Openvpn z pe

jacexx · Post autor: **jacexx** » 24 kwietnia 2014, 09:20

Witam
Na Debianie zainstalowałem openvpn w celu uzyskania zdalnego dostępu do zasobów sieci lokalnej w firmie, na serwerze na którym jest zainstalowane openvpn posiadam dwa fizyczne interfejsy:

eth0 192.168.1.10
eth1 192.168.177.10

Oraz tun dla VPN o adresie 10.8.0.1, który po połączeniu mogę spingować.

W sieci lokalnej jest kolejny serwer Windows do którego chcę mieć dostęp na wszystkich portach o adresie 192.168.1.3. Po połączeniu się vpn tak jak napisałem pinguję interfejs tun, oraz eth0, ale w żaden sposób nie mogę spingować serwera z Windwosem

W konfiguracji serwera VPN dodałem katalog ccd z danymi dla danego użytkownika który wygląda tak:

Kod: Zaznacz cały

ifconfig-push 10.8.0.22 10.8.0.21
push "route 192.168.1.3 255.255.255.255"
push "route 192.168.1.10 255.255.255.255"

Tabela routingu na serwerze wygląda tak:

Kod: Zaznacz cały

192.168.177.0   *               255.255.255.0   U     0      0        0 eth1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

U klienta tabela route wygląda tak:

Kod: Zaznacz cały

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102     20
         10.8.0.1  255.255.255.255        10.8.0.21        10.8.0.22     31
        10.8.0.20  255.255.255.252         On-link         10.8.0.22    286
        10.8.0.22  255.255.255.255         On-link         10.8.0.22    286
        10.8.0.23  255.255.255.255         On-link         10.8.0.22    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0  255.255.255.255        10.8.0.21        10.8.0.22     31
      192.168.1.3  255.255.255.255        10.8.0.21        10.8.0.22     31
      192.168.1.6  255.255.255.255        10.8.0.21        10.8.0.22     31
     192.168.1.10  255.255.255.255        10.8.0.21        10.8.0.22     31
      192.168.2.0    255.255.255.0         On-link     192.168.2.102    276
    192.168.2.102  255.255.255.255         On-link     192.168.2.102    276
    192.168.2.255  255.255.255.255         On-link     192.168.2.102    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         10.8.0.22    286
        224.0.0.0        240.0.0.0         On-link     192.168.2.102    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         10.8.0.22    286
  255.255.255.255  255.255.255.255         On-link     192.168.2.102    276
===========================================================================
Trasy trwae:
  Brak

Bardzo proszę o pomoc w jaki sposób mogę sie połączyć z tym serwerem Windows który jest w zdalnej sieci lokalnej i posiada adres 192.168.1.3, oczywiście serwer vpn 192.168.1.10 pinguje go bez problemu.

Post autor: **LordRuthwen** » 24 kwietnia 2014, 09:29

A jakiś iptables nie blokuje czasem?

pone13 · Post autor: **pone13** » 24 kwietnia 2014, 11:23

Nie masz złych masek?

push "route 192.168.1.3 255.255.255.255"
push "route 192.168.1.10 255.255.255.255"

jacexx · Post autor: **jacexx** » 24 kwietnia 2014, 18:07

Dziękuję za odpowiedz, wynik z ustawień iptables ponizej, a co do masek to na 192.168.1.10 ta maska działa. Włączyłem dodatkowo ip_forward=1, ale to nie pomogło. Może właśnie za pomocą iptables można "przepchnąć" ten ruch do 192.168.1.3 ?
Wynik z iptables z serwera:

Kod: Zaznacz cały

root@serwervpn:/home/# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

markossx · Post autor: **markossx** » 24 kwietnia 2014, 18:53

Spróbuj na tym Win:

Kod: Zaznacz cały

route add 10.8.0.0 255.0.0.0 10.8.0.1 metryka iface

Dlaczego akurat tak: 10.8.0.0/24?

Openvpn z pe

Openvpn z pełnym dostępem do zdalnej sieci LAN