Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Zestawienie tunelu mi

https://www.debian.pl/viewtopic.php?t=21486

Strona 3 z 9

: 06 stycznia 2011, 22:30
autor: Cyphermen
Polecenie:

Kod: Zaznacz cały

push route
sprawia, że do tablicy rutingu dodawane są trasy do danej podsieci. Jeśli na ruterze2 będą trasy do sieci po stronie rutera1 to muszą się widzieć.

Przykład nie jest mój, przedstawiłem go z jakiejś strony ale powinien działać.

: 06 stycznia 2011, 22:56
autor: PioDer
Moja sieć: 192.168.0.0/24, sieć kolegi 192.168.1.0/24. W związku z tym, na moim serwerze mam taką konfigurację OpenVPN:

Kod: Zaznacz cały


local 192.168.0.1
port 1212
proto udp
dev tap

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret

dh /etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.88.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"

client-config-dir ccd
route 192.168.1.0 255.255.255.0

client-to-client
push "route 192.168.1.0 255.255.255.0"

keepalive 10 120

comp-lzo
#user nobody
#group nobody
persist-key
persist-tun

#status openvpn-status.log
#log         openvpn.log
verb 3
mute 10
Czy dobrze? Bo wyrzuca mi jeden z komunikatów
OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.1.0

: 06 stycznia 2011, 23:49
autor: Ister
Mam wrażenie, że próbujesz samym VPNem załatwić sprawę, a to nie wystarczy.
Musisz:
1. Skonfigurować VPN tak, żeby działało połączenie serwer-serwer (dopóki to nie działa, nie martw się resztą)
2. Skonfigurować sieci lokalne (serwery DHCP?) tak, żeby miały różne adresacje (uwaga - adresacja sieci VPN musi być inna niż każda z sieci lokalnych). Np. jeśli sieć VPN pracuje na adresacji 10.0.0.0/255.255.255.0, to sieć lokalna (za NATem/maskaradą) po stronie serwera A może być 192.168.1.0/255.255.255.0, a sieć lokalna po stronie serwera B 192.168.2.0/255.255.255.0
3. Skonfigurować routing+forwarding z sieci lokalnej A do sieci lokalnej B i odwrotnie na obu serwerach
4. Skonfigurować routing/forwarding z sieci lokalnych do internetu na obu serwerach.
Dopiero wtedy działać będzie wszystko jak trzeba. Dodam, że powinieneś mieć mniej więcej taki układ:

Sieć lokalna A (192.168.1.2-192.168.1.254) = (192.168.1.1 eth1) Serwer A (89.1.2.3 eth0 + 10.0.0.1 tun0) = INTERNET
INTERNET = (234.10.9.8 eth0 + 10.0.0.2 tun0) Serwer B (192.168.2.1 eth1) = (192.168.2.2 - 192.168.2.254) Sieć lokalna B

: 06 stycznia 2011, 23:57
autor: PioDer
Dokładnie tak mam :)
Podsieć sieci A: 192.168.0.0/24
Podsieć sieci B: 192.168.1.0/24
Podsieć VPN: 10.0.0.0/24
Jak uruchomić forwardowanie na obu serwerach, żeby przykładowy komputer z sieci A mógł skomunikować się z przykładowym komputerem sieci B i vice versa?

: 07 stycznia 2011, 00:09
autor: Ister
Co aktualnie masz ustawione w iptables (skoncentrujmy się na jednym z serwerów, na drugim będzie analogicznie tylko pozamieniane miejscami sieci)?

: 07 stycznia 2011, 00:13
autor: PioDer
Tak mniej-więcej wygląda konfiguracja iptables na moim serwerze (u kolegi podobnie - bazował na moich plikach):

Kod: Zaznacz cały

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#przekierowanie na cala siec
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 1212 -j ACCEPT

iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT

: 07 stycznia 2011, 00:17
autor: Ister
Ok, podaj mi jeszcze co wyświetla

Kod: Zaznacz cały

route -n

: 07 stycznia 2011, 00:26
autor: PioDer
Tablica routingu mojego serwera:

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.25.2.230    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

: 07 stycznia 2011, 00:38
autor: Ister
Czy to jest z włączonym tunelem? Jeśli nie, to czy możesz włączyć i podać jeszcze raz?
Ostrzegam, moje myślenie szybko się wyłącza, jak zacznę gadać bzdury to krzycz ;-)

Acha i przy włączonym tunelu podaj mi jeszcze wynik

Kod: Zaznacz cały

ifconfig

: 07 stycznia 2011, 00:46
autor: PioDer
Tak wygląda route z włączonym tunelem:

Kod: Zaznacz cały

misiek:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
213.25.2.230    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
Oraz ustawienia kart sieciowych:

Kod: Zaznacz cały

eth0      Link encap:Ethernet  HWaddr 00:19:e0:0e:a0:8b  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::219:e0ff:fe0e:a08b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:110799 errors:0 dropped:0 overruns:0 frame:0
          TX packets:138706 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:12671779 (12.0 MiB)  TX bytes:166942874 (159.2 MiB)
          Interrupt:11 Base address:0xc000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:5907 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5907 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:728571 (711.4 KiB)  TX bytes:728571 (711.4 KiB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:xx.xx.xx.xx  P-t-P:213.25.2.230  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:108245 errors:0 dropped:0 overruns:0 frame:0
          TX packets:87530 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:127006660 (121.1 MiB)  TX bytes:9180930 (8.7 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
Strefa czasowa UTC+02:00
Strona 3 z 9

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl