[+] OpenVPN - po

[pgsyogi]

Cześć,
Wczoraj postawiłem sobie na virtualce serwer OpenVPN. Niby wszystko ładnie, pięknie ale jest jeden problem. Pomimo połączenia z vpnem nie mam dostępu do sieci domowej. Nie mogę pingować routera, o pozostałych komputerach nie wspominając. Jest to mój jeden jedyny problem, którego nie mogę przeskoczyć.
Na routerze ustawiłem przekierowanie z portów 23432 bezpośrednio do serwera. Coś przeoczyłem?

Moje ustawienia są takie:
Serwer

port 23432
proto udp
dev tun0
ca keys/openvpn-test/ca.crt
cert keys/openvpn-test/server.crt
key keys/openvpn-test/server.key
dh keys/openvpn-test/dh2048.pem
server 10.8.3.0 255.255.255.0
crl-verify keys/openvpn-test/crl.pem
cipher AES-256-CBC
user root
group root
status servers/serwer-testowy/logs/openvpn-status.log
log-append servers/serwer-testowy/logs/openvpn.log
verb 2
mute 20
max-clients 2
keepalive 10 120
client-config-dir /etc/openvpn/servers/serwer-testowy/ccd
tls-server
comp-lzo
persist-key
persist-tun
ccd-exclusive
mode server
push "route 192.168.0.1 255.255.255.0"

Klient

client
proto udp
dev tun
ca ca.crt
dh dh2048.pem
cert yogi.crt
key yogi.key
remote <IP mojego routera> 23432
cipher AES-256-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

IPTables

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:23432
ACCEPT all -- anywhere anywhere
icmp -- anywhere anywhere


Chain FORWARD (policy ACCEPT)
target prot opt source destination


Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Chain fail2ban-ssh (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere


Chain ssh_external (0 references)
target prot opt source destination

Routing na serwerze

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.3.0 10.8.3.2 255.255.255.0 UG 0 0 0 tun0
10.8.3.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0

Routing po połączeniu z VPN

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci Maska sieci Brama Interfejs Metryka
0.0.0.0 0.0.0.0 192.168.120.247 192.168.121.148 20
10.8.3.1 255.255.255.255 10.8.3.5 10.8.3.6 30
10.8.3.4 255.255.255.252 On-link 10.8.3.6 286
10.8.3.6 255.255.255.255 On-link 10.8.3.6 286
10.8.3.7 255.255.255.255 On-link 10.8.3.6 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.56.0 255.255.255.0 On-link 192.168.56.1 276
192.168.56.1 255.255.255.255 On-link 192.168.56.1 276
192.168.56.255 255.255.255.255 On-link 192.168.56.1 276
192.168.120.0 255.255.254.0 On-link 192.168.121.148 276
192.168.121.148 255.255.255.255 On-link 192.168.121.148 276
192.168.121.255 255.255.255.255 On-link 192.168.121.148 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 10.8.3.6 286
224.0.0.0 240.0.0.0 On-link 192.168.121.148 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.56.1 276
255.255.255.255 255.255.255.255 On-link 10.8.3.6 286
255.255.255.255 255.255.255.255 On-link 192.168.121.148 276

[markossx]

Kod: Zaznacz cały

client-to-client

- powinno pomóc.

[pgsyogi]

dzięki za szybką odpowiedź jednak albo źle dodałem albo po prostu nie pomogło
na wszystkie sposoby, albo zamiast mode server wrzucilem c2c albo zaraz pod...

Generalnie wyszło, że mogę pingować tun0 z kompa podpiętego przez vpn i vice versa ale za cholere nie idzie pingować routera
zakładam zatem, że coś zwaliłem z routingiem

[edit] - wydaje mi sie, ze namierzylem gdzie jest problem - moj router nie obsluguje routingu po lanie w najnowszym sofcie jak wyczaje mozliwosc downgrade'u to postaram sie jeszcze raz ustawic

[pawkrol]

Włączyłeś w /etc/sysctl.conf
net.ipv4.ip_forward=1 ?

Ponadto zerknij czy komputery oraz router nie blokują połączeń z sieci 10.8.3.0

[pgsyogi]

wlaczylem jeszcze przed konfiguracja openvpn

generalnie cos nie wyszlo jak wczesniej pisalem posta ale wydaje mi sie ze problem tkwi po stronie routera tak jak mowisz
flashowalem go ale ... raz ze zrobilem to zdalnie (lol), dwa ze pewnie wisi na "complete" lub "failed" i czeka na akcje aby sie zrestartowac a ze nie ma mnie w domu to
akcja nie nastapi przed 17 :>

w kazdym razie problem z tego co mowi internet tkwil w opcji routingu gdyz na najnowszym sofcie DiR 635 nie byl w stanie obsluzyc przekazywania pakietow wewn. interface'u LAN... W ogole nie mialem opcji routingu po LANie a do pooprawnego działania muszę jakoś przeskoczyć między podsieciami...

Ponoć starczy soft sobie z tym radzil wiec zobaczymy czy downgrade cos pomoze
jakby sie cos zmienilo to napewno dam znac

[edit] ustawilem w razie czego routing na moim D-Linku ale czy aby faktycznie potrzebuje to robic? Serwer widnieje w tym momencie w 2 siechach jako:
- 192.168.0.193
- 10.8.3.2

Mogę pingować z serwera zarówno router jak i połączone kompy przez VPN ale nie mogę przeskoczyć aby ping z iface 10.8.3.0 był routowany i widoczny w sieci jako 192.168.0.193

Na kompie z windowsem (tym z ktorego lacze sie z vpn) dodalem trade :
192.168.0.0 MASK 255.255.255.0 10.8.3.2
bez rezultatu

[pgsyogi]

ok Działa!
problemem byl routing na serwerze,
dodałem do tabeli wejście w sieć 192.168.0.0/24 przez eth0 i zatrybiło

mimo wszyzstko dziex za rady

[finch84]

ok Działa!
problemem byl routing na serwerze,
dodałem do tabeli wejście w sieć 192.168.0.0/24 przez eth0 i zatrybiło

mimo wszyzstko dziex za rady

było by miło jak byś napisał w jaki sposób wygląda reguła którą dodałeś bo chyba mam ten sam problem, a już na pewno mam taki sam układ sieci i nie moge pingować nic wewnątrz sieci poza adresami servera openvnc tun0 oraz eth0

[pgsyogi]

[TABLE="class: ui_table sortable"]
[TR="class: maintitle, bgcolor: #427AD1"]
[TD][/TD]
[TD]Destination[/TD]
[TD]Gateway[/TD]
[TD]Netmask[/TD]
[TD]Interface[/TD]
[/TR]
[TR="class: mainbody row1, bgcolor: #EFEFEF"]
[TD="class: ui_checked_checkbox"][/TD]
[TD]Default Route[/TD]
[TD]192.168.0.1[/TD]
[TD][/TD]
[TD]eth0[/TD]
[/TR]
[TR="class: mainbody row0, bgcolor: #EFEFEF"]
[TD="class: ui_checked_checkbox, width: 5"][/TD]
[TD]10.8.3.0[/TD]
[TD]10.8.3.2[/TD]
[TD]255.255.255.0[/TD]
[TD]tun0[/TD]
[/TR]
[TR="class: mainbody row1, bgcolor: #EFEFEF"]
[TD="class: ui_checked_checkbox, width: 5"][/TD]
[TD]10.8.3.2[/TD]
[TD]None[/TD]
[TD]255.255.255.255[/TD]
[TD]tun0[/TD]
[/TR]
[TR="class: mainbody row0, bgcolor: #EFEFEF"]
[TD="class: ui_checked_checkbox, width: 5"][/TD]
[TD]192.168.0.0[/TD]
[TD]None[/TD]
[TD]255.255.255.0[/TD]
[TD]eth0[/TD]
[/TR]
[/TABLE]

webmina wrzucilem w miedzyczasie Ciebie najpewniej bedzie interesowala ostatnia. Jezeli masz inna podsiec to odpowiednio zmodyfikuj
Dodatkowo moze byc sytuacja ze na routerze musialbys wpuscic pakiety aby na porcie xxxx szly do maszyny na ktorej masz OVPN. Ja musialem zrobic to na okolo poniewaz moj router nie ma tak fajnych opcji i jedynie umozliwial mi forwardowanie pakietow po lanie. Po zainstalowaniu odpowiedniej wtyczki do firefoxa moglem sobie wpisac poprawna regule na routerze i wszystko poszlo z gorki a jezeli masz opcjie routingu z WAN to jestes w domu :>

[finch84]

Pogoglowałem wczoraj jeszcze godzinkę i znalazłem rozwiązanie standardową metodą "po sznurku do kłębka" należało w serwerowym kernelu dodać opcję forwardingu, oraz zrobić maskarade z sieci 10.10.x.0 (tun0) na sieć lan 192.168.1.0 lub na interfejs eth0. W tym momencie pojawiły się odpowiedzi z sieci lan podczas pingowania maszyn 192.168.1.x. naturalnie mój router ma przekierowany port na którym pracuje server vpn do tegoż serwera. Teraz jeszcze popracuje nad tematem wyjścia na świat poprzez tunel vpn. Pozdrawiam

[pgsyogi]

aby dzialalo mi wyjscie na swiat wystarczylo na routerze wpisac jedna rzecz:
https://www.dropbox.com/s/afmb6bix0zotc ... 8.png?dl=0