OpenVPN, OpenVZ y firewall
Hola gente, veo que está animada la lista, bien, bien. A ver si me podeis echar un cable: tengo un par de máquinas, una de ellas con dos NICs haciendo de firewall, SNAT y redirigiendo puertos hacia servicios internos. La otra máquina tiene varios contenedores VZ, entre ellos uno con OpenVPN para poder acceder a la red remotamente sin problemas (dice la teoria). Sin firewall no se puede acceder a la VPN, pero creo que el mismo firewall bloquea el acceso a los contenedores con VETH. Conectado por VPN puedo acceder a los equipos de la red sin mas, y tambien puedo acceder a los contendores que usan VENET, pero no a los que tienen una VETH. Las reglas iptables estan a http://pastebin.ca/1994330 Hay una regla comentada que dice: $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT Sin esta regla no puedo hacer pings a los contenedores VENETH, con ella puedo hacer pings, pero entonces las respuestas parecen venir de la IP del firewall y no del contenedor y da problemas: ~$ host vpn ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 10.81.53.2 es el firewall y 10.81.53.5 el DNS. Alguna idea de por que no puedo acceder a los contenedores VENETH via VPN? He mirado los arp_filter y forwarding y la ruta hacia la VPN está puesta (o no podria acceder a los VENET). Gracias! -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011171047.56727.marc.ol...@grupblau.com
Re: OpenVPN, OpenVZ y firewall
2010/11/17 Marc Olive : > > Hola gente, veo que está animada la lista, bien, bien. > > A ver si me podeis echar un cable: tengo un par de máquinas, una de ellas con > dos NICs haciendo de firewall, SNAT y redirigiendo puertos hacia servicios > internos. > La otra máquina tiene varios contenedores VZ, entre ellos uno con OpenVPN para > poder acceder a la red remotamente sin problemas (dice la teoria). > > Sin firewall no se puede acceder a la VPN, pero creo que el mismo firewall > bloquea el acceso a los contenedores con VETH. > Conectado por VPN puedo acceder a los equipos de la red sin mas, y tambien > puedo acceder a los contendores que usan VENET, pero no a los que tienen una > VETH. > > Las reglas iptables estan a http://pastebin.ca/1994330 > Hay una regla comentada que dice: > $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT > Sin esta regla no puedo hacer pings a los contenedores VENETH, con ella puedo > hacer pings, pero entonces las respuestas parecen venir de la IP del firewall > y > no del contenedor y da problemas: > > ~$ host vpn > ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 > ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 > > 10.81.53.2 es el firewall y 10.81.53.5 el DNS. > > Alguna idea de por que no puedo acceder a los contenedores VENETH via VPN? > He mirado los arp_filter y forwarding y la ruta hacia la VPN está puesta (o no > podria acceder a los VENET). > > Gracias! Buenas Marc, No se si estas dos cosas te van a servir, te lo comento porque es lo que siempre me ha funcionado para solucionar problemas con venet y su extraño comportamiento. 1)Para que un container con venet y varias ips responda con la que toca (al menos des del punto de vista de su HN) prueba con ejecutar esto dentro del container: ip r add 10.0.0.0/24 dev venet0 src 10.0.0.21 ip r add 77.xxx.xxx.0/24 dev venet0 src 77.xxx.xxx.81 2)Y para controlar que ip van a tener esos paquetes fura del HN creo que puedes configurarlo con VE_ROUTE_SRC_DEV en /etc/vz/vz.conf -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktinkzsab45uisdccg3hcrwr3ckf=rugvuga-b...@mail.gmail.com
Re: OpenVPN, OpenVZ y firewall
On Wednesday 17 November 2010 11:26:58 Marc Aymerich wrote: > 2010/11/17 Marc Olive : > > Alguna idea de por que no puedo acceder a los contenedores VENETH via > > VPN? He mirado los arp_filter y forwarding y la ruta hacia la VPN está > > puesta (o no podria acceder a los VENET). > > > > Gracias! > > Buenas Marc, > No se si estas dos cosas te van a servir, te lo comento porque es lo > que siempre me ha funcionado para solucionar problemas con venet y su > extraño comportamiento. Perdona, donde dije "VENETH" queria decir "VETH". Me apunto como poner las rutas para que use la IP que corresponda, gracias. -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011171420.51296.marc.ol...@grupblau.com
