openVPN s připojením na internet (including web-traffic), round 2 (vyřešeno)

[c0rrupt]

Tak už mi to hezky fungovalo a šup už to nefunguje . Nevim proč a nevim si stim rady. Přikládám mapu sítě hezky přehledně nakreslenou a texták se všemi configy, logy a vypisy. Další info rád dodám, za každou i sebehloupější radu budu velice vděčen, protože jinak se vydám cestou nedobrou woknastyle. Tzn. format, reinstall, vysledek nejistý .

Jinak server je serverová distribuce Ubuntu 9.10 32bit, klient1 Ubuntu 9.10 64bit a klient2 Ubuntu 9.10 32bit. Ač na tomhle asi nezáleží.

Děkuji  

[attachment deleted by admin]

[c0rrupt]

Ani jeden nápad? nic?

[Martin Kiklhorn]

Koukám na ten VPN subnet a ptám se - vy děláte u Xeroxu?
Pokud ne, tak mrkněte na RFC 1918

[c0rrupt]

Ne hmm

[c0rrupt]

No chvíli mi to s těmihle IPčkami fungovalo v tom to podle mě není. Né scela možná chápu co jste mi tím chtěl říct ale pokusím se to prostudovat. Problém je podle mě někde na serveru odmítá přeposílat packety ven.

[jmp]

precetl jste si vubec ten odkazovany RFC 1918?

pokud to nestaci, tak treba pomuze toto:

Kód: [Vybrat]

OrgName:    Xerox Corporation
OrgID:      XEROX-16-Z
Address:    45 Glover Ave
City:       Norwalk
StateProv:  CT
PostalCode: 06850
Country:    US

NetRange:   13.0.0.0 - 13.255.255.255
CIDR:       13.0.0.0/8
NetName:    XEROX-NET
NetHandle:  NET-13-0-0-0-1
Parent:     
NetType:    Direct Assignment
NameServer: ADRASTEA.XEROX.COM
NameServer: CARME.XEROX.COM
NameServer: ATHENA.XEROX.COM
NameServer: ASH.XEROX.COM
NameServer: GUM.XEROX.COM
Comment:   
RegDate:    1986-04-25
Updated:    2008-03-17

OrgTechHandle: NNA19-ARIN
OrgTechName:   Network Naming Addressing
OrgTechPhone:  +1-585-423-1301
OrgTechEmail:  IP.Name.Mgmt@xerox.com


[Martin Kiklhorn]

1) ?vpn server má povolený routing?

Kód: [Vybrat]

cat /proc/sys/net/ipv4/ip_forward
2) router má extra nastavenou routu do "ukradeného" 13.x.x.x subnetu přes GW 192.168.1.13 ? Nebo vidí originální 13.x.x.x rozsah za svým wan rozhraním?

[c0rrupt]

1)
cat /proc/sys/net/ipv4/ip_forward

0

2) netuším hmm jak to zjistím. Zas tak moc se v tom nevyznám. Dělám to poprvé.

to jmp: ale ano přečetl, jenom mi není jasné jak to souvisí s interní sítí za NAT. Pokud vím je to jedno co se tam použije. I tak jsem to změnil, se stejným výsledkem.

[Martin Kiklhorn]

1) vpn server mezi rozhraními nyní neroutuje, takže třeba:
http://www.brighthub.com/computing/linux/articles/37007.aspx

[jmp]

snazite se pouzivat cizi verejne IP adresy na svoje vnitrni zalezitosti - to se proste nedela (ackoliv to nastavit lze)
na tyto ucely jsou prave urcene intranetove rozsahy uvedene v RFC 1918

skryva se v tom totiz nebezpeci, ze se jednou budete chtit nekam pripojit a budete mit dane adresy zneuzity ve vasi siti a ono to nepujde - pak asi budete hledat chybu docela dlouho (a pokud chybu vubec najdete, tak se to v zabehnutem prostredi bude dost obtizne menit)...

[c0rrupt]

IPčka jsem změnil. Routování změnil na 1 ale problém přetrvává, žádná změna. I tak děkuji aspoň za nějaké nápady A dál ?

[c0rrupt]

Když dám trace na router, tak to vypadá takhle. Zůstává to na VPN serveru.

Kód: [Vybrat]

tracepath 192.168.1.1
 1:  C0-UBUNTU64-WRK.local (172.16.1.4)                     0.129ms pmtu 1500
 1:  172.16.1.1 (172.16.1.1)                               15.523ms
 1:  172.16.1.1 (172.16.1.1)                               11.712ms
 2:  no reply
 3:  no reply
 4:  no reply

172.16.1.0 je to samé co bylo předtím 13.13.1.0

[c0rrupt]

Hmm vyřešeno ale nevim jestli korektně, což je mi teda jedno

Kód: [Vybrat]

iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT --to-source 192.168.1.13


I tak díky aspoň nepoužívám špatný IP range.