OpnenVPN 20 - stanice v LAN jsou nedosazitelne

Pavel phlubik at seznam.cz
Wed Mar 16 22:15:37 CET 2005


>> Nepomuze nekdo v OpenVPN20? Jsem ve stavu, kdy me funguje spojeni
>
> Jde o to s cim. Kdyz reknes, co ma byt cilem (zdalo se mi to trochu 
> zmatene), tak to vymyslime (pripadne ti to rovnou poslu). Provozujeme 
> reseni FBSD server versus spostu FBSD klientu, kteri delaji routery v 
> lokalnich sitich. Pak mame take klienty WIN W2K, kteri jsou spojeni primo 
> na FBSD server. Takze jakou variantu chces poslat?

Na zacatek bych pozadal o W2K/WXP klienty a FreeBSD server. Nejradeji verze 
20. Jen bych potreboval vedet, zda-li je zaroven firewallem, nebo je jen za 
nim.

Predem diky.


Ted jeste jenou zkusim popsat cil, co chodi a co ne.

Muj cil je: Klient W2K/WXP se pripoji zabezecene do cele LAN.

Popis stavajici situace:

Mam asi tak trochu zvlastni konfiguraci, kdy VPN server neni zaroven FW, ale 
myslim si, ze to neni snad tak nespravne. Ci ano?

Nejdriv popis site (bez DMZ):

internet ---+ FW(linux debian)+---(vnirní LAN)----[VPN router]---
 interni IP FW 192.168.1.1/24
 adresa hostu VPN routeru 192.168.1.155/24

Na fw je NATovaci pravidlo, aby veskery provoz pro danou adresu a port 1094 
z internetu sel
na 192.168.1.155. Funguje to.

Co funguje dale:
Kdyz na stanici 192.168.1.155 spustim VPN server (prideli si adresu
10.8.0.1/255.255.255.252), tak se na nej klientem z verejne site dostanu. Z 
klienta mohu
mapovat disky, pingat na VPN server, spojim se s VNC serverem ... Vse z 
klienta smeruji
na adresu 192.168.1.155.
Z VPN serveru jsem na adresu klienta 10.8.0.6/255.255.255.252 uspesne 
vyzkousel jen ping.
Nic dalsiho jsem netestoval.

Co nefunguje:

Problem nastava, kdyz chci spojit klienta s dalsimi stanicemi v LAN.
Zadna konekce. Tak jsem si vybral jednu stanici, 192.168.1.254, s oknama,
protoze na ty se chci konektit, do jeji routrovaci tabulky jsem prikazem
'route add 10.8.0.0 mask 255.255.255.252 192.168.1.155' zadal predpis pro
routrovani a uspesne jsem vyzkousel ping na 10.8.0.1. Bohuzel ping na 
klienta,
10.8.0.6, uz bez uspechu.

Ono to bude vygenerovanymi routoracimi tabulkami na klientovi a serveru a
nedopingnutelnosti nekterych adres. To je asi chybou v konfiguraku a ja 
nemuzu
projit na to, kde ta chyba je.

Kousek z logu klienta:

Wed Mar 16 20:41:45 2005 PUSH: Received control message: 'PUSH_REPLY,route \
  192.168.1.0 255.255.255.0,route 172.16.128.0 255.255.0.0,dhcp-option \
  DNS 192.168.1.4,dhcp-option WINS 192.168.1.4,route 10.8.0.1,ping 10,\
  ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Wed Mar 16 20:41:45 2005 OPTIONS IMPORT: timers and/or timeouts modified
Wed Mar 16 20:41:45 2005 OPTIONS IMPORT: --ifconfig/up options modified
Wed Mar 16 20:41:45 2005 OPTIONS IMPORT: route options modified
Wed Mar 16 20:41:45 2005 OPTIONS IMPORT: --ip-win32 and/or \
  --dhcp-option options modified
Wed Mar 16 20:41:45 2005 TAP-WIN32 device [TAP1] opened: \
  \\.\Global\{145D998F-571A-4C41-916D-6BBD4573EED9}.tap
Wed Mar 16 20:41:45 2005 TAP-Win32 Driver Version 8.1
Wed Mar 16 20:41:45 2005 TAP-Win32 MTU=1500
Wed Mar 16 20:41:45 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask 
\
  of 10.8.0.6/255.255.255.252 on interface {145D998F-571A-4C41-916D-\
  6BBD4573EED9} [DHCP-serv: 10.8.0.5, lease-time: 31536000]



Napriklad adresy 10.8.0.4, 10.8.0.5 jsou nedopingnutelne odkudkoli.

- routrovaci tabulka klienta

Aktivni smerovani:
       Cil v siti     Sitova maska            Brana        Rozhrani  Metrika
          0.0.0.0          0.0.0.0    213.220.250.1  213.220.250.125      20
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0         10.8.0.5        10.8.0.6       1
    213.220.250.0    255.255.255.0  213.220.250.125  213.220.250.125      20
  213.220.250.125  255.255.255.255        127.0.0.1       127.0.0.1       20
  213.220.250.255  255.255.255.255  213.220.250.125  213.220.250.125      20
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0  213.220.250.125  213.220.250.125      20
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255  213.220.250.125  213.220.250.125      1
Vychozi brana:     213.220.250.1

Treba se nekdo dostal do podobneho bodu a pak  na to prisel.

Pavel 




More information about the Users-l mailing list