Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: RadimXXXX 02. 05. 2017, 08:33:25

Název: OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 08:33:25

Zdravim panove,
rozjizdim vpn server mezi pobockami. VPNka funguje smerem z vedlejsi pobocky (klient) bez problemu. Problem je, ze ze serveru openvpn si nepingnu do vnitrni site za klientem. Takze z pobocky muzou pristupovat na server kam potrebuju aby meli pak na dalsi sluzby ve vnitrni siti ale ja nemuzu ze serveru spravovat jejich vnitrni sit.
Server Ubuntu 16.04 a klient mikrotik RB750G. Ping na klienta 192.168.150.6 ze serveru funguje.

Na serveru po pripojeni nahodi routa

Kód: [Vybrat]

172.16.0.0/24 via 192.168.150.2 dev tun5
ip adresa 192.168.150.2 neni ip adresa klinta ktery dostane 192.168.150.6.

ip ad show

Kód: [Vybrat]

tun5: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 192.168.150.1 peer 192.168.150.2/32 scope global tun5
       valid_lft forever preferred_lft forever
    inet6 fe80::13d2:fada:59d1:60f8/64 scope link flags 800
       valid_lft forever preferred_lft forever
Podle vypisu soudim ze peer by mel mit 192.168.150.2

Konfigurace serveru:

Kód: [Vybrat]

local 213.XXX.XXX.XXX
port 1149
proto tcp
dev tun5

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/Server.crt
key /etc/openvpn/keys/Server.key
dh /etc/openvpn/keys/dh1024.pem

server 192.168.150.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120

cipher AES-256-CBC
auth sha1

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/vpngate-status.log

verb 5

plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login

push "route 10.15.0.0 255.255.255.0"
push "route 10.16.0.0 255.255.255.248"

client-config-dir client-configs

daemon
max-clients 5

route 172.16.0.0 255.255.255.0 # sit za klientem

Na mikrotiku nic zvlasniho - proste se pripoji a dostane vsechny routy jak ma. Kdyz jsem poslal ping ze serveru na mk tak v torchu jsem nevidel zadne pakety.

Název: Re:OpenVPN neroutuje
Přispěvatel: ZAJDAN 02. 05. 2017, 09:53:57

firewall na mikrotiku jsi kontroloval?

Název: Re:OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 11:25:28

Jasne - to bych jsem ani nepsal kdybych sam neprovedl vsechny kroky.

Název: Re:OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 11:30:41

On proste nevi kam ma poslat packety nebo je proste zmaten z toho routovani.

Kód: [Vybrat]

traceroute 172.16.0.45
traceroute to 172.16.0.45 (172.16.0.45), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *



Název: Re:OpenVPN neroutuje
Přispěvatel: ZAJDAN 02. 05. 2017, 11:31:00

zkus tu routu na serveru pridat rucne a jako gw tam dej VPN adresu Mikrotiku

Název: Re:OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 12:00:08

Citace: ZAJDAN  02. 05. 2017, 11:31:00

zkus tu routu na serveru pridat rucne a jako gw tam dej VPN adresu Mikrotiku

To jsem taky zkousel a nejde to - coz je i logicke, protoze nelze routovat na subnet, ktery neni v lokalni tabulce. Takze kdyz jsem chtel pridat rucne routu 172.16.0.0/24 na 192.168.150.6 tak jsem dostal odpoved o nedostupnosti subnetu.

Název: Re:OpenVPN neroutuje
Přispěvatel: ZAJDAN 02. 05. 2017, 12:43:37

spojuje se server na Mikrotik svou primarni IP a posle to vlastnim VPN tunelem, nebo pro komunikaci pouzije ip, kterou si nasadil na TUN?
tady by mohl byt zadrhel

Název: Re:OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 13:09:43

Pouzije ip z tun rozhrani viz zaznam tcpdumpu:

Kód: [Vybrat]

tcpdump -i tun5 -nv
13:06:53.711170 IP (tos 0x0, ttl 64, id 20142, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.150.1 > 172.16.0.45: ICMP echo request, id 9159, seq 2, length 64


Název: Re:OpenVPN neroutuje
Přispěvatel: Sten 02. 05. 2017, 13:32:07

Pokud chcete routovat, doporučuji používat tap, kde se routování nastavuje na úrovni OS.

Pro tun je potřeba v klientské konfiguraci (CCD) pro ten Mikrotik uvést iroute 172.16.0.0 255.255.255.0, jinak OpenVPN netuší, kam má takové pakety posílat.

Název: Re:OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 13:55:36

Citace: Sten  02. 05. 2017, 13:32:07

Pokud chcete routovat, doporučuji používat tap, kde se routování nastavuje na úrovni OS.

Pro tun je potřeba v klientské konfiguraci (CCD) pro ten Mikrotik uvést iroute 172.16.0.0 255.255.255.0, jinak OpenVPN netuší, kam má takové pakety posílat.

Prave jsem chtel pouzit tun (layer 3), protoze chci routovat a ne bridgovat tap (layer 2)
iroute ccd OK - to jsem enzkousel jdu studovat. Dekuji.

Název: Re:OpenVPN neroutuje
Přispěvatel: ZAJDAN 02. 05. 2017, 14:19:32

na propojeni dvou lokalit bod<->bod by se spise hodil TAP

Název: Re:OpenVPN neroutuje
Přispěvatel: RadimXXXX 02. 05. 2017, 14:27:27

Takze dekuji vam panove. Kouzelna slovicka byla CCD a iroute.

Název: Re:OpenVPN neroutuje
Přispěvatel: ZAJDAN 02. 05. 2017, 14:30:38

Citace: RadimXXXX  02. 05. 2017, 14:27:27

Takze dekuji vam panove. Kouzelna slovicka byla CCD a iroute.

super...i ja se opet neco priucil :_)

Název: Re:OpenVPN neroutuje
Přispěvatel: Sten 02. 05. 2017, 14:47:17

Citace: RadimXXXX  02. 05. 2017, 13:55:36

Prave jsem chtel pouzit tun (layer 3), protoze chci routovat a ne bridgovat tap (layer 2)
iroute ccd OK - to jsem enzkousel jdu studovat. Dekuji.

tap můžete routovat i bridgovat, je to virtuální Ethernet a chová se podle toho, jak ho v OS zapojíte.