OpenVPN neroutuje

RadimXXXX · « **kdy:** 02. 05. 2017, 08:33:25 »

Zdravim panove,
rozjizdim vpn server mezi pobockami. VPNka funguje smerem z vedlejsi pobocky (klient) bez problemu. Problem je, ze ze serveru openvpn si nepingnu do vnitrni site za klientem. Takze z pobocky muzou pristupovat na server kam potrebuju aby meli pak na dalsi sluzby ve vnitrni siti ale ja nemuzu ze serveru spravovat jejich vnitrni sit.
Server Ubuntu 16.04 a klient mikrotik RB750G. Ping na klienta 192.168.150.6 ze serveru funguje.

Na serveru po pripojeni nahodi routa

Kód: [Vybrat]

172.16.0.0/24 via 192.168.150.2 dev tun5

ip adresa 192.168.150.2 neni ip adresa klinta ktery dostane 192.168.150.6.

ip ad show

Kód: [Vybrat]

tun5: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 192.168.150.1 peer 192.168.150.2/32 scope global tun5
       valid_lft forever preferred_lft forever
    inet6 fe80::13d2:fada:59d1:60f8/64 scope link flags 800 
       valid_lft forever preferred_lft forever

Podle vypisu soudim ze peer by mel mit 192.168.150.2

Konfigurace serveru:

Kód: [Vybrat]

local 213.XXX.XXX.XXX
port 1149
proto tcp
dev tun5

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/Server.crt
key /etc/openvpn/keys/Server.key
dh /etc/openvpn/keys/dh1024.pem

server 192.168.150.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120

cipher AES-256-CBC
auth sha1

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/vpngate-status.log

verb 5

plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login

push "route 10.15.0.0 255.255.255.0"
push "route 10.16.0.0 255.255.255.248"

client-config-dir client-configs

daemon
max-clients 5

route 172.16.0.0 255.255.255.0	# sit za klientem

Na mikrotiku nic zvlasniho - proste se pripoji a dostane vsechny routy jak ma. Kdyz jsem poslal ping ze serveru na mk tak v torchu jsem nevidel zadne pakety.

Reklama

ZAJDAN · « **Odpověď #1 kdy:** 02. 05. 2017, 09:53:57 »

firewall na mikrotiku jsi kontroloval?

RadimXXXX · « **Odpověď #2 kdy:** 02. 05. 2017, 11:25:28 »

Jasne - to bych jsem ani nepsal kdybych sam neprovedl vsechny kroky.

RadimXXXX · « **Odpověď #3 kdy:** 02. 05. 2017, 11:30:41 »

On proste nevi kam ma poslat packety nebo je proste zmaten z toho routovani.

Kód: [Vybrat]

traceroute 172.16.0.45
traceroute to 172.16.0.45 (172.16.0.45), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *

ZAJDAN · « **Odpověď #4 kdy:** 02. 05. 2017, 11:31:00 »

zkus tu routu na serveru pridat rucne a jako gw tam dej VPN adresu Mikrotiku

Reklama

RadimXXXX · « **Odpověď #5 kdy:** 02. 05. 2017, 12:00:08 »

Citace: ZAJDAN 02. 05. 2017, 11:31:00

zkus tu routu na serveru pridat rucne a jako gw tam dej VPN adresu Mikrotiku

To jsem taky zkousel a nejde to - coz je i logicke, protoze nelze routovat na subnet, ktery neni v lokalni tabulce. Takze kdyz jsem chtel pridat rucne routu 172.16.0.0/24 na 192.168.150.6 tak jsem dostal odpoved o nedostupnosti subnetu.

ZAJDAN · « **Odpověď #6 kdy:** 02. 05. 2017, 12:43:37 »

spojuje se server na Mikrotik svou primarni IP a posle to vlastnim VPN tunelem, nebo pro komunikaci pouzije ip, kterou si nasadil na TUN?
tady by mohl byt zadrhel

RadimXXXX · « **Odpověď #7 kdy:** 02. 05. 2017, 13:09:43 »

Pouzije ip z tun rozhrani viz zaznam tcpdumpu:

Kód: [Vybrat]

tcpdump -i tun5 -nv
13:06:53.711170 IP (tos 0x0, ttl 64, id 20142, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.150.1 > 172.16.0.45: ICMP echo request, id 9159, seq 2, length 64

Sten · « **Odpověď #8 kdy:** 02. 05. 2017, 13:32:07 »

Pokud chcete routovat, doporučuji používat tap, kde se routování nastavuje na úrovni OS.

Pro tun je potřeba v klientské konfiguraci (CCD) pro ten Mikrotik uvést iroute 172.16.0.0 255.255.255.0, jinak OpenVPN netuší, kam má takové pakety posílat.

RadimXXXX · « **Odpověď #9 kdy:** 02. 05. 2017, 13:55:36 »

Citace: Sten 02. 05. 2017, 13:32:07

Pokud chcete routovat, doporučuji používat tap, kde se routování nastavuje na úrovni OS.

Pro tun je potřeba v klientské konfiguraci (CCD) pro ten Mikrotik uvést iroute 172.16.0.0 255.255.255.0, jinak OpenVPN netuší, kam má takové pakety posílat.

Prave jsem chtel pouzit tun (layer 3), protoze chci routovat a ne bridgovat tap (layer 2)
iroute ccd OK - to jsem enzkousel jdu studovat. Dekuji.

ZAJDAN · « **Odpověď #10 kdy:** 02. 05. 2017, 14:19:32 »

na propojeni dvou lokalit bod<->bod by se spise hodil TAP

RadimXXXX · « **Odpověď #11 kdy:** 02. 05. 2017, 14:27:27 »

Takze dekuji vam panove. Kouzelna slovicka byla CCD a iroute.

ZAJDAN · « **Odpověď #12 kdy:** 02. 05. 2017, 14:30:38 »

Citace: RadimXXXX 02. 05. 2017, 14:27:27

Takze dekuji vam panove. Kouzelna slovicka byla CCD a iroute.

super...i ja se opet neco priucil :_)

Sten · « **Odpověď #13 kdy:** 02. 05. 2017, 14:47:17 »

Citace: RadimXXXX 02. 05. 2017, 13:55:36

Prave jsem chtel pouzit tun (layer 3), protoze chci routovat a ne bridgovat tap (layer 2)
iroute ccd OK - to jsem enzkousel jdu studovat. Dekuji.

tap můžete routovat i bridgovat, je to virtuální Ethernet a chová se podle toho, jak ho v OS zapojíte.

OpenVPN neroutuje

RadimXXXX

OpenVPN neroutuje

Reklama

ZAJDAN

Re:OpenVPN neroutuje

RadimXXXX

Re:OpenVPN neroutuje

RadimXXXX

Re:OpenVPN neroutuje

ZAJDAN

Re:OpenVPN neroutuje

Reklama

RadimXXXX

Re:OpenVPN neroutuje

ZAJDAN

Re:OpenVPN neroutuje

RadimXXXX

Re:OpenVPN neroutuje

Sten

Re:OpenVPN neroutuje

RadimXXXX

Re:OpenVPN neroutuje

ZAJDAN

Re:OpenVPN neroutuje

RadimXXXX

Re:OpenVPN neroutuje

ZAJDAN

Re:OpenVPN neroutuje

Sten

Re:OpenVPN neroutuje