/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
OpenVPN og routning til andet net
Fra : Morten Christensen


Dato : 24-04-08 10:13

På kontoret har vi 2 gateways og routere. Nr. 1 er den almindelige
internetadgang (10.1.1.1).

Nr. 2 giver forbindelse til 4 andre afdelinger med hver deres private
ip-adresseområde. Der er ingen firewall på router nr. 2 (10.1.1.2).

Som vpn-server har vi en Debian Etch med OpenVPN 2.0.9. (VPN'en bruger
virtuelle adresser i 10.198.0.x området).

Jeg kan ikke finde ud af, at få forbindelse fra en hjemmearbejdsplads
til de andre afdelinger.
I vpn-serverens server.conf står
push "route 10.1.1.0 255.255.255.0"
push "route 10.2.2.0 255.255.255.0"
push "route 10.3.3.0 255.255.255.0"
push "route 10.4.4.0 255.255.255.0"
push "dhcp-option DNS 10.1.1.1."

Hvis jeg ssh'er til openvpn-serveren, kan jeg fra den prompt nå maskiner
på kontor 2, 3 og 4.

Selvom jeg på hjemmearbejdspladsen har en windows-route-tabel:
10.1.1.0 255.255.255.0 10.198.0.5 10.198.0.6 1
10.2.2.0 255.255.255.0 10.198.0.5 10.198.0.6 1
10.3.3.0 255.255.255.0 10.198.0.5 10.198.0.6 1
10.4.4.0 255.255.255.0 10.198.0.5 10.198.0.6 1
kan jeg fra hjemmearbejdspladsen kun nå maskiner på kontor 1, hvor
vpn-serveren står.

Jeg prøvede så at sætte gateway 2 ind i push-kommandoen i server.conf
push "route 10.2.2.0 255.255.255.0 10.1.1.2"
men i hjemmearbejdspladsens openvpn (Windows XP) får jeg besked'en:
"route gateway is not reachable on any active network adapters: 10.1.1.2"
"Rutetilføjelsen mislykkedes: Enten er grænsefladeindekset forkert,
eller også findes gatewayen ikke på samme netværk som grænsefladen."



Har I forslag til, hvordan det skal konfigureres, for at
hjemmearbejdspladser kan nå alle 4 kontorer (så vi kan nøjes med 1
vpn-server) til alle 4 lokationer) ?


--
Morten Christensen

 
 
Jacob Bunk Nielsen (25-04-2008)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 25-04-08 08:23

Morten Christensen <mc@mc.sletmig.cx> writes:

> På kontoret har vi 2 gateways og routere. Nr. 1 er den almindelige
> internetadgang (10.1.1.1).
>
> Nr. 2 giver forbindelse til 4 andre afdelinger med hver deres private
> ip-adresseområde. Der er ingen firewall på router nr. 2 (10.1.1.2).
>
> Som vpn-server har vi en Debian Etch med OpenVPN 2.0.9. (VPN'en bruger
> virtuelle adresser i 10.198.0.x området).
>
> Jeg kan ikke finde ud af, at få forbindelse fra en hjemmearbejdsplads
> til de andre afdelinger.

Hvilken IP adresse har din hjemme-PC på det virtuelle VPN-interface?

> Selvom jeg på hjemmearbejdspladsen har en windows-route-tabel:
> 10.1.1.0 255.255.255.0 10.198.0.5 10.198.0.6 1
> 10.2.2.0 255.255.255.0 10.198.0.5 10.198.0.6 1
> 10.3.3.0 255.255.255.0 10.198.0.5 10.198.0.6 1
> 10.4.4.0 255.255.255.0 10.198.0.5 10.198.0.6 1
> kan jeg fra hjemmearbejdspladsen kun nå maskiner på kontor 1, hvor
> vpn-serveren står.

Det ser jo fornuftigt ud, men har maskinerne i de andre 3 kontorer også
en route tilbage til 10.198.0.0/24 (eller hvad din VPN nu bor i)?

> Jeg prøvede så at sætte gateway 2 ind i push-kommandoen i server.conf
> push "route 10.2.2.0 255.255.255.0 10.1.1.2"

Det virker ikke fordi din hjemme-PC ikke kan nå 10.1.1.2 direkte. Den
har ikke nogen IP i 10.1.1.0/24.

--
Jacob - www.bunk.cc

Morten Christensen (26-04-2008)
Kommentar
Fra : Morten Christensen


Dato : 26-04-08 21:50

Jacob Bunk Nielsen skrev den 25-04-2008 09:22:
> Morten Christensen <mc@mc.sletmig.cx> writes:
>
>> På kontoret har vi 2 gateways og routere. Nr. 1 er den almindelige
>> internetadgang (10.1.1.1).
>>
>> Nr. 2 giver forbindelse til 4 andre afdelinger med hver deres private
>> ip-adresseområde. Der er ingen firewall på router nr. 2 (10.1.1.2).
>>
>> Som vpn-server har vi en Debian Etch med OpenVPN 2.0.9. (VPN'en bruger
>> virtuelle adresser i 10.198.0.x området).
>>
>> Jeg kan ikke finde ud af, at få forbindelse fra en hjemmearbejdsplads
>> til de andre afdelinger.
>
> Hvilken IP adresse har din hjemme-PC på det virtuelle VPN-interface?
>
>> Selvom jeg på hjemmearbejdspladsen har en windows-route-tabel:
>> 10.1.1.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.2.2.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.3.3.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.4.4.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> kan jeg fra hjemmearbejdspladsen kun nå maskiner på kontor 1, hvor
>> vpn-serveren står.
>
> Det ser jo fornuftigt ud, men har maskinerne i de andre 3 kontorer også
> en route tilbage til 10.198.0.0/24 (eller hvad din VPN nu bor i)?

Nej netop. Det er her jeg har lavet fejlen.

>> Jeg prøvede så at sætte gateway 2 ind i push-kommandoen i server.conf
>> push "route 10.2.2.0 255.255.255.0 10.1.1.2"
>
> Det virker ikke fordi din hjemme-PC ikke kan nå 10.1.1.2 direkte. Den
> har ikke nogen IP i 10.1.1.0/24.
>

Tak for svaret. I mellemtiden havde jeg spurgt på OpenVPN's
mailing-liste, og der fået et svar som ledte mig i den rigtige retning -
nogenlunde den samme som du siger.

De 3 andre kontorers netværk kender ikke 10.198.0.x ip-nummeret på
hjemmearbejdspladsens vpn-adapter. Derfor router de ikke svarene tilbage
til 10.1.1.x-netværket, hvor vpn-serveren står.

Løsningen var en linie i /etc/rc.local på vpn-serveren, der laver SNAT
så de andre kontorer tror, pakkerne kommer fra vpn-serveren selv på ip
10.1.1.38 istedet for hjemmearbejdspladsen på ip 10.198.0.x
--> 1 linie <--
/sbin/iptables -t nat -A POSTROUTING -s 10.198.0.0/16 -d ! 10.1.1.0/24
-j SNAT --to 10.1.1.38
--< 1 linie slut >--



Morten Christensen (25-04-2008)
Kommentar
Fra : Morten Christensen


Dato : 25-04-08 13:51

Jacob Bunk Nielsen skrev den 25-04-2008 09:22:
> Morten Christensen <mc@mc.sletmig.cx> writes:
>
>> På kontoret har vi 2 gateways og routere. Nr. 1 er den almindelige
>> internetadgang (10.1.1.1).
>>
>> Nr. 2 giver forbindelse til 4 andre afdelinger med hver deres private
>> ip-adresseområde. Der er ingen firewall på router nr. 2 (10.1.1.2).
>>
>> Som vpn-server har vi en Debian Etch med OpenVPN 2.0.9. (VPN'en bruger
>> virtuelle adresser i 10.198.0.x området).
>>
>> Jeg kan ikke finde ud af, at få forbindelse fra en hjemmearbejdsplads
>> til de andre afdelinger.
>
> Hvilken IP adresse har din hjemme-PC på det virtuelle VPN-interface?
>
>> Selvom jeg på hjemmearbejdspladsen har en windows-route-tabel:
>> 10.1.1.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.2.2.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.3.3.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.4.4.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> kan jeg fra hjemmearbejdspladsen kun nå maskiner på kontor 1, hvor
>> vpn-serveren står.
>
> Det ser jo fornuftigt ud, men har maskinerne i de andre 3 kontorer også
> en route tilbage til 10.198.0.0/24 (eller hvad din VPN nu bor i)?

Nej. Det er fejlen.

>> Jeg prøvede så at sætte gateway 2 ind i push-kommandoen i server.conf
>> push "route 10.2.2.0 255.255.255.0 10.1.1.2"
>
> Det virker ikke fordi din hjemme-PC ikke kan nå 10.1.1.2 direkte. Den
> har ikke nogen IP i 10.1.1.0/24.

Tak for svaret.
I mellemtiden havde jeg spurgt på OpenVPN's mailing-liste, og der fået
et svar som ledte mig i den rigtige retning, som er nogenlunde det samme
som du siger.

De 3 andre kontorers netværk kender ikke 10.198.0.x ip-nummeret på
hjemmearbejdspladsens vpn-adapter. Derfor router de ikke svarene tilbage
til 10.1.1.x-netværket, hvor vpn-serveren står.

Løsningen var en linie i /etc/rc.local på vpn-serveren (ip 10.1.1.38)
der laver 10.198.0.x om til 10.1.1.x, så de andre kontorer tror, det
kommer fra vpn-serveren selv:
--> 1 linie start <--
/sbin/iptables -t nat -A POSTROUTING -s 10.198.0.0/16 -d ! 10.1.1.0/24
-j SNAT --to 10.1.1.38
--< 1 linie slut >--


--
Morten Christensen

Morten Christensen (25-04-2008)
Kommentar
Fra : Morten Christensen


Dato : 25-04-08 22:16

Jacob Bunk Nielsen skrev den 25-04-2008 09:22:
> Morten Christensen <mc@mc.sletmig.cx> writes:
>
>> På kontoret har vi 2 gateways og routere. Nr. 1 er den almindelige
>> internetadgang (10.1.1.1).
>>
>> Nr. 2 giver forbindelse til 4 andre afdelinger med hver deres private
>> ip-adresseområde. Der er ingen firewall på router nr. 2 (10.1.1.2).
>>
>> Som vpn-server har vi en Debian Etch med OpenVPN 2.0.9. (VPN'en bruger
>> virtuelle adresser i 10.198.0.x området).
>>
>> Jeg kan ikke finde ud af, at få forbindelse fra en hjemmearbejdsplads
>> til de andre afdelinger.
>
> Hvilken IP adresse har din hjemme-PC på det virtuelle VPN-interface?
>
>> Selvom jeg på hjemmearbejdspladsen har en windows-route-tabel:
>> 10.1.1.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.2.2.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.3.3.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> 10.4.4.0 255.255.255.0 10.198.0.5 10.198.0.6 1
>> kan jeg fra hjemmearbejdspladsen kun nå maskiner på kontor 1, hvor
>> vpn-serveren står.
>
> Det ser jo fornuftigt ud, men har maskinerne i de andre 3 kontorer også
> en route tilbage til 10.198.0.0/24 (eller hvad din VPN nu bor i)?

Nej netop. Det er her jeg har lavet fejlen.

>> Jeg prøvede så at sætte gateway 2 ind i push-kommandoen i server.conf
>> push "route 10.2.2.0 255.255.255.0 10.1.1.2"
>
> Det virker ikke fordi din hjemme-PC ikke kan nå 10.1.1.2 direkte. Den
> har ikke nogen IP i 10.1.1.0/24.
>

Tak for svaret. I mellemtiden havde jeg spurgt på OpenVPN's
mailing-liste, og der fået et svar som ledte mig i den rigtige retning -
nogenlunde den samme som du siger.

De 3 andre kontorers netværk kender ikke 10.198.0.x ip-nummeret på
hjemmearbejdspladsens vpn-adapter. Derfor router de ikke svarene tilbage
til 10.1.1.x-netværket, hvor vpn-serveren står.

Løsningen var en linie i /etc/rc.local på vpn-serveren, der laver SNAT
så de andre kontorer tror, pakkerne kommer fra vpn-serveren selv på ip
10.1.1.38 istedet for hjemmearbejdspladsen på ip 10.198.0.x
--> 1 linie <--
/sbin/iptables -t nat -A POSTROUTING -s 10.198.0.0/16 -d ! 10.1.1.0/24
-j SNAT --to 10.1.1.38
--< 1 linie slut >--


--
Morten Christensen

Jacob Bunk Nielsen (25-04-2008)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 25-04-08 14:11

Morten Christensen <mc@mc.sletmig.cx> writes:
> Jacob Bunk Nielsen skrev den 25-04-2008 09:22:

>> Det ser jo fornuftigt ud, men har maskinerne i de andre 3 kontorer også
>> en route tilbage til 10.198.0.0/24 (eller hvad din VPN nu bor i)?
>
> Nej. Det er fejlen.

Kan du så ikke bare pushe en route til dem fra din OpenVPN server? Et
meget lignende setup har tidligere virket fint for mig.

> Løsningen var [...]
> /sbin/iptables -t nat -A POSTROUTING -s 10.198.0.0/16 -d ! 10.1.1.0/24
> -j SNAT --to 10.1.1.38

Jeg synes ikke at det er specielt kønt at køre NAT. Det burde ikke være
nødvendigt i dit setup.

--
Jacob - www.bunk.cc

Jacob Bunk Nielsen (30-04-2008)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 30-04-08 07:52

Morten Christensen <mc@mc.sletmig.cx> writes:
> Jacob Bunk Nielsen skrev den 25-04-2008 15:10:
>
>> Kan du så ikke bare pushe en route til dem fra din OpenVPN server? Et
>> meget lignende setup har tidligere virket fint for mig.
>
> De 3 andre kontorer kender jo ikke OpenVPN-serveren ogt kontakter den
> ikke "frivilligt" så hvordan kan jeg puffe noget ind i deres
> route-tabel. Hvis jeg skal lave noget, skal det ske på de 3 kontorers
> dhcp-server/standard-gateway, og den har jeg ikke adgang til at
> konfigurere.

Jeg troede det var Open-VPN-dimser du havde stående på de 3 kontorer.

De logger vel ind på din "hoved"-VPN-server når de starter op? Så kan du
vel pushe det der ligesom til alle andre klienter?

--
Jacob - www.bunk.cc

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste