Routovani VPN

[Veselá#Houba]

Zdravicko, mam takovy problem, pokusim se ho nejak pochopitelne popsat.
Mam PC se 2 sitovkami (Oznacim ho Server). 1. zapojena do internetu (pres vpn client) a 2. do domaci site.
Dokud se nepripojim do vpn, funguje mi routovani pomoci iptables v poradku. (resp. nemam zadna pravidla krome masq. v NAT tabulce). V tomto stavu se z jineho pocitace pripojeneho pres switch na 2. sitovku "dopingnu" na Server. Jakmile se ale pripojim Serverem na VPN, dostanu se z Serveru na internet, ale z jineho pc v siti se nedostanu na server. Otazka ve zkratce: jak routovat VPN pripojeni?

[Petr Merlin Vaněček]

No to by chtelo vice rozvest, ale ma zkusenost je takova, ze musite vytvorit bridge rozhranni do ktereho pridate v promisc modu ty dve rozhrani fyzicka

Kód: [Vybrat]

ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up

brctl addbr br0
brctl addif eth0
brctl addif tap0

ifconfig br0 xxx.xxx.xxx.xxx up

pokud potrebujete, aby se to pres vas server preroutovavalo do vpn (a ne NATovalo), potrebujete jeste

Kód: [Vybrat]

echo "1">/proc/sys/net/ipv4/conf/all/proxy_arp
echo "1">/proc/sys/net/ipv4/conf/all/rp_filter

fungovalo by to i bez rp filteru, ale mam lepsi zkusenosti, kdyz tam je (i kdyz nekdo tvrdi, ze mu to mrvi sit, tak je to na vasem uvazeni)

[Veselá#Houba]

Tak 1 problem jsem vyresil, novy nastal :-)
Zjistil jsem ze zasadni problem delal vpnclient, protoze zakazal pristup do LAN. Vyresil jsem to instalaci jineho klienta (misto vpnclient volam prikaz vpnc , oba klienti jsou od cisca, coz moc nechapu . Zkousel jsem po pripojeni udelat bridge, ale hlasi mi to, ze

Kód: [Vybrat]

can't add tun0 to bridge br0: invalid argument

nastavuji vpnc pres kvpnc, kde se da mimo jine zapnout "Replace default route". Pokud tuto moznost nezatrhnu, vubec mi nefunguje pripojeni. Pak mi to nabizi "Use additional network routes" , tam jsem se pokousel pridat svuj subnet jako 192.168.7.0/24, ale stale se z klienta nedostanu dal nez na server.

Zatim budu jeste zkoumat co me napadne, ale zacinam byt bezradny... 

[Petr Merlin Vaněček]

Ajtakratja ... pouzivam openvpn prave proto, ze nema problemy s bridgovanim a pomerne snadno se routuje a nastavuji to rucne, protoze si nedovedu predstavit, co volba "Replace default route" vlastne v routovaci tabulce udela

[Veselá#Houba]

Uff, tak jsem se stoural az jsem prisel na to ze jsem uplna trubka.
Kdyz uz se mi podarilo zpristupnit LAN, proste jsem uplne zapomnel na 2 nezbytne prikazy aby fungoval IP forwarding s iptables. Tj:

Kód: [Vybrat]

modprobe iptable_nat
a

Kód: [Vybrat]

echo 1 > /proc/sus/net/ipv4/ip_forward

Takze uz to frci a ja si jdu hrat s firewallem.

Merline MOC DIKY ZA POMOC!!!!!

[Petr Merlin Vaněček]

Tak to potesi Ten modul iptable_nat snad ani neni potreba natahovat (resp. jsem to ani nikdy nedelal), stacil jen ip_forward, zkuste to bez nej. Pripadne si pred tim a potom nechte vypsat lsmod a porovnejte, jestli je natazeny a pripadne co jineho s sebou natahuje.

[tondop]

Asi problem s routovanim

Aktualne mam rozbehany OpenVPN server. Na server sa pripojim, bez problemov sa vytvori mi tun0.

Klient tun0 10.8.142.5 dokaze pinovat server s IP 10.8.142.1

Server dokaze pinovat stroje v LAN sieti 192.168.252.xxx

Ked vsak klinet s tun0 10.8.142.5 chce pingovat daky komp z LAN siete, tak nepingne A to je problem.

klinet 10.8.142.5 je z inej siete samozrejme.

Daka rada ??