Ciao, premetto che non ho una vastissima esperienza nell'argomento, ma mi sembra giusto fare qualche ragionamento e approfondire alcuni aspetti.
>Dunque la connessione tra il client e il server openvpn avviene regolarmente. Se avviene, il server OpenVPN è configurato e funzionante correttamente. E' quindi probabile che ci sia un problema di configurazione di rete. Infatti: > dal server riesco a pingare sia l'IP del tunnel del client (10.27.3.10) che l'IP dell' eth0 192.168.32.10 e viceversa dal client riesco a pingare l'IP del tunnel lato server (10.27.3.1) el l'IP della eth0 192.168.89.6. Questo indica che il tunnel tra server e client è configurato e funzionante. >ma non riesco a pingare nessun altro host delle due subnet. Sembra che i pacchetti non vengano instradati alla LAN. Ad intuito, andrei a verificare la tabella di routing. In particolare mi attira l'attenzione questa linea. Destination Gateway Genmask Flags Metric Ref Use Iface 10.27.3.9 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 Con questa instradi il traffico *destinato a* 10.27.3.9 *a* 0.0.0.0 (UH=*attiva e di tipo nodo*) *attraverso l'interfaccia* tun0. Prova a modificare questa ed eventualmente ad aggiungere altre regole. Fai sapere se riesci a risolvere! :D Mauro Il giorno 11 maggio 2014 22:15, Enver ([email protected]) < [email protected]> ha scritto: > Un saluto a tutta la lista. > > Il mio problema è che non riesco a raggiungere/pingare gli host di due > reti connesse tra loro con openvpn, ma confido che con l'aiuto dei numerosi > esperti del gulch riuscirò a superare questo problema che mi sta dando del > filo da torcere e per il quale purtroppo non riesco a vedere soluzioni che > magari sono invece molto più semplici di quanto a me possano sembrare. > Dunque la connessione tra il client e il server openvpn avviene > regolarmente. > Questo è l'output di ifconfig -a sul server e sul client: > > *server:/etc/openvpn #ifconfig -a * > > eth0 Link encap:Ethernet HWaddr BC:5F:F4:85:F2:39 > inet addr:192.168.89.67 Bcast:192.168.89.79 > Mask:255.255.255.240 > UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 > RX packets:37279 errors:0 dropped:0 overruns:0 frame:0 > TX packets:36948 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:1000 > RX bytes:24218009 (23.0 Mb) TX bytes:7683625 (7.3 Mb) > Interrupt:16 > > lo omissis ..... > > tun0 Link encap:UNSPEC HWaddr > 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 > inet addr:10.27.3.1 P-t-P:10.27.3.2 Mask:255.255.255.255 > UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST MTU:1500 > Metric:1 > RX packets:34 errors:0 dropped:0 overruns:0 frame:0 > TX packets:27 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:100 > RX bytes:2856 (2.7 Kb) TX bytes:2268 (2.2 Kb) > > vboxnet0 omissis ..... > > > *client:/etc/openvpn # ifconfig -a* > > eth0 Link encap:Ethernet HWaddr 00:25:22:88:F0:F2 > inet addr:192.168.32.10 Bcast:192.168.32.15 > Mask:255.255.255.248 > inet6 addr: fe80::225:22ff:fe88:f0f2/64 Scope:Link > UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 > RX packets:127897 errors:0 dropped:0 overruns:0 frame:0 > TX packets:90167 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:1000 > RX bytes:160159578 (152.7 Mb) TX bytes:9428098 (8.9 Mb) > > eth1 omissis ..... > > lo omissis ..... > > tun0 Link encap:UNSPEC HWaddr > 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 > inet addr:10.27.3.10 P-t-P:10.27.3.9 Mask:255.255.255.255 > UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST MTU:1500 > Metric:1 > RX packets:36 errors:0 dropped:0 overruns:0 frame:0 > TX packets:58 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:100 > RX bytes:3024 (2.9 Kb) TX bytes:4872 (4.7 Kb) > > Questo è il file di configurazione del server: > > *[server.conf]* > port 1194 > proto udp > dev tun > ca ca.crt > cert server-vpn.crt > key server-vpn.key > dh dh2048.pem > server 10.27.3.0 255.255.255.224 > ifconfig-pool-persist ipp.txt > push "route 192.168.89.64 255.255.255.240" > client-config-dir ccd > route 192.168.32.8 255.255.255.248 > client-to-client > keepalive 10 120 > comp-lzo > max-clients 50 > user nobody > group nobody > persist-key > persist-tun > status openvpn-status.log > log openvpn.log > verb 9 > > Questo quello del client: > > *[client.conf]* > client > dev tun > proto udp > remote my-server.no-ip.biz 1194 > resolv-retry infinite > nobind > user nobody > group nobody > persist-key > persist-tun > ca ca.crt > cert client-vpn.crt > key client-vpn.key > ns-cert-type server > comp-lzo > verb 9 > > output di *route -n *sul server, > > Kernel IP routing table > Destination Gateway Genmask Flags Metric Ref Use > Iface > 0.0.0.0 192.168.89.65 0.0.0.0 UG 0 0 0 > eth0 > 10.27.3.0 10.27.3.2 255.255.255.224 UG 0 0 0 > tun0 > 10.27.3.2 0.0.0.0 255.255.255.255 UH 0 0 0 > tun0 > 192.168.32.8 0.0.0.0 255.255.255.248 U 0 0 0 > tun0 > 192.168.32.8 10.27.3.2 255.255.255.248 UG 0 0 0 > tun0 > 192.168.89.64 0.0.0.0 255.255.255.240 U 1 0 0 > eth0 > > output di *route -n* sul client > > Kernel IP routing table > Destination Gateway Genmask Flags Metric Ref Use > Iface > 0.0.0.0 192.168.32.9 0.0.0.0 UG 0 0 0 > eth0 > 10.27.3.0 10.27.3.9 255.255.255.224 UG 0 0 0 > tun0 > 10.27.3.9 0.0.0.0 255.255.255.255 UH 0 0 0 > tun0 > 192.168.32.8 0.0.0.0 255.255.255.248 U 1 0 0 > eth0 > 192.168.89.64 10.27.3.9 255.255.255.240 UG 0 0 0 > tun0 > > dai due output si vede che le rotte che ho provato anche ad impostare > manualmente con > *route add -net 192.168.32.8/29 <http://192.168.32.8/29> dev tun0 * (sul > server) > *route add -net 192.168.89.64/28 <http://192.168.89.64/28> dev tun0* (sul > client) > sono configurate, ma niente da fare. > > Ovviamente ho abilitato anche l'IP forwarding sul server e nel dubbio > anche sul client con > > *sysctl -w net.ipv4.ip_forward=1* > e con* sysctl -p* ottengo il seguente output di conferma > > kernel.sysrq = 0 > *net.ipv4.ip_forward = 1* > net.ipv4.tcp_syncookies = 1 > net.ipv6.conf.all.forwarding = 0 > net.ipv6.conf.all.disable_ipv6 = 1 > net.ipv6.conf.all.disable_ipv6 = 1 > > ho abilitato anche la modalita promiscua su tutte le interfacce interessate > > *ifconfig eth0 promisc* > *ifconfig tun0 promisc* > > questo è l'output di systemctl status [email protected] > > server:/etc/openvpn/ccd # systemctl status [email protected] > [email protected] - OpenVPN tunneling daemon instance using > /etc/openvpn/server.conf > Loaded: loaded (/usr/lib/systemd/system/[email protected]; enabled) > Active: *active (running)* since Sun 2014-05-11 20:40:56 CEST; 59min > ago > Process: 6025 ExecStart=/usr/sbin/openvpn --daemon --suppress-timestamps > --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf > (code=exited, status=0/*SUCCESS*) > Main PID: 6033 (openvpn) > CGroup: /system.slice/system-openvpn.slice/[email protected] > └─6033 /usr/sbin/openvpn --daemon --suppress-timestamps > --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config > server.conf > > May 11 20:40:56 server.site systemd[1]: Started OpenVPN tunneling daemon > instance using /etc/openvpn/server.conf. > > Allora dal server riesco a pingare sia l'IP del tunnel del client > (10.27.3.10) che l'IP dell' eth0 192.168.32.10 e viceversa dal client > riesco a pingare l'IP del tunnel lato server (10.27.3.1) el l'IP della eth0 > 192.168.89.65 > ma non riesco a pingare nessun altro host delle due subnet. > > Ho provato, con poche speranze, a disabilitare anche i firewall e infatti > nulla da fare. Ho provato a connetermi con un client windows, connessione > che avviene con successo ma nessun ping agli host della subnet lato server > e viceversa. > > Aiutatemi a capire cosa sbaglio o quali altre impostazioni dovrei > "forrogare". > > Scusate se sono stato prolisso, ma volevo documentare tutto quello che ho > già fatto e le soluzioni che ho tentato. > > Grazie! > > Enver. > > > > _______________________________________________ > Gulchelp mailing list > [email protected] > http://www.gulch.crs4.it/cgi-bin/mailman/listinfo/gulchelp > > -- Mauro A. Casula Informatico Manutenzione reti, server e PC Sviluppo software Via M. De Candia, 17 Macomer sito: www.bodale.it
_______________________________________________ Gulchelp mailing list [email protected] http://www.gulch.crs4.it/cgi-bin/mailman/listinfo/gulchelp
