Un saluto a tutta la lista.
Il mio problema è che non riesco a raggiungere/pingare gli host di due reti
connesse tra loro con openvpn, ma confido che con l'aiuto dei numerosi
esperti del gulch riuscirò a superare questo problema che mi sta dando del
filo da torcere e per il quale purtroppo non riesco a vedere soluzioni che
magari sono invece molto più semplici di quanto a me possano sembrare.
Dunque la connessione tra il client e il server openvpn avviene
regolarmente.
Questo è l'output di ifconfig -a sul server e sul client:
*server:/etc/openvpn #ifconfig -a *
eth0 Link encap:Ethernet HWaddr BC:5F:F4:85:F2:39
inet addr:192.168.89.67 Bcast:192.168.89.79 Mask:255.255.255.240
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:37279 errors:0 dropped:0 overruns:0 frame:0
TX packets:36948 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:24218009 (23.0 Mb) TX bytes:7683625 (7.3 Mb)
Interrupt:16
lo omissis .....
tun0 Link encap:UNSPEC HWaddr
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.27.3.1 P-t-P:10.27.3.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST MTU:1500 Metric:1
RX packets:34 errors:0 dropped:0 overruns:0 frame:0
TX packets:27 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2856 (2.7 Kb) TX bytes:2268 (2.2 Kb)
vboxnet0 omissis .....
*client:/etc/openvpn # ifconfig -a*
eth0 Link encap:Ethernet HWaddr 00:25:22:88:F0:F2
inet addr:192.168.32.10 Bcast:192.168.32.15 Mask:255.255.255.248
inet6 addr: fe80::225:22ff:fe88:f0f2/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:127897 errors:0 dropped:0 overruns:0 frame:0
TX packets:90167 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:160159578 (152.7 Mb) TX bytes:9428098 (8.9 Mb)
eth1 omissis .....
lo omissis .....
tun0 Link encap:UNSPEC HWaddr
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.27.3.10 P-t-P:10.27.3.9 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST MTU:1500 Metric:1
RX packets:36 errors:0 dropped:0 overruns:0 frame:0
TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3024 (2.9 Kb) TX bytes:4872 (4.7 Kb)
Questo è il file di configurazione del server:
*[server.conf]*
port 1194
proto udp
dev tun
ca ca.crt
cert server-vpn.crt
key server-vpn.key
dh dh2048.pem
server 10.27.3.0 255.255.255.224
ifconfig-pool-persist ipp.txt
push "route 192.168.89.64 255.255.255.240"
client-config-dir ccd
route 192.168.32.8 255.255.255.248
client-to-client
keepalive 10 120
comp-lzo
max-clients 50
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 9
Questo quello del client:
*[client.conf]*
client
dev tun
proto udp
remote my-server.no-ip.biz 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client-vpn.crt
key client-vpn.key
ns-cert-type server
comp-lzo
verb 9
output di *route -n *sul server,
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
0.0.0.0 192.168.89.65 0.0.0.0 UG 0 0 0 eth0
10.27.3.0 10.27.3.2 255.255.255.224 UG 0 0 0 tun0
10.27.3.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.32.8 0.0.0.0 255.255.255.248 U 0 0 0 tun0
192.168.32.8 10.27.3.2 255.255.255.248 UG 0 0 0 tun0
192.168.89.64 0.0.0.0 255.255.255.240 U 1 0 0 eth0
output di *route -n* sul client
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
0.0.0.0 192.168.32.9 0.0.0.0 UG 0 0 0 eth0
10.27.3.0 10.27.3.9 255.255.255.224 UG 0 0 0 tun0
10.27.3.9 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.32.8 0.0.0.0 255.255.255.248 U 1 0 0 eth0
192.168.89.64 10.27.3.9 255.255.255.240 UG 0 0 0 tun0
dai due output si vede che le rotte che ho provato anche ad impostare
manualmente con
*route add -net 192.168.32.8/29 <http://192.168.32.8/29> dev tun0 * (sul
server)
*route add -net 192.168.89.64/28 <http://192.168.89.64/28> dev tun0* (sul
client)
sono configurate, ma niente da fare.
Ovviamente ho abilitato anche l'IP forwarding sul server e nel dubbio anche
sul client con
*sysctl -w net.ipv4.ip_forward=1*
e con* sysctl -p* ottengo il seguente output di conferma
kernel.sysrq = 0
*net.ipv4.ip_forward = 1*
net.ipv4.tcp_syncookies = 1
net.ipv6.conf.all.forwarding = 0
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.disable_ipv6 = 1
ho abilitato anche la modalita promiscua su tutte le interfacce interessate
*ifconfig eth0 promisc*
*ifconfig tun0 promisc*
questo è l'output di systemctl status [email protected]
server:/etc/openvpn/ccd # systemctl status [email protected]
[email protected] - OpenVPN tunneling daemon instance using
/etc/openvpn/server.conf
Loaded: loaded (/usr/lib/systemd/system/[email protected]; enabled)
Active: *active (running)* since Sun 2014-05-11 20:40:56 CEST; 59min ago
Process: 6025 ExecStart=/usr/sbin/openvpn --daemon --suppress-timestamps
--writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf
(code=exited, status=0/*SUCCESS*)
Main PID: 6033 (openvpn)
CGroup: /system.slice/system-openvpn.slice/[email protected]
└─6033 /usr/sbin/openvpn --daemon --suppress-timestamps
--writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config
server.conf
May 11 20:40:56 server.site systemd[1]: Started OpenVPN tunneling daemon
instance using /etc/openvpn/server.conf.
Allora dal server riesco a pingare sia l'IP del tunnel del client
(10.27.3.10) che l'IP dell' eth0 192.168.32.10 e viceversa dal client
riesco a pingare l'IP del tunnel lato server (10.27.3.1) el l'IP della eth0
192.168.89.65
ma non riesco a pingare nessun altro host delle due subnet.
Ho provato, con poche speranze, a disabilitare anche i firewall e infatti
nulla da fare. Ho provato a connetermi con un client windows, connessione
che avviene con successo ma nessun ping agli host della subnet lato server
e viceversa.
Aiutatemi a capire cosa sbaglio o quali altre impostazioni dovrei
"forrogare".
Scusate se sono stato prolisso, ma volevo documentare tutto quello che ho
già fatto e le soluzioni che ho tentato.
Grazie!
Enver.
_______________________________________________
Gulchelp mailing list
[email protected]
http://www.gulch.crs4.it/cgi-bin/mailman/listinfo/gulchelp
