Zestawienie tunelu mi

Ister · Post autor: **Ister** » 07 stycznia 2011, 01:03

Dobrze, napisz mi jeszcze, czy w ogóle serwery się już widzą?
Czy masz możliwość zalogowania się da odległego serwera i wrzucenie tu tych samych ustawień, tzn. ustawienia vpn i wyniki:

Kod: Zaznacz cały

ifconfig
 route -n

Dodane:
W firewallu wycinasz ruch z tunelu. Wrzuć to:

Kod: Zaznacz cały

iptables -A INPUT -i tun0 -j ACCEPT

Oczywiście po drugiej stronie też.

Przy okazji - dla FORWARD masz ustawioną politykę na ACCEPT. Wszystkie wpisy odnoszące się do FORWARD dalej możesz zakomentować - i tak nic nie zmieniają.

PioDer · Post autor: **PioDer** » 07 stycznia 2011, 01:33

Kolegi pingi (sieć B) dochodzą do mojego laptopa (sieć A). Na odwrót już nie. Przedstawiam tablice routingu
a) u siebie:

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
213.25.2.230 *               255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0        *               255.255.255.0   U     0      0        0 eth0
0.0.0.0         *               0.0.0.0         U     0      0        0 ppp0

b) na kolegi serwerze:

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.5        *               255.255.255.255 UH    0      0        0 tun0
10.0.0.0        10.0.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

Cyphermen · Post autor: **Cyphermen** » 07 stycznia 2011, 07:30

W takim razie tunel działa dobrze. Błąd który był generowany wcześniej to chyba to:

Kod: Zaznacz cały

route 192.168.1.0 255.255.255.0

Spróbuj dać adres w cudzysłów a jak nie pomoże to za komentuj tą linijkę haszem #.

Powiedz koledze by wyłączył firewall na swoim komputerze klienckim i wtedy sprawdźcie.

PioDer · Post autor: **PioDer** » 07 stycznia 2011, 12:16

Problemem, który powodował błąd

OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.1.0

była linijka

Kod: Zaznacz cały

route 192.168.1.0 255.255.255.0

po

Kod: Zaznacz cały

client-to-client

Przez to, przy podłączeniu kolegi serwera do mojego przestawiała się trasa jego sieci 192.168.1.0 na tun0 i nie miał Internetu

Nie rozwiązuje to jednak problemu. Podstawą jest po podłączeniu ping serwera kolegi, ale po jego adresie lokalnym (czyli 192.168.1.10 - adres serwera w sieci B). Ping nie dochodzi.

Cyphermen · Post autor: **Cyphermen** » 07 stycznia 2011, 14:48

No to o tym błędzie ci właśnie mówiłem w poście nad Twoim.

Po raz kolejny proszę by kolega na swoim komputerze wyłączył firewall. Skoro on ma w tablicy routingu trasy odpowiednie to nie ma bata, że cię nie widzi. Chyba, że winą jest jego komputer.
Spróbuj jakieś inne urządzenie pingować z sieci B.

PioDer · Post autor: **PioDer** » 07 stycznia 2011, 15:07

On mnie widzi, ja go nie mogę zobaczyć. To oznacza, że mam u niego grzebać w firewallu na serwerze?

Cyphermen · Post autor: **Cyphermen** » 07 stycznia 2011, 15:22

Aha to Ty go nie widzisz. W takim razie, czy jest możliwość aby on odpalił w swojej sieci LAN jakiś komputer i na nim zainstalował Linuksa z ssh, otworzył port odpowiedni na firewall po czym Ty spróbowałbyś się zalogować na ten komputer?
Do tego pasowałoby teraz byś tu ładnie wypisał adresy ip Twojej sieci lan i jego, adresy bram domyślnych, adresy tunelu vpn po obu stronach, by było to jakoś czytelne wszystko. I abym mógł doszukać się problemu bo skakać po stronach tutaj mi się nie chce i oszukiwać potrzebnych informacji.

Po tym jak to tutaj rozpiszesz wklej jeszcze raz tablice routingu obu ruterów po połączeniu vpn.

A jeszcze jedno, on cię widzi ale Twój komputer kliencki rozumiem tak, który adres ty pingujesz u niego w sieci i czego to jest adres?

PioDer · Post autor: **PioDer** » 07 stycznia 2011, 15:35

Tak wyglądałoby połączenie. W nawiasach klamrowych podałem ustawienia serwera, zaś w kwadratowych - sieci:
[A] 192.168.0.5(mój laptop)<--->{192.168.0.1(brama)<--->10.0.0.1(tunel)}<--Internet-->{10.0.0.6(tunel)<--->192.168.1.1(brama)}<--->192.168.1.150(laptop kolegi)

Routing serwera w sieci A:

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
213.25.2.230    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

Routing serwera w sieci B:

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.5        *               255.255.255.255 UH    0      0        0 tun0
10.0.0.0        10.0.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

Niestety, kolegi w tej chwili nie ma, będę musiał poczekać, aż załączy u siebie klienta. Na kolegi, jak i moim laptopie jest również Debian. Nie będzie więc problemów z ustawieniem serwera ssh. Jak kolega się odezwie i spróbuje z powłoką to napiszę w temacie.

Edycja:
Tak, kolega może pingować ze swojego laptopa (192.168.1.115) mój laptop (192.168.0.5). W drugą stronę nie ma szans.

Cyphermen · Post autor: **Cyphermen** » 07 stycznia 2011, 15:42

Dobrze, spróbuj z tym ssh, a tak przy okazji, wyłączcie obydwaj firewall na serwerach, czyli

Kod: Zaznacz cały

iptables -P INPUT ACCEPT

i próbujcie wtedy.

Co to u niego jest za adres 192.168.2.1? Czemu domyślnie ruch do wszystkiego kierowany jest przez ten adres?

Jaki adres jest u niego domyślną bramą?
I najważniejsze, czy pootwierał ruch dla tun0?

Rozumiem, że Ty pingujesz jego laptop i odpowiada, a on pinguje Twój ale nie ma odpowiedzi?

PioDer · Post autor: **PioDer** » 07 stycznia 2011, 15:50

Rozuiem, że Ty pingujesz jego laptop i odpowiada, a on pinguje Twój ale nie ma odpowiedzi?

Odwrotnie. Napisałem, że kolega ze swojego laptopa może pingować mój. A karta eth0 udostępnia koledze w ogóle internet. Tutaj także do kolejnej bramy - tym razem 192.168.2.1 (ale według mnie jest to nieistotne). Jak kolega będzie to otworzymy firewalla całkowicie.
Jeżeli ja nie mogę jego laptopa pingować to oznacza, że na jego firewallu jest problem?