[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [NETVAERK] openvpn kaos



In <sslug@sslug> Lasse <sslug@sslug> writes:

>Jeg sidder og leger med en openvpn opsætning over en wan connection
>men er løbet ind i et lille problem
>jeg kan ikke nå mit server subnet fra clienten
>jeg kan pinge fra clienten til serveren
>men ikke fra clienten til de øvrige maskiner på server nettet

>min server ligger på en seperat box bag min wan gateway og hedder
>192.168.1.1 og min gateway hedder 192.168.1.254
>tun0 hedder 10.8.0.1
>så har jeg en anden box på dette net 192.168.1.49

>min client ligger naturligvis også bag en wan gateway
>min client hedder 192.168.0.2 og min gateway hedder 192.168.0.1
>tun0 hedder 10.8.0.2


Det hjælper tit med en tegning for forståelsen. Jeg forsøger med
lidt håbløs ASCII værk:

       WAN G/W  ==== Internet ===== WAN G/W
    192.168.0.1                  192.168.1.254
          |                            |
   ----------------       -------------------------------
       |                     |                  |
  192.168.0.2           192.168.1.1        192.168.1.49
    Client                Server             SomeBox
   10.8.0.2 === VPN ==== 10.8.0.1

>jeg kan pinge fra min client 192.168.0.2 til min server på 192.168.1.1
>men ikke til 192.168.1.49

Jeg antager at du kører OpenVPN på "Server" maskinen, og at default
gateway på "SomeBox" er sat til WAN G/W adressen, 192.168.1.254.

Så tror jeg problemet er routing opsætningen ude på SomeBox maskinen.
Når du pinger den fra Client, så kommer pakken sikkert godt nok igennem VPN
forbindelsen over til Server, og den forwarder den videre over til SomeBox.
Så vidt så godt. Men så skal svaret retur, d.v.s. SomeBox skal route en
pakke til adressen "10.8.0.2". Hvis ikke der er en eksplicit routing 
entry for 10.8.0.x på SomeBox, så vil den naturligvis sende svaret via
sin default gateway, d.v.s. "Wan G/W" - og så kommer den ikke retur via
VPN forbindelsen, men ryger ud på det store Internet og bliver smidt væk.

Der er to mulige løsninger på det problem.

1) Du kan tilføje routing på SomeBox og de andre maskiner ude på dit
   server-net, så de ved at trafik til 10.8.0.x skal routes via 192.168.1.1.
   Hvis du har mange maskiner på server-nettet kan det være lidt bøvlet.

2) Du kan lave en firewall regel på "Server" maskinen, så den laver 
   "Source NAT" på trafik som forwardes fra 10.8.0.x nettet. D.v.s. 
   når den videresender en pakke fra VPN-forbindelsen ud på server-
   nettet, så ændrer den source-adressen så de andre maskiner på server
   nettet ser den som at den kommer direkte fra "Server" maskinen, og
   derfor sender svaret tilbage til den. En kommando a la
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.1
   fyret af på "Server" maskinen skulle klare det.


Mvh,
Henrik



 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2006-09-01, 02:01 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *