[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [NETVAERK] openvpn kaos



Henrik Stoerner skrev:
In <sslug@sslug> Lasse <sslug@sslug> writes:

Jeg sidder og leger med en openvpn opsætning over en wan connection
men er løbet ind i et lille problem
jeg kan ikke nå mit server subnet fra clienten
jeg kan pinge fra clienten til serveren
men ikke fra clienten til de øvrige maskiner på server nettet

min server ligger på en seperat box bag min wan gateway og hedder
192.168.1.1 og min gateway hedder 192.168.1.254
tun0 hedder 10.8.0.1
så har jeg en anden box på dette net 192.168.1.49

min client ligger naturligvis også bag en wan gateway
min client hedder 192.168.0.2 og min gateway hedder 192.168.0.1
tun0 hedder 10.8.0.2


Det hjælper tit med en tegning for forståelsen. Jeg forsøger med
lidt håbløs ASCII værk:

       WAN G/W  ==== Internet ===== WAN G/W
    192.168.0.1                  192.168.1.254
          |                            |
   ----------------       -------------------------------
       |                     |                  |
  192.168.0.2           192.168.1.1        192.168.1.49
    Client                Server             SomeBox
   10.8.0.2 === VPN ==== 10.8.0.1

jeg kan pinge fra min client 192.168.0.2 til min server på 192.168.1.1
men ikke til 192.168.1.49

Jeg antager at du kører OpenVPN på "Server" maskinen, og at default gateway på "SomeBox" er sat til WAN G/W adressen, 192.168.1.254.

Så tror jeg problemet er routing opsætningen ude på SomeBox maskinen.
Når du pinger den fra Client, så kommer pakken sikkert godt nok igennem VPN
forbindelsen over til Server, og den forwarder den videre over til SomeBox.
Så vidt så godt. Men så skal svaret retur, d.v.s. SomeBox skal route en
pakke til adressen "10.8.0.2". Hvis ikke der er en eksplicit routing entry for 10.8.0.x på SomeBox, så vil den naturligvis sende svaret via
sin default gateway, d.v.s. "Wan G/W" - og så kommer den ikke retur via
VPN forbindelsen, men ryger ud på det store Internet og bliver smidt væk.


Der er to mulige løsninger på det problem.

1) Du kan tilføje routing på SomeBox og de andre maskiner ude på dit
   server-net, så de ved at trafik til 10.8.0.x skal routes via 192.168.1.1.
   Hvis du har mange maskiner på server-nettet kan det være lidt bøvlet.

2) Du kan lave en firewall regel på "Server" maskinen, så den laver "Source NAT" på trafik som forwardes fra 10.8.0.x nettet. D.v.s. når den videresender en pakke fra VPN-forbindelsen ud på server-
nettet, så ændrer den source-adressen så de andre maskiner på server
nettet ser den som at den kommer direkte fra "Server" maskinen, og
derfor sender svaret tilbage til den. En kommando a la
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.1
fyret af på "Server" maskinen skulle klare det.



Mvh, Henrik

Takker dette må jeg lige teste, men skal min somebox så ikke configureres til at ha to gateways? (konflikt)
192.168.1.254 og 10.8.0.1 ?
jeg må teste dette.


/Lasse

 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2006-09-01, 02:01 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *