Re: Linux como router que no enruta
Entendido, El 24/11/2010, a las 08:33, Marc Olive marc.ol...@grupblau.com escribió: On Tuesday 23 November 2010 17:37:10 Ramses wrote: Buenas tardes, Buenas mañanas, Yo había entendido que era una VPN LAN-to-LAN, es decir, solo entre ambos servers y ambas redes comunicadas entre si a través de esa V PN... ¿No es así? Está la red de la oficina, por cable y wifi, todos trabajamos con po rtátiles por que nos movemos bastante. A partir de aquí, la VPN la queremos tipo road-runner: si alguien co je el portatil y se va de la oficina, que pueda acceder a la red interna de la forma mas transparente posible, principalmente para acceder al servidor de archivos samba. No sé de donde me he sacado yo que era una VPN LAN-to-LAN. Entonces cada equipo tiene el Cliente VPN y ataca al Server VPN, ¿no?. Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/0c869cf5-c381-4f17-ae8c-3b521b69c...@gmail.com
Re: Linux como router que no enruta
On Wed, 2010-11-24 at 08:33 +0100, Marc Olive wrote: On Tuesday 23 November 2010 17:37:10 Ramses wrote: Buenas tardes, Buenas mañanas, Yo había entendido que era una VPN LAN-to-LAN, es decir, solo entre ambos servers y ambas redes comunicadas entre si a través de esa VPN... ¿No es así? Está la red de la oficina, por cable y wifi, todos trabajamos con portátiles por que nos movemos bastante. A partir de aquí, la VPN la queremos tipo road-runner: si alguien coje el portatil y se va de la oficina, que pueda acceder a la red interna de la forma mas transparente posible, principalmente para acceder al servidor de archivos samba. Puedes usar openswan : http://www.openswan.org/ No era una tarea sencilla, pero tampoco un gran problema. En mi caso particular me volví loco haciendo que valide contra un M$ Active Directory, y que sea éste el que envíe el DHCP, en lugar de openswan. Saludos! Martín -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1290612983.2980.4.ca...@perla2.latam.ipsos
Re: Linux como router que no enruta
El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Sigo con problemas con la VPN, el firewall y OpenVZ. A ver: Tengo internet, luego el firewall-router y después la red interna. Esa red interna tiene un servidor OpenVPN que configura el túnel VPN en otro rango de IPs (no se puede poner el mismo, verdad?). El problema es que para acceder al rango de IPs de la VPN debo configurar la ruta en cada uno de los ordenadores de la red, individualmente, con: # route add -net 10.10.0.0/16 gw 10.9.0.10 eth0 Donde 10.10.0.0/16 es la red VPN, 10.9.0.0/16 la red interna y 10.9.0.10 el servidor VPN. Si asigno esta ruta en el firewall-router, que todos tienen configurado como puerta de enlace predeterminada, entonces desde el mismo firewall-router puedo hacer pings a la red VPN, pero los otros ordenadores de la red no. Si el firewall-router puede acceder a la red VPN, por que los demas ordenadores que tienen ese firewall-router como puerta de enlace (gateway) predeterminada no pueden? El firewall tambien hace snat para dar acceso a internet (sin problemas) y redirige puertos hacia servicios que deben ser accesibles desde internet (tambien sin problemas). Por si sirve de pista. Saludos y gracias, Hola, si no estas enmascarando el tráfico en el FW que va desde los clientes de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no directamente al cliente que envió la petición, IP descartará ese paquete porque no lo esperaba desde esa dirección, si no desde el FW. Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ceb8232.4010...@limbo.ari.es
Re: Linux como router que no enruta
On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote: El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Si asigno esta ruta en el firewall-router, que todos tienen configurado como puerta de enlace predeterminada, entonces desde el mismo firewall-router puedo hacer pings a la red VPN, pero los otros ordenadores de la red no. Si el firewall-router puede acceder a la red VPN, por que los demas ordenadores que tienen ese firewall-router como puerta de enlace (gateway) predeterminada no pueden? El firewall tambien hace snat para dar acceso a internet (sin problemas) y redirige puertos hacia servicios que deben ser accesibles desde internet (tambien sin problemas). Por si sirve de pista. Saludos y gracias, Hola, si no estas enmascarando el tráfico en el FW que va desde los clientes de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no directamente al cliente que envió la petición, IP descartará ese paquete porque no lo esperaba desde esa dirección, si no desde el FW. Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard. Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los paquetes adecuadamente. NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder acceder a servicios de internet, donde esa IP interna no es válida. Entonces la IP interna se cambia por la IP asignada a internet al enviar los paquetes (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta. No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos. La configuració del firewall (que de momento protege poco), la puse en: http://pastebin.ca/1994330 Hay una línea comentada, $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT, que ahora la tengo activa para permitir el reenvio/encaminamiento de paquetes dentro de la red interna. Pero si teneis razón malpensando del FW, tambien creo que el problema está ahí... Un saludo. Gracias, -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011231014.35020.marc.ol...@grupblau.com
Re: Linux como router que no enruta
El 23/11/10 09:58, Juan Antonio escribió: El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Sigo con problemas con la VPN, el firewall y OpenVZ. A ver: Tengo internet, luego el firewall-router y después la red interna. Esa red interna tiene un servidor OpenVPN que configura el túnel VPN en otro rango de IPs (no se puede poner el mismo, verdad?). El problema es que para acceder al rango de IPs de la VPN debo configurar la ruta en cada uno de los ordenadores de la red, individualmente, con: # route add -net 10.10.0.0/16 gw 10.9.0.10 eth0 Donde 10.10.0.0/16 es la red VPN, 10.9.0.0/16 la red interna y 10.9.0.10 el servidor VPN. Si asigno esta ruta en el firewall-router, que todos tienen configurado como puerta de enlace predeterminada, entonces desde el mismo firewall-router puedo hacer pings a la red VPN, pero los otros ordenadores de la red no. Si el firewall-router puede acceder a la red VPN, por que los demas ordenadores que tienen ese firewall-router como puerta de enlace (gateway) predeterminada no pueden? El firewall tambien hace snat para dar acceso a internet (sin problemas) y redirige puertos hacia servicios que deben ser accesibles desde internet (tambien sin problemas). Por si sirve de pista. Saludos y gracias, Hola, si no estas enmascarando el tráfico en el FW que va desde los clientes de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no directamente al cliente que envió la petición, IP descartará ese paquete porque no lo esperaba desde esa dirección, si no desde el FW. Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Un saludo. Hola de nuevo, olvídalo, he dicho una tonteria. Usa tcpdump en el FW y en el sistema que tiene openvpn para ver hasta donde llega el tráfico. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ceb865d.1010...@limbo.ari.es
Re: Linux como router que no enruta
El 23/11/10 10:14, Marc Olive escribió: On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote: El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Si asigno esta ruta en el firewall-router, que todos tienen configurado como puerta de enlace predeterminada, entonces desde el mismo firewall-router puedo hacer pings a la red VPN, pero los otros ordenadores de la red no. Si el firewall-router puede acceder a la red VPN, por que los demas ordenadores que tienen ese firewall-router como puerta de enlace (gateway) predeterminada no pueden? El firewall tambien hace snat para dar acceso a internet (sin problemas) y redirige puertos hacia servicios que deben ser accesibles desde internet (tambien sin problemas). Por si sirve de pista. Saludos y gracias, Hola, si no estas enmascarando el tráfico en el FW que va desde los clientes de esa red hacia la VPN, cuando este vuelve no se entrega al FW, si no directamente al cliente que envió la petición, IP descartará ese paquete porque no lo esperaba desde esa dirección, si no desde el FW. Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard. Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los paquetes adecuadamente. NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder acceder a servicios de internet, donde esa IP interna no es válida. Entonces la IP interna se cambia por la IP asignada a internet al enviar los paquetes (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta. No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos. La configuració del firewall (que de momento protege poco), la puse en: http://pastebin.ca/1994330 Hay una línea comentada, $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT, que ahora la tengo activa para permitir el reenvio/encaminamiento de paquetes dentro de la red interna. Pero si teneis razón malpensando del FW, tambien creo que el problema está ahí... Un saludo. Gracias, Hola, gracias por la explicación sobre el funcionamiento de SNAT. Pero este puede usarse con otros propósitos, por ejemplo, si el tráfico esta llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen de ese tráfico, tendras que enmascarar en el sistema que tiene openvpn o bien hacer lo mismo en la puerta de enlace por defecto de la red 10.10.0.0 para alcanzar la 10.9.0.0. Como te he dicho antes, usa tcpdump en el GW y en el terminador del tunel para ver hasta donde llega el tráfico, y como llega. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ceb887f.6010...@limbo.ari.es
Re: Linux como router que no enruta
On Tuesday 23 November 2010 10:16:13 Juan Antonio wrote: Hola de nuevo, olvídalo, he dicho una tonteria. Usa tcpdump en el FW y en el sistema que tiene openvpn para ver hasta donde llega el tráfico. Si, he estado mirando con tcpdump. El FW recibe la petición ping pero no le llega la respuesta. Seguiré investigando y haciendo pruebas. Un saludo. -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011231026.32544.marc.ol...@grupblau.com
Re: Linux como router que no enruta
On Tuesday 23 November 2010 10:25:19 Juan Antonio wrote: El 23/11/10 10:14, Marc Olive escribió: On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote: El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard. Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los paquetes adecuadamente. NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder acceder a servicios de internet, donde esa IP interna no es válida. Entonces la IP interna se cambia por la IP asignada a internet al enviar los paquetes (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta. No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos. Un saludo. Gracias, Hola, gracias por la explicación sobre el funcionamiento de SNAT. Pero este puede usarse con otros propósitos, por ejemplo, si el tráfico esta llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen de ese tráfico, tendras que enmascarar en el sistema que tiene openvpn o bien hacer lo mismo en la puerta de enlace por defecto de la red 10.10.0.0 para alcanzar la 10.9.0.0. Y no basta con poner una ruta en la puerta de enlace para alcanzar las distintas redes? El GW (que tambien es el FW) tiene una ruta para el rango de IPs de la VPN y puede hacer ping a ellas. Como te he dicho antes, usa tcpdump en el GW y en el terminador del tunel para ver hasta donde llega el tráfico, y como llega. Si, seguiré mirando. Gracias por el interés. Un saludo. -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011231041.38369.marc.ol...@grupblau.com
RE: Linux como router que no enruta
Marc, buenos días, -Mensaje original- De: Marc Olive [mailto:marc.ol...@grupblau.com] Enviado el: martes, 23 de noviembre de 2010 10:27 Para: debian-user-spanish@lists.debian.org Asunto: Re: Linux como router que no enruta On Tuesday 23 November 2010 10:16:13 Juan Antonio wrote: Hola de nuevo, olvídalo, he dicho una tonteria. Usa tcpdump en el FW y en el sistema que tiene openvpn para ver hasta donde llega el tráfico. Si, he estado mirando con tcpdump. El FW recibe la petición ping pero no le llega la respuesta. Seguiré investigando y haciendo pruebas. Es lo que te comentaba. A ver si el esquema es este o no: Red A: -- - Red Clientes A - Default Gateway A - Server VPN A Red B: -- - Red Clientes B - Default Gateway B - Server VPN B Por lo que has dicho, solo al Default Gateway A (Firewall) le has dicho que la Red de Clientes B está en el Server VPN A, ojo, en la pata LAN. Lo mismo tienes que hacer en el Default Gateway B, para que cuando un cliente de la Red de Clientes B vaya a responder a una petición de la Red de Clientes A, lo mande a su Default Gateway, ya que no está en su red, y éste lo mande al Server VPN B y. A ver si puedes hacer la prueba. Si no puedes hacer esto en B, entonces, creo, que tendrás que hacer por narices lo del enmascaramiento... ¿Has dicho que desde el Default Gateway A puedes hacer Ping a cualquier cliente de la Red de Clientes B o yo lo he soñado? Si puedes hacer Ping entre ambos Default Gateways, el problema puede estar en no tengas el Forwarding activo, o filtrando un firewall, en alguno de ellos para cuando le llega una petición de un cliente para la otra red... Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/!!aaayajewdbnav25pnvwrik6jrw9iogiaenzjabmhhfpikqubuimzhmeba...@gmail.com
RE: Linux como router que no enruta
Marc, buenos días, -Mensaje original- De: Marc Olive [mailto:marc.ol...@grupblau.com] Enviado el: martes, 23 de noviembre de 2010 10:42 Para: debian-user-spanish@lists.debian.org Asunto: Re: Linux como router que no enruta On Tuesday 23 November 2010 10:25:19 Juan Antonio wrote: El 23/11/10 10:14, Marc Olive escribió: On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote: El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard. Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los paquetes adecuadamente. NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder acceder a servicios de internet, donde esa IP interna no es válida. Entonces la IP interna se cambia por la IP asignada a internet al enviar los paquetes (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta. No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos. Un saludo. Gracias, Hola, gracias por la explicación sobre el funcionamiento de SNAT. Pero este puede usarse con otros propósitos, por ejemplo, si el tráfico esta llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen de ese tráfico, tendras que enmascarar en el sistema que tiene openvpn o bien hacer lo mismo en la puerta de enlace por defecto de la red 10.10.0.0 para alcanzar la 10.9.0.0. Y no basta con poner una ruta en la puerta de enlace para alcanzar las distintas redes? El GW (que tambien es el FW) tiene una ruta para el rango de IPs de la VPN y puede hacer ping a ellas. Como te he dicho antes, usa tcpdump en el GW y en el terminador del tunel para ver hasta donde llega el tráfico, y como llega. Si, seguiré mirando. Gracias por el interés. Un saludo. A nivel de routing, creo que sí, pero en ambos Default Gateway's... Haz lo que te comentaba en el otro correo, si no lo habías hecho, y si no va, mete el tcpdump en ambos Server VPN, a ver donde se queda la respuesta... Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/!!aaayajewdbnav25pnvwrik6jrw9iogiaekn33a2zj9fmvbiy9mujrtiba...@gmail.com
Re: Linux como router que no enruta
El 23/11/10 10:41, Marc Olive escribió: On Tuesday 23 November 2010 10:25:19 Juan Antonio wrote: El 23/11/10 10:14, Marc Olive escribió: On Tuesday 23 November 2010 09:58:26 Juan Antonio wrote: El 22/11/10 10:05, Marc Olive escribió: Buenas listeros, Tienes que hacer SNAT de ese tráfico igual que lo haces para internet, iptables -t nat -I POSTROUTING -d 10.10.0.0/16 -o ethX -j MASQUERADE Hmm... no veo claro que deba hacer SNAT entre la red VPN y la estándard. Según lo entiendo, ambas son redes distintas con distinto rango de IP y todas las direcciones son válidas, deberia ser suficiente con encaminar (enrutar) los paquetes adecuadamente. NAT es necesario cuando una IP interna (192.168.0.1, típicamente) debe poder acceder a servicios de internet, donde esa IP interna no es válida. Entonces la IP interna se cambia por la IP asignada a internet al enviar los paquetes (213.4.130.95, por ejemplo) y se restaura otra vez al recibir la respuesta. No veo la necesidad de usar NAT teniendo dos redes con rangos IP distintos. Un saludo. Gracias, Hola, gracias por la explicación sobre el funcionamiento de SNAT. Pero este puede usarse con otros propósitos, por ejemplo, si el tráfico esta llegando a la red 10.10.0.0 y estos no saben como alcanzar el origen de ese tráfico, tendras que enmascarar en el sistema que tiene openvpn o bien hacer lo mismo en la puerta de enlace por defecto de la red 10.10.0.0 para alcanzar la 10.9.0.0. Y no basta con poner una ruta en la puerta de enlace para alcanzar las distintas redes? El GW (que tambien es el FW) tiene una ruta para el rango de IPs de la VPN y puede hacer ping a ellas. Como te he dicho antes, usa tcpdump en el GW y en el terminador del tunel para ver hasta donde llega el tráfico, y como llega. Si, seguiré mirando. Gracias por el interés. Un saludo. Si, pero ¿En la red 10.9.0.0 también saben llegar a la 10.10.0.0 a traves del tunel? Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ceb9d27.4050...@limbo.ari.es
Re: Linux como router que no enruta
Son varias cuestiones separadas. El problema es que para acceder al rango de IPs de la VPN debo configurar la ruta en cada uno de los ordenadores de la red, individualmente, con: # route add -net 10.10.0.0/16 gw 10.9.0.10 eth0 Eso lo haces en los clientes que se conectan al VPN server cierto...? no a los equipos que estan en la misma red que el propio VPN server. Preguntonta... En el /etc/openvpn/*.conf has agregado los route 10.9.0.0/255.255.0.0 y push route 10.9.0.0/255.255.0.0 respectivamente? Otra preguntonta. Porque /16..? digo, tienes acaso 65534 hosts en tu red.? Saludos -- La Voluntad es el único motor de nuestros logros Mstaaravin -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cebc6a7.2040...@ngen.com.ar
Re: Linux como router que no enruta
On Tuesday 23 November 2010 14:50:31 Carlos Miranda Molina wrote: Son varias cuestiones separadas. El problema es que para acceder al rango de IPs de la VPN debo configurar la ruta en cada uno de los ordenadores de la red, individualmente, con: # route add -net 10.10.0.0/16 gw 10.9.0.10 eth0 Eso lo haces en los clientes que se conectan al VPN server cierto...? no a los equipos que estan en la misma red que el propio VPN server. Esto lo hacia en los equipos que estan en la misma red que el propio VPN server para que pudieran ver a los de la VPN. No es la forma de hacerlo y por eso busco mas info. Ya no hace falta poner estas rutas, un escollo menos :-) Preguntonta... En el /etc/openvpn/*.conf has agregado los route 10.9.0.0/255.255.0.0 y push route 10.9.0.0/255.255.0.0 respectivamente? Si, se lo puse, aunque he hecho tantas pruebas y cambios que ya no estoy seguro. Lo reviso y reaseguro. Otra preguntonta. Porque /16..? digo, tienes acaso 65534 hosts en tu red.? Porque puedo y porque me es mas comodo para ordenar las IPs por equipo y funcion. Y solo hacen falta 256 equipos para necesitar una /16 (que tampoco los administro). Saludos Saludos, -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011231505.37264.marc.ol...@grupblau.com
Re: Linux como router que no enruta
On 11/23/2010 11:05 AM, Marc Olive wrote: Preguntonta... En el/etc/openvpn/*.conf has agregado los route 10.9.0.0/255.255.0.0 y push route 10.9.0.0/255.255.0.0 respectivamente? Si, se lo puse, aunque he hecho tantas pruebas y cambios que ya no estoy seguro. Lo reviso y reaseguro. Otra preguntonta. Porque /16..? digo, tienes acaso 65534 hosts en tu red.? Porque puedo y porque me es mas comodo para ordenar las IPs por equipo y funcion. Y solo hacen falta 256 equipos para necesitar una /16 (que tampoco los administro). Bien, para que los equipos que estan en la misma red que el VPN server puedan ver a los clientes externos, tienen que tener una ruta asignada mediante DHCP, se llama shared-network en dhcp3-server. Saludos -- La Voluntad es el único motor de nuestros logros Mstaaravin -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cebe6d4.4080...@ngen.com.ar
Re: Linux como router que no enruta
Buenas tardes, El 23/11/2010, a las 17:07, Carlos Miranda Molina cmira...@ngen.com.ar escribió: On 11/23/2010 11:05 AM, Marc Olive wrote: Preguntonta... En el/etc/openvpn/*.conf has agregado los route 10.9.0.0/255.255.0.0 y push route 10.9.0.0/255.255.0.0 respectivamente? Si, se lo puse, aunque he hecho tantas pruebas y cambios que ya no estoy seguro. Lo reviso y reaseguro. Otra preguntonta. Porque /16..? digo, tienes acaso 65534 hosts en tu red.? Porque puedo y porque me es mas comodo para ordenar las IPs por equipo y funcion. Y solo hacen falta 256 equipos para necesitar una /16 (que tampoco los administro). Bien, para que los equipos que estan en la misma red que el VPN server puedan ver a los clientes externos, tienen que tener una ruta asignada mediante DHCP, se llama shared-network en dhcp3-server. Saludos Yo había entendido que era una VPN LAN-to-LAN, es decir, solo entre ambos servers y ambas redes comunicadas entre si a través de esa VPN... ¿No es así? Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4a1cd63b-78f9-4a4e-9eeb-0d6694dc9...@gmail.com
Re: Linux como router que no enruta
On Tuesday 23 November 2010 17:37:10 Ramses wrote: Buenas tardes, Buenas mañanas, Yo había entendido que era una VPN LAN-to-LAN, es decir, solo entre ambos servers y ambas redes comunicadas entre si a través de esa VPN... ¿No es así? Está la red de la oficina, por cable y wifi, todos trabajamos con portátiles por que nos movemos bastante. A partir de aquí, la VPN la queremos tipo road-runner: si alguien coje el portatil y se va de la oficina, que pueda acceder a la red interna de la forma mas transparente posible, principalmente para acceder al servidor de archivos samba. Saludos, Ramses -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011240833.09404.marc.ol...@grupblau.com
Re: Linux como router que no enruta
Buenos días, El 22/11/2010, a las 10:05, Marc Olive marc.ol...@grupblau.com escribió: Buenas listeros, Sigo con problemas con la VPN, el firewall y OpenVZ. A ver: Tengo internet, luego el firewall-router y después la red interna. E sa red interna tiene un servidor OpenVPN que configura el túnel VPN en otro rango de IPs (no se puede poner el mismo, verdad?). El problema es que para acceder al rango de IPs de la VPN debo configurar la ruta en cada uno de los ordenadores de la red, individualmente, con: # route add -net 10.10.0.0/16 gw 10.9.0.10 eth0 Donde 10.10.0.0/16 es la red VPN, 10.9.0.0/16 la red interna y 10.9.0.10 el servidor VPN. Si asigno esta ruta en el firewall-router, que todos tienen configurado como puerta de enlace predeterminada, entonces desde el mismo firewall- router puedo hacer pings a la red VPN, pero los otros ordenadores de la red no. Si el firewall-router puede acceder a la red VPN, por que los demas ordenadores que tienen ese firewall-router como puerta de enlace (gateway) predeterminada no pueden? El firewall tambien hace snat para dar acceso a internet (sin problemas) y redirige puertos hacia servicios que deben ser accesibles desde internet (tambien sin problemas). Por si sirve de pista. Saludos y gracias, Ambos gateways de ambas redes deben saber llegar a la otra red... Además, a ver si cuando haces ping desde el router/firewall, este lo hace desde la IP sin NAT y cuando lo haces desde los PC's, le aplica el NAT antes de enrutar... O el rema del Forwarding en el router/firewall... Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/db2b8ccb-c96c-41fd-9050-fa0c78394...@gmail.com