzo.net
proto udp
port 170XX
nobind
ca cacert.pem
cert user.crt
key user.key
comp-lzo
verb 3

Opis serwera:

• System Debian 6.0.3 bodajże.
• Openssl i openVPN zainstalowany z repozytorium.
• Serwer posiada 2 karty sieciowe (2 NIC):
  pierwsza karta z int eth0 posiada dostęp do sieci wewnętrznej LAN (10.11.X.X)
  druga karta z int eth1 posiada dostęp do rutera brzegowego (tutaj dłuższy opis) (adres int eth1 192.168.X.X). Do tej kary podpięty jest ruter co posiada dyndns (działający).
  Ruter ten ma wyłączone DMZ oraz firewall. Ma ustawiane przekierowanie na odpowiedni adres i port tak, że wszystko co dostaje na wejściu przerzuca od razu na eth1 serwera.
  Przekierowanie w serwerze ustawione na "1" (w jakimś pliku odkomentowałem to)
• Firewall serwera (nie rozbudowywałem go)

  Kod: Zaznacz cały

  #!/bin/bash
  
  #------- forwardownie echo "1" > /proc/sys/net/ipv4/ip_forward
  #------- pingowanie echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
  #------- zmienne
  
  ip="iptables"
  
  #------- czyszczenie starych regul, NAT'ow i filtrow
  $ip -F
  $ip -F -t nat
  $ip -F -t filter
  $ip -X
  $ip -X -t nat
  $ip -X -t filter
  
  #------- Polityka bezpieczenstwa (dzialania)
  
  $ip -P FORWARD DROP
  #$ip -P INPUT DROP
  $ip -P OUTPUT ACCEPT
  
  # FTP - jezeli chce je odblokowac
  #$ip -A INPUT -p tcp --dport 21 -j ACCEPT
  #$ip -A INPUT -p udp --dport 21 -j ACCEPT
  
  $ip -A INPUT -i lo -j ACCEPT
  $ip -A FORWARD -o lo -j ACCEPT
  
  #------- zezwolenie na laczenie sie z naszym serverem na portach kolejno SSH, VPN
  
  $ip -A INPUT -p tcp --dport 22 -j ACCEPT
  $ip -A INPUT -p udp --dport 22 -j ACCEPT
  
  $ip -I INPUT -i eth1 -p udp -d 192.168.2.X --dport 170XX -j ACCEPT
  
  # #######################################################################
  # Ruch ICMP
  # odbieranie oraz odpowiadanie na wszystkie komunikaty z kazdej sieci,
  # interfejsu oraz hosta
  
  $ip -A INPUT -p icmp -j ACCEPT #wejscie
  $ip -A OUTPUT -p icmp -j ACCEPT #wyjscie
  
  $ip -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  $ip -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
  
  # #######################################################################
  # Forwardowanie ruchu z tun0 na 10.11.0.0
  
  $ip -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.11.0.0/24 -j ACCEPT
  
  # #######################################################################
  # NAT dla 10.8.0.0
  
  #$ip -t nat -A PREROUTING -p udp -d 10.8.0.0 -j DNAT --to 10.11.0.0
  #$ip -t nat -A POSTROUTING -d 10.11.0.0 -j MASQUERADE
  

  Kod: Zaznacz cały

  root@debian:/usr/local/etc/openvpn# ls
  cacert.pem  dh1024.pem  openvpn.conf    serverkey.pem_bezhasla
  ccd         ipp.txt     servercert.pem
  

Plik konfiguracyjny serwera:

Kod: Zaznacz cały

dev tun                                #rodzaj interfejsu
local 192.168.X.X                    #adres IP serwera - eth1 (czyli ten na który kieruje ruch router brzegowy)
proto udp                              #protokol transportowy tunelu
port 170XX
user openvpn
group openvpn
ca cacert.pem                          #certyfikat CA
cert servercert.pem                    #certyfikat serwera
key serverkey.pem_bezhasla             #klucz prywatny serwera
dh dh1024.pem                          #plik z parametrami protokolu D-H
ifconfig 10.8.0.1 10.8.0.2
server 10.8.0.0 255.255.255.0          #klasa adresowa, przydzielamy IP klientom
ifconfig-pool-persist ipp.txt          #zawiera info o przydzielonych adresach IP
client-config-dir ccd                  #katalog z plikami specyficznych usu uzyt
keepalive 10 120
comp-lzo                               #algorytm kompresji
push "route 192.168.X.X 255.255.255.0" #trasa do sieci 'firmowej' / chyba nie gula

Kod: Zaznacz cały

../ccd.txt -ls

ifconfig-push 10.8.0.0 10.11.0.0
Lukasz 10.8.0.4 masq forward 10.11.32[tcp^all]10.11.0.0[tcp^all]

Kod: Zaznacz cały

../ipp.txt -ls

Kod: Zaznacz cały

Lukasz 10.8.0.4

Dlaczego mam 10.8.0.4 skoro w konfigu opencpn-serv mam ustawione:

Kod: Zaznacz cały

ifconfig 10.8.0.1 10.8.0.2.

Trochę to wykracza poza zakres.. Nie wspomnę, że na kliencie w ogóle mam 10.8.0.6 i nie mam zielonego pojęcia skąd się to wzięło.

Opis problemu

(+) - działa
(-) - nie działa


[INDENT](+) Połączenie VPN - zestawione
(+) Serwer VPN uruchomiony pokazuje ruch po połączeniu klienta
(+) Sygnał ping z klienta na adres 10.8.0.6 i 10.8.0.1 odbija się.
(+) ping na serwerze 10.8.0.1 odbija się
(-) serwer nie może spingować 10.8.0.4, 10.8.0.6, 10.8.0.2
(-) Klient nie może wysłać sygnału ping do eth0, czyli brak dostępu do sieci wewnętrznej LAN [/INDENT]


Już trzeci tydzień z tym walczę i nie powiem, jestem zmęczony. Jestem początkującym w tej dziedzinie (a ta usługa ma dotyczyć mojej pracy inżynierskiej). Pytanie może, jak na laika, ale jest osobą, która byłaby w stanie pomóc początkującemu zrobić dostęp do tej wewnętrznej sieci LAN? To mój pierwszy post z tym pytaniem, w sieci (oczywiście szperałem i szukałem włączając to forum, ale odpowiedzi nie były dla mnie pomocne). Jeżeli mam umieścić logi to jakie i skąd - postaram się jutro je z pracy pozbierać.

Pozdrawiam i liczę, że ktoś znajdzie czas na pomoc. Zico

[mariaczi]

Dlaczego mam 10.8.0.4 skoro w konfigu opencpn-serv mam ustawione:

Kod: Zaznacz cały

ifconfig 10.8.0.1 10.8.0.2.

Trochę to wykracza poza zakres.. Nie wspomnę, że na kliencie w ogóle mam 10.8.0.6 i nie mam zielonego pojęcia skąd się to wzięło.

Zerknij do dokumentacji OpenVPN za co jest odpowiedzialna opcja ifconfig, a przy okazji w jaki sposób są przydzielane adresy.

W konfiguracji serwera masz ustawiony parametr:

Kod: Zaznacz cały

client-config-dir ccd

co oznacza, że w katalogu konfiguracji serwera musisz mieć utworzony katalog ccd, gdzie będzie znajdować się część konfiguracji dla klientów. Nazwa danego pliku konfiguracji klienta musi być taka sama, jaką podałeś w polu "Common Name" w chwili generowania certyfikatu.

(-) serwer nie może spingować 10.8.0.4, 10.8.0.6, 10.8.0.2

Aby serwer pingował klientów dodaj w jego konfiguracji

Kod: Zaznacz cały

push "route 10.8.0.0 255.255.255.0"

(-) Klient nie może wysłać sygnału ping do eth0, czyli brak dostępu do sieci wewnętrznej LAN

Aby klienci mieli dostęp do sieci firmowej dodaj w konfiguracji klienta (możesz to zrobić w konfiguracji na kliencie bądź we wspomnianym już wcześniej pliku konfiguracji klienta znajdującym się na serwerze)

Kod: Zaznacz cały

push "route 10.11.0.0 255.255.255.0"

Mam nadzieję, że się nie machnąłem. Pisane z pamięci.

[Zico]

Aby serwer pingował klientów dodaj w jego konfiguracji

Dodałem push i konfig wygląda tak:

Kod: Zaznacz cały

dev tun                                #rodzaj interfejsu
local 192.168.2.XXX                    #adres IP serwera
proto udp                              #protokol transportowy tunelu
port 17003
user openvpn
group openvpn
ca cacert.pem                          #certyfikat CA
cert servercert.pem                    #certyfikat serwera
key serverkey.pem_bezhasla             #klucz prywatny serwera
dh dh1024.pem                          #plik z parametrami protokolu D-H
server 10.8.0.0 255.255.255.0          #klasa adresowa, przydzielamy IP klientom
ifconfig-pool-persist ipp.txt          #zawiera info o przydzielonych adresach $
client-config-dir ccd                  #katalog z plikami specyficznych usu uzyt
keepalive 10 120
comp-lzo                               #algorytm kompresji
push "route 10.8.0.0 255.255.255.0"    #trasa do sieci 'firmowej'

Na serwerze:

Kod: Zaznacz cały

root@debian:/usr/local/etc/openvpn# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.11.0.0       *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.252.0   U     0      0        0 eth1
default         192.168.2.1     0.0.0.0         UG    0      0        0 eth1
default         10.11.0.1       0.0.0.0         UG    0      0        0 eth0

Na kliencie (plik konfig u klienta Windows7):

Kod: Zaznacz cały

dev tun
client
remote XXX.XXX.XXX.XXX
proto udp
port 170XX

nobind
ca cacert.pem
cert user.crt
key user.key
comp-lzo
route-method exe
route-delay 2
push "route 10.11.0.0 255.255.255.0"
verb 3

Logi z połączenia:

Kod: Zaznacz cały

Fri Nov 18 12:14:42 2011 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26 2011
Fri Nov 18 12:14:42 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Nov 18 12:14:42 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Nov 18 12:14:46 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Nov 18 12:14:46 2011 LZO compression initialized
Fri Nov 18 12:14:46 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Nov 18 12:14:46 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Nov 18 12:14:46 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Nov 18 12:14:46 2011 Local Options hash (VER=V4): '41690919'
Fri Nov 18 12:14:46 2011 Expected Remote Options hash (VER=V4): '530fdded'
Fri Nov 18 12:14:46 2011 UDPv4 link local: [undef]
Fri Nov 18 12:14:46 2011 UDPv4 link remote: 83.25.162.XXX:170XX
Fri Nov 18 12:14:46 2011 TLS: Initial packet from 83.25.162.XXX:170XX, sid=03d60a3e cb21351e
Fri Nov 18 12:14:46 2011 VERIFY OK: depth=1, /C=PL/ST=WM/L=Olsztyn/O=Orangelab/CN=Orangelab
Fri Nov 18 12:14:46 2011 VERIFY OK: depth=0, /C=PL/ST=WM/O=Orangelab/CN=server.orangelab.pl
Fri Nov 18 12:14:46 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 18 12:14:46 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 18 12:14:46 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 18 12:14:46 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 18 12:14:46 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Nov 18 12:14:46 2011 [server.orangelab.pl] Peer Connection Initiated with 83.25.162.XXX:170XX
Fri Nov 18 12:14:49 2011 SENT CONTROL [server.orangelab.pl]: 'PUSH_REQUEST' (status=1)
Fri Nov 18 12:14:49 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Nov 18 12:14:49 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Nov 18 12:14:49 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Nov 18 12:14:49 2011 OPTIONS IMPORT: route options modified
Fri Nov 18 12:14:49 2011 ROUTE default_gateway=192.168.10.1
Fri Nov 18 12:14:49 2011 TAP-WIN32 device [Połączenie lokalne 2] opened: \\.\Global\{A96D6F37-82FD-490D-B903-D399DD41A69B}.tap
Fri Nov 18 12:14:49 2011 TAP-Win32 Driver Version 9.8 
Fri Nov 18 12:14:49 2011 TAP-Win32 MTU=1500
Fri Nov 18 12:14:49 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {A96D6F37-82FD-490D-B903-D399DD41A69B} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Nov 18 12:14:49 2011 Successful ARP Flush on interface [30] {A96D6F37-82FD-490D-B903-D399DD41A69B}
Fri Nov 18 12:14:51 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Nov 18 12:14:51 2011 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
 OK!
Fri Nov 18 12:14:51 2011 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
 OK!
Fri Nov 18 12:14:51 2011 Initialization Sequence Completed

Klient:

Kod: Zaznacz cały

C:\Users\Dom>ipconfig
Konfiguracja IP systemu Windows

Karta Ethernet Połączenie lokalne 2:
   Sufiks DNS konkretnego połączenia :
   Adres IPv6 połączenia lokalnego . : fe80::1ca4:d763:e2be:8beb0
   Adres IPv4. . . . . . . . . . . . . : 10.8.0.6
   Maska podsieci. . . . . . . . . . : 255.255.255.252
   Brama domyślna. . . . . . . . . . :

Karta bezprzewodowej sieci LAN Połączenie sieci bezprzewodowej:
   Sufiks DNS konkretnego połączenia : WAG160N
   Adres IPv6 połączenia lokalnego . : fe80::d9c5:2cae:b3f6:18d3
   Adres IPv4. . . . . . . . . . . . . : 192.168.10.103
   Maska podsieci. . . . . . . . . . : 255.255.255.0
   Brama domyślna. . . . . . . . . . : 192.168.10.1

Karta Ethernet Połączenie lokalne:
   Stan nośnika . . . .  . . . . . . .: Nośnik odłączony
   Sufiks DNS konkretnego połączenia :
Karta tunelowa isatap.WAG160N:
   Stan nośnika . . . .  . . . . . . .: Nośnik odłączony
   Sufiks DNS konkretnego połączenia : WAG160N
Karta tunelowa Teredo Tunneling Pseudo-Interface:
   Sufiks DNS konkretnego połączenia :
   Adres IPv6. . . . . . . . . . . . : 2001:0:5ef5:79fb:38cb:388c:4dd5:72ef
   Adres IPv6 połączenia lokalnego . : fe80::38cb:388c:4dd5:72ef
   Brama domyślna. . . . . . . . . . : ::

Kod: Zaznacz cały

route print

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
          0.0.0.0          0.0.0.0     192.168.10.1   192.168.10.103     25
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     31
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     31
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    286
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    286
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.10.0    255.255.255.0         On-link    192.168.10.103    281
   192.168.10.103  255.255.255.255         On-link    192.168.10.103    281
   192.168.10.255  255.255.255.255         On-link    192.168.10.103    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.10.103    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.10.103    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    286
===========================================================================
Trasy trwałe:
  Brak

Polecenia ping dalej nie przechodzą.

Edycja:
Dodatkowo załączam plik firewalla:

Kod: Zaznacz cały

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start Deb-firewall at boot time
# Description:       Enable service provided by Deb-firewall.
### END INIT INFO

#!/bin/bash

#------- forwardownie echo "1" > /proc/sys/net/ipv4/ip_forward
#------- pingowanie echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#------- zmienne

ip="/sbin/iptables"

#------- czyszczenie starych regul, NAT'ow i filtrow

$ip -F
$ip -F -t nat
$ip -F -t filter
$ip -X
$ip -X -t nat
$ip -X -t filter

#------- Polityka bezpieczenstwa (dzialania)

$ip -P FORWARD DROP
#$ip -P INPUT DROP
$ip -P OUTPUT ACCEPT

##### FTP - jezeli chce je odblokowac
#$ip -A INPUT -p tcp --dport 21 -j ACCEPT
#$ip -A INPUT -p udp --dport 21 -j ACCEPT

$ip -A INPUT -i lo -j ACCEPT
$ip -A FORWARD -o lo -j ACCEPT

#------- zezwolenie na laczenie sie z naszym serverem na portach kolejno SSH, VPN

$ip -A INPUT -p tcp --dport 22 -j ACCEPT
$ip -A INPUT -p udp --dport 22 -j ACCEPT

$ip -I INPUT -i eth1 -p udp -d 192.168.2.XXX --dport 170XX -j ACCEPT

# #######################################################################
# Ruch ICMP
# odbieranie oraz odpowiadanie na wszystkie komunikaty z kazdej sieci,
# interfejsu oraz hosta

$ip -A INPUT -p icmp -j ACCEPT #wejscie
$ip -A OUTPUT -p icmp -j ACCEPT #wyjscie

$ip -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$ip -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

# #######################################################################
# Forwardowanie ruchu z tun0 na 10.11.0.0

###$ip -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.11.0.0/24 -j ACCEPT

$ip -A INPUT -i tun+ -j ACCEPT
$ip -A FORWARD -i tun+ -j ACCEPT

# #######################################################################
# NAT dla 10.8.0.0

$ip -A POSTROUTING -t nat -s 10.8.0.0/24 -j MASQUERADE
$ip -A FORWARD -d 10.8.0.0/24 -j ACCEPT
$ip -A FORWARD -s 10.8.0.0/24 -j ACCEPT
$ip -A FORWARD -d 10.11.0.0/24 -j ACCEPT
$ip -A FORWARD -s 10.11.0.0/24 -j ACCEPT

[Cyphermen]

Blokujesz ping dla przekierowania, albo odblokuj opcję:

Kod: Zaznacz cały

echo request

w przekierowaniu firewalla albo testuj w inny sposób. Ogólnie polecam zrobić opcję ,,accept'' dla przekierowania i sprawdzić czy działa.

Jeśli to nie to, to powyłączaj firewalle na maszynach w sieci lan.

W ostateczności jeśli to nie pomoże, przyjrzyj się dokładniej konfigowi.

[Zico]

Blokujesz ping dla przekierowania, albo odblokuj opcję:

Kod: Zaznacz cały

echo request

w przekierowaniu firewalla albo testuj w inny sposób. Ogólnie polecam zrobić opcję ,,accept'' dla przekierowania i sprawdzić czy działa.

Wewnątrz sieci LAN, gdy wysyłam sygnał ping z innych urządzeń eth0 serwera wszystko działa.

Przy wyłączonym firewallu dalej to samo, nie otrzymuję ping się od klienta (Windows7) do interfejsu serwera eth0. Tak samo jest jak ustawię przekierowanie na ,,ACCEPT'' (wydaje mi się, że nie blokuję jeśli tak to gdzie).

Tcpdump na serwerze gdy wysyłam sygnał ping na adres 10.8.0.1 z klienta:

Kod: Zaznacz cały

root@debian:~# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
07:47:53.659786 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1, seq 212, length                                              40
07:47:53.660030 IP 10.8.0.1 > 10.8.0.6: ICMP echo reply, id 1, seq 212, length 4                                             0
07:47:54.661428 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1, seq 213, length                                              40
07:47:54.661547 IP 10.8.0.1 > 10.8.0.6: ICMP echo reply, id 1, seq 213, length 4                                             0
07:47:55.662968 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1, seq 214, length                                              40
07:47:55.663079 IP 10.8.0.1 > 10.8.0.6: ICMP echo reply, id 1, seq 214, length 4                                             0
07:47:56.665214 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1, seq 215, length                                              40
07:47:56.665304 IP 10.8.0.1 > 10.8.0.6: ICMP echo reply, id 1, seq 215, length 4                                             0

8 packets captured
8 packets received by filter
0 packets dropped by kernel

Natomiast gdy wysyłam sygnał ping adres -eth0 (10.11.X.X) serwera, tcpdump nic nie dostaje na 10.8.0.1.

Dla mnie to wygląda jakby cokolwiek jest z poza adresacji 10.8.0.0 w ogóle nie było wysyłane tunelem.

[mariaczi]

Do której podsieci chcesz mieć dostęp z klienta?
Jak możesz podaj proszę na które IP ping nie przechodzi.

[Zico]

Tj. mam rysunek to klient (Windows7) łączy się przez internet z serwerem, który ma dwie sieci:
[INDENT]- brzegowa (adsl z dostępem do internetu) <- tędy przechodzi tunel (wchodzi na eth1 serwera),
- wewnętrzna 10.11.0.31 (eth0 serwera).[/INDENT]
Po połączeniu się przez vpn do serwera, nie mogę wysłać sygnału ping do eth0 serwera (10.11.0.31), to jak eth0 nie wysyła sygnału ping, to podczas wysyłania ping do 10.8.0.0 tcpdumpem widzę. że nie wraca nic:

Kod: Zaznacz cały

root@debian:~# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
08:12:49.705981 IP 10.8.0.6 > 10.8.0.0: ICMP echo request, id 1, seq 232, length 40
08:12:49.706155 IP 10.8.0.1 > 10.8.0.0: ICMP echo request, id 1, seq 232, length 40
08:12:54.639624 IP 10.8.0.6 > 10.8.0.0: ICMP echo request, id 1, seq 233, length 40
08:12:54.639740 IP 10.8.0.1 > 10.8.0.0: ICMP echo request, id 1, seq 233, length 40
08:12:59.639087 IP 10.8.0.6 > 10.8.0.0: ICMP echo request, id 1, seq 234, length 40
08:12:59.639168 IP 10.8.0.1 > 10.8.0.0: ICMP echo request, id 1, seq 234, length 40
08:13:04.638477 IP 10.8.0.6 > 10.8.0.0: ICMP echo request, id 1, seq 235, length 40
08:13:04.638557 IP 10.8.0.1 > 10.8.0.0: ICMP echo request, id 1, seq 235, length 40

8 packets captured
8 packets received by filter
0 packets dropped by kernel

A teraz tcdump pokazuje jak wysyłam ping z serwera klienta (Windows7):

Kod: Zaznacz cały

root@debian:~# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
08:26:54.945912 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 8, length 64
08:26:55.953861 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 9, length 64
08:26:56.961841 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 10, length 64
08:26:57.969838 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 11, length 64
08:26:58.977837 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 12, length 64
08:26:59.985845 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 13, length 64
08:27:00.993868 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 1192, seq 14, length 64

Jak widać też nie wraca.

[mariaczi]

Na kliencie brakuje trasy do tej sieci.
Na serwerze natomiast musisz zezwolić na ruch między siecią 10.8.0.0/24 a siecią 10.11.0.0/24.

[Zico]

A mógłbyś podać przykład tej trasy (teoretycznie w pliku konfiguracyjnym klienta to wstawiałem Twój wpis "push")?
Zezwolić na ruch, czyli w firewallu mam to zrobić. czy źle rozumiem. Wydaje mi się, że w firewallu zezwoliłem.

[Unit]

Opcja

Kod: Zaznacz cały

push "route 10.11.0.0 255.255.255.0"

ma być wpisana do konfiguracji serwera, a nie klienta. Klient tą konfiguracje dostaje przy połączeniu.