Re: [rlug] routing :: comunicare retele prin tunel openvpn
On 12/13/2016 07:05 PM, alex alex wrote: Salut, Salut! Push route functioneza cind un client se conecteaza la un server openvpn. Aici se conecteaza doua servere openvpn. Clientii din lan ai lui Adrian nu stiu sa intoarca pachetele catre o retea necunoscuta pentru ei, asa ca arunca pachetele la def. gateway. care le dropeaza, gateway-ul probabil nestiind nici el de retaua respectiva. Deci fie ruta de intoarcere specifica pentru lan-ul remote pe statii, fie NAT (caz in care calculatoarele replica catre ip-ul gateway-ului openvpn, din moment ce sursa vine dinspe acesta) mda, make sense! acum imi dau seama ca singura solutie e NAT pe serverul openvpn remote (sau solutia de haproxy data de Iulian) dar mai intii incerc cu NAT :) Multumesc! Adrian 2016-12-12 17:09 GMT+02:00 manuel "lonely wolf" wolfshant
Re: [rlug] routing :: comunicare retele prin tunel openvpn
Salut, Push route functioneza cind un client se conecteaza la un server openvpn. Aici se conecteaza doua servere openvpn. Clientii din lan ai lui Adrian nu stiu sa intoarca pachetele catre o retea necunoscuta pentru ei, asa ca arunca pachetele la def. gateway. care le dropeaza, gateway-ul probabil nestiind nici el de retaua respectiva. Deci fie ruta de intoarcere specifica pentru lan-ul remote pe statii, fie NAT (caz in care calculatoarele replica catre ip-ul gateway-ului openvpn, din moment ce sursa vine dinspe acesta) 2016-12-12 17:09 GMT+02:00 manuel "lonely wolf" wolfshant: > On 12/12/2016 03:57 PM, Mihai Badici wrote: > > Poti sa pui ruta inversa cu "push route": > > > > push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge > si > > in acel fisier in care ai pus iroute. > > ( exemplele mele nu sunt consistente, sunt din configuri diferite) > > > config functional de ani de zile in curtea mea: > > push "route 192.168.10.201 255.255.255.255" > push "route 192.168.5.1 255.255.255.255" > push "route 192.168.5.24 255.255.255.255" > push "route 192.168.5.29 255.255.255.255" > push "dhcp-option DNS 192.168.10.11" > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
În 2016-12-12 18:54, Adrian Sevcenco a scris: > On 12/12/2016 06:32 PM, Iulian Murgulet wrote: >> În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris: >>> On 12/12/2016 03:57 PM, Mihai Badici wrote: Poti sa pui ruta inversa cu "push route": push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge si in acel fisier in care ai pus iroute. ( exemplele mele nu sunt consistente, sunt din configuri diferite) >>> config functional de ani de zile in curtea mea: >>> >>> push "route 192.168.10.201 255.255.255.255" >>> push "route 192.168.5.1 255.255.255.255" >>> push "route 192.168.5.24 255.255.255.255" >>> push "route 192.168.5.29 255.255.255.255" >>> push "dhcp-option DNS 192.168.10.11" >>> >> >>Da, confirm si eu partea cu push ... Merge de ani si la mine. >> Trebuie > o am si eu .. > push "route 10.10.8.0 255.255.252.0" > push "route 172.20.0.0 255.255.255.0" > > astea fiind retelele private la care vreau sa ajung de acasa > >> totusi sa ia in vedere si ce vei putea avea peste ceva timp. Daca or >> sa >> apara in loc de un singur tunel 10-15 tunele, >> nu mai este chiar asa de placut. Stii ... sterge push "route >> draci-laci" >> si aduga 2-3 route, si asta pe mai multe tunele. Asadar, daca crezi ca > e doar un tunel p2p fix pentru a avea de acasa access la retelele > private unde am ipmi-uri care imi ofera un kvm prin applet java, > applet ce nu stie sa recunoasca proxyul setat al browserului si prin > urmare nu functioneaza > >> NU ai sa ajungi la aceasta situatie, push route e cel mai bine. Daca >> insa e posibil sa ajungi la ce povestesc eu, atunci nu asta este >> solutia >> optima. In cazul a mai multor tunele, e mai productiv sa folosesti >> ospf. >> In cazul asta ospf fa face ceea ce face push-route. Si de aici apar si >> alte avantaje, dar nu intru in detalii. >> >>Deasemenea, daca ai ceva in LAN-ul remote de acesat poate fi utila >> si >> varianta cu un haproxy pe capatul tunelului(la care ajungi cu >> openvpn), >> si de acolo haproxy face rutarea in spate pe host-le care te > nu prea inteleg cum face rutarea un proxy ... poti te rog sa detaliezi > un pic si/sau imi dai un link de lamurire? din ce am vazut la un > google scurt haproxy e ceva cu load balancing si nu prea vad ce > legatura are cu accessul meu la o retea de dincolo de serverul openvpn - se poate seta sa zicem un loadbalancing cu un singur back-end in spate (ex. 192.168.100.0/24)lan-home---ovpn-home(10.20.30.1)ovpn-munca(10.20.30.2)---lan-munca(ex. 192.168.0.0/24) - ideea este ca din 192.168.100.0/24 ajung cu ping de ex. la ovpn-munca(10.20.30.2) - pun un haproxy pe masina de la munca care tine ovpn-ul, si care asculta cererile care vin prin ovpn - deci clientul din lan-home comunica doar cu ip-ul oferit de ovpn-munca, si ca orice proxy, rescrie header-ul(similar cu NAT-ul ca idee) si ce mai stie el, astfel incat destinatia finala din lan-munca vede ca si sursa ip-ul masinii care tine ovpn-ul: listen frontend_proxy_tcp 10.20.30.2:xxx maxconn 500 mode tcp option tcplog server backend 192.168.0.y1:z1 check - deci ce vine pe portul tcp xxx/10.20.30.2 este "routat" via ha-proxy catre hostul 192.168.0.y1, portul tcp z1. - poti face N instante de genul asta, care sa asculte pe acelasi ip 10.20.30.2, dar pe porturi diferite - singura conditie este ca hostul de la munca pe care ruleaza ovpn sa poata contacta host-le pe care te intereseaza pe tine - deci poti sa ai si asa: listen frontend1_proxy_tcp 10.20.30.2:x1 maxconn 50 mode tcp option tcplog server backend 192.168.0.y1:z1 check listen frontend2_proxy_tcp 10.20.30.2:x2 maxconn 50 mode tcp option tcplog server backend 192.168.0.y2:z1 check samd Si am convingerea ca e mai buna varianta cu haproxy, pt ca: - nu vrei ca virusii sau nebuniile de la tine de acasa sa ajunga la munca - nu vrei nici invers, ca problemele de la munca sa-ti "inunde" reteaua de acasa - cu ceva setari de timeout o conexiune de ovpn intrerupta, si apoi restabilita nu conduce si la intrerupere sesiunii cu backend-ul pe care tocmai faceai ceva f. important - e usor de setat niste reguli simple si decente de firewall pt haproxy Practic in cazul tau haproxy va face "rutarea" catre back-end-ri, iar back-end-le vor raspunde la cererile venite de la haproxy. Banui ca acele aplet-ri ruleaza intr-un browser, prin urmare, se poate seta haproxy sa asculte cereri pe un https, adica in final nici nu mai ai nevoie de ovpn, daca limitezi din firewall sursa/ip de acasa(port-knok?). Si de acasa deschizi doar un broswer ... asa e si mai simplu. Tot ce ai de facut e sa setezi cum trebuie haproxy. Bafta. > ... > > Multumesc frumos! > Adrian > > >> intereseaza. Eu cred ca varianta asta e si mai secure ...;) Aici nu >> mai >> ai nevoie de nici o rutare gen push route! >> >>Evident fiecare variana are avantaje si
Re: [rlug] routing :: comunicare retele prin tunel openvpn
On 12 December 2016 18:54:41 EET, Adrian Sevcencowrote: >On 12/12/2016 06:32 PM, Iulian Murgulet wrote: >> În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris: >>> On 12/12/2016 03:57 PM, Mihai Badici wrote: Poti sa pui ruta inversa cu "push route": push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge si in acel fisier in care ai pus iroute. ( exemplele mele nu sunt consistente, sunt din configuri diferite) >>> config functional de ani de zile in curtea mea: >>> >>> push "route 192.168.10.201 255.255.255.255" >>> push "route 192.168.5.1 255.255.255.255" >>> push "route 192.168.5.24 255.255.255.255" >>> push "route 192.168.5.29 255.255.255.255" >>> push "dhcp-option DNS 192.168.10.11" >>> >> >>Da, confirm si eu partea cu push ... Merge de ani si la mine. >Trebuie >o am si eu .. >push "route 10.10.8.0 255.255.252.0" >push "route 172.20.0.0 255.255.255.0" > >astea fiind retelele private la care vreau sa ajung de acasa > ruleaza un tcpdump pe routerul unde e serverul si verifica ce pachete nu apar / cine / unde se impiedica. Daca device-urile refuza sa invete rute in afara propriului subnet cred ca nu scapi fara a face NAT pe server pt ele ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
On 12/12/2016 06:32 PM, Iulian Murgulet wrote: În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris: On 12/12/2016 03:57 PM, Mihai Badici wrote: Poti sa pui ruta inversa cu "push route": push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge si in acel fisier in care ai pus iroute. ( exemplele mele nu sunt consistente, sunt din configuri diferite) config functional de ani de zile in curtea mea: push "route 192.168.10.201 255.255.255.255" push "route 192.168.5.1 255.255.255.255" push "route 192.168.5.24 255.255.255.255" push "route 192.168.5.29 255.255.255.255" push "dhcp-option DNS 192.168.10.11" Da, confirm si eu partea cu push ... Merge de ani si la mine. Trebuie o am si eu .. push "route 10.10.8.0 255.255.252.0" push "route 172.20.0.0 255.255.255.0" astea fiind retelele private la care vreau sa ajung de acasa totusi sa ia in vedere si ce vei putea avea peste ceva timp. Daca or sa apara in loc de un singur tunel 10-15 tunele, nu mai este chiar asa de placut. Stii ... sterge push "route draci-laci" si aduga 2-3 route, si asta pe mai multe tunele. Asadar, daca crezi ca e doar un tunel p2p fix pentru a avea de acasa access la retelele private unde am ipmi-uri care imi ofera un kvm prin applet java, applet ce nu stie sa recunoasca proxyul setat al browserului si prin urmare nu functioneaza NU ai sa ajungi la aceasta situatie, push route e cel mai bine. Daca insa e posibil sa ajungi la ce povestesc eu, atunci nu asta este solutia optima. In cazul a mai multor tunele, e mai productiv sa folosesti ospf. In cazul asta ospf fa face ceea ce face push-route. Si de aici apar si alte avantaje, dar nu intru in detalii. Deasemenea, daca ai ceva in LAN-ul remote de acesat poate fi utila si varianta cu un haproxy pe capatul tunelului(la care ajungi cu openvpn), si de acolo haproxy face rutarea in spate pe host-le care te nu prea inteleg cum face rutarea un proxy ... poti te rog sa detaliezi un pic si/sau imi dai un link de lamurire? din ce am vazut la un google scurt haproxy e ceva cu load balancing si nu prea vad ce legatura are cu accessul meu la o retea de dincolo de serverul openvpn ... Multumesc frumos! Adrian intereseaza. Eu cred ca varianta asta e si mai secure ...;) Aici nu mai ai nevoie de nici o rutare gen push route! Evident fiecare variana are avantaje si dezavantaje. Alege ce-ti convine mai mult! ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ATENTIONARI = - nu trimiteti date personale (CNP, copii dupa acte de identitate etc). O lista completa cu reguli de utilizare exista la: http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106 C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov [web-site]: http://www.casbv.ro [forum]: http://gw.casbv.ro/forum_smf/index.php == ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug -- -- Adrian Sevcenco, Ph.D. | Institute of Space Science - ISS, Romania| adrian.sevcenco at {cern.ch,spacescience.ro} | -- ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
On 12/12/2016 03:57 PM, Mihai Badici wrote: > Poti sa pui ruta inversa cu "push route": > > push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge si > in acel fisier in care ai pus iroute. > ( exemplele mele nu sunt consistente, sunt din configuri diferite) > config functional de ani de zile in curtea mea: push "route 192.168.10.201 255.255.255.255" push "route 192.168.5.1 255.255.255.255" push "route 192.168.5.24 255.255.255.255" push "route 192.168.5.29 255.255.255.255" push "dhcp-option DNS 192.168.10.11" ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
Poti sa pui ruta inversa cu "push route": push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge si in acel fisier in care ai pus iroute. ( exemplele mele nu sunt consistente, sunt din configuri diferite) 2016-12-12 15:29 GMT+02:00 Adrian Sevcenco: > On 12/12/2016 01:45 PM, alex alex wrote: > >> Trebuie sa ai ruta de intorcere catre reteaua ta de acasa pe >> clientii/pc-urile de la serviciu... Sau sa faci NAT/MAsq pe >> office/ethpriv1. >> > mda, ar fi logic, ca nu au de unde sa stie .. > ruta de intoarcere nu am cum sa pun (nu sunt compuri sunt deviceuri : > raid, ipmi, switch) > > NAT/Masq cred ca e singura modalitate ... cum s-ar face? > postrouting -s net_priv_1 -o tun10 ? > > Sau sa faci tunel L2 cu openVPN, ca sa fii in aceeasi retea layer2 (pot >> aparea probleme suplimentare) >> > m-am gindit dar prefer sa nu.. > > Multumesc de idei si info! > Adrian > > > > >> 2016-12-12 9:17 GMT+02:00 Adrian Sevcenco : >> >> On 12/11/2016 08:31 PM, Mihai Badici wrote: >>> >>> On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote: Salut! Am o problema de routing si clar imi scapa un amanunt esential : > > net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[ > office](eth_priv_ > 1)---net_priv_1 > > in principiu pe fiecare in parte pus rutele sa ajunga in partea > cealalta > de pe fiecare comp am ping la ip-urile de pe interfata privata din > partea cealalta : > din home : ping la ip eth_priv_1 DA > din office : ping la ip eth_priv_0 DA > > problema e ca nu am ping la retelele private net_priv_ (de interes > fiind > net_priv_1) > am incercat ce pe serverul de openvpn (configurat p2p) sa specific la > local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe > eth_priv_1) dar asa nu a mers nici ping pe 200.. > > Aveti idee ce imi scapa ? > Multumesc frumos! > Adrian > > Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de genul: client-config-dir ccd ( asta in configul openvpn) si dupa aia in ccd un fisier cu numele clientului in care pui rutele : de exemplu: cat /etc/openvpn/ccd/test iroute 192.168.8.0 255.255.255.0 Multumesc de sfat! >>> Din nefericire nu functioneaza .. cind introduc >>> client-config-dir /etc/openvpn/clients >>> mode server >>> >>> unde clients are fisierul DEFAULT cu rutele serverului >>> nu mai am ping nici la capatul tunelului :( .. >>> (fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org >>> ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china >>> ca are adaugat /emailAddress= ... asa l-a facut easyrsa) >>> in log am asa ceva : >>> >>> 192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific >>> options from: /etc/openvpn/clients/DEFAULT >>> 192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote >>> --ifconfig address is available for 192.168.1.100/5.12.126.170:1194 >>> 192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 -> >>> 192.168.1.100/5.12.126.170:1194 >>> 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 -> >>> 192.168.1.100/5.12.126.170:1194 >>> 192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 -> >>> 192.168.1.100/5.12.126.170:1194 >>> 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 -> >>> 192.168.1.100/5.12.126.170:1194 >>> 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0 >>> 255.255.252.0' >>> 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0 >>> 255.255.255.0' >>> >>> tunelul e static, doar vreau sa am access de acasa la 2 retele private de >>> la serviciu, deci nu am nevoie de nimic complicat dinamic .. >>> avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing >>> de mina ca sa vad si retelele net_priv_1 ? >>> >>> Multumesc frumos! >>> Adrian >>> >>> >>> >>> ___ >>> RLUG mailing list >>> RLUG@lists.lug.ro >>> http://lists.lug.ro/mailman/listinfo/rlug >>> >>> >>> ___ >> RLUG mailing list >> RLUG@lists.lug.ro >> http://lists.lug.ro/mailman/listinfo/rlug >> >> > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
On 12/12/2016 01:45 PM, alex alex wrote: Trebuie sa ai ruta de intorcere catre reteaua ta de acasa pe clientii/pc-urile de la serviciu... Sau sa faci NAT/MAsq pe office/ethpriv1. mda, ar fi logic, ca nu au de unde sa stie .. ruta de intoarcere nu am cum sa pun (nu sunt compuri sunt deviceuri : raid, ipmi, switch) NAT/Masq cred ca e singura modalitate ... cum s-ar face? postrouting -s net_priv_1 -o tun10 ? Sau sa faci tunel L2 cu openVPN, ca sa fii in aceeasi retea layer2 (pot aparea probleme suplimentare) m-am gindit dar prefer sa nu.. Multumesc de idei si info! Adrian 2016-12-12 9:17 GMT+02:00 Adrian Sevcenco: On 12/11/2016 08:31 PM, Mihai Badici wrote: On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote: Salut! Am o problema de routing si clar imi scapa un amanunt esential : net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[ office](eth_priv_ 1)---net_priv_1 in principiu pe fiecare in parte pus rutele sa ajunga in partea cealalta de pe fiecare comp am ping la ip-urile de pe interfata privata din partea cealalta : din home : ping la ip eth_priv_1 DA din office : ping la ip eth_priv_0 DA problema e ca nu am ping la retelele private net_priv_ (de interes fiind net_priv_1) am incercat ce pe serverul de openvpn (configurat p2p) sa specific la local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe eth_priv_1) dar asa nu a mers nici ping pe 200.. Aveti idee ce imi scapa ? Multumesc frumos! Adrian Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de genul: client-config-dir ccd ( asta in configul openvpn) si dupa aia in ccd un fisier cu numele clientului in care pui rutele : de exemplu: cat /etc/openvpn/ccd/test iroute 192.168.8.0 255.255.255.0 Multumesc de sfat! Din nefericire nu functioneaza .. cind introduc client-config-dir /etc/openvpn/clients mode server unde clients are fisierul DEFAULT cu rutele serverului nu mai am ping nici la capatul tunelului :( .. (fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china ca are adaugat /emailAddress= ... asa l-a facut easyrsa) in log am asa ceva : 192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/clients/DEFAULT 192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote --ifconfig address is available for 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0 255.255.252.0' 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0 255.255.255.0' tunelul e static, doar vreau sa am access de acasa la 2 retele private de la serviciu, deci nu am nevoie de nimic complicat dinamic .. avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing de mina ca sa vad si retelele net_priv_1 ? Multumesc frumos! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
Trebuie sa ai ruta de intorcere catre reteaua ta de acasa pe clientii/pc-urile de la serviciu... Sau sa faci NAT/MAsq pe office/ethpriv1. Sau sa faci tunel L2 cu openVPN, ca sa fii in aceeasi retea layer2 (pot aparea probleme suplimentare) 2016-12-12 9:17 GMT+02:00 Adrian Sevcenco: > On 12/11/2016 08:31 PM, Mihai Badici wrote: > >> On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote: >> >>> Salut! Am o problema de routing si clar imi scapa un amanunt esential : >>> >>> net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[ >>> office](eth_priv_ >>> 1)---net_priv_1 >>> >>> in principiu pe fiecare in parte pus rutele sa ajunga in partea cealalta >>> de pe fiecare comp am ping la ip-urile de pe interfata privata din >>> partea cealalta : >>> din home : ping la ip eth_priv_1 DA >>> din office : ping la ip eth_priv_0 DA >>> >>> problema e ca nu am ping la retelele private net_priv_ (de interes fiind >>> net_priv_1) >>> am incercat ce pe serverul de openvpn (configurat p2p) sa specific la >>> local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe >>> eth_priv_1) dar asa nu a mers nici ping pe 200.. >>> >>> Aveti idee ce imi scapa ? >>> Multumesc frumos! >>> Adrian >>> >> Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de >> genul: >> >> client-config-dir ccd ( asta in configul openvpn) >> si dupa aia in ccd un fisier cu numele clientului in care pui rutele : >> de exemplu: >> >> cat /etc/openvpn/ccd/test >> iroute 192.168.8.0 255.255.255.0 >> > Multumesc de sfat! > Din nefericire nu functioneaza .. cind introduc > client-config-dir /etc/openvpn/clients > mode server > > unde clients are fisierul DEFAULT cu rutele serverului > nu mai am ping nici la capatul tunelului :( .. > (fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org > ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china > ca are adaugat /emailAddress= ... asa l-a facut easyrsa) > in log am asa ceva : > > 192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific > options from: /etc/openvpn/clients/DEFAULT > 192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote > --ifconfig address is available for 192.168.1.100/5.12.126.170:1194 > 192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 -> > 192.168.1.100/5.12.126.170:1194 > 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 -> > 192.168.1.100/5.12.126.170:1194 > 192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 -> > 192.168.1.100/5.12.126.170:1194 > 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 -> > 192.168.1.100/5.12.126.170:1194 > 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0 > 255.255.252.0' > 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0 > 255.255.255.0' > > tunelul e static, doar vreau sa am access de acasa la 2 retele private de > la serviciu, deci nu am nevoie de nimic complicat dinamic .. > avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing > de mina ca sa vad si retelele net_priv_1 ? > > Multumesc frumos! > Adrian > > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] routing :: comunicare retele prin tunel openvpn
On 12/11/2016 08:31 PM, Mihai Badici wrote: On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote: Salut! Am o problema de routing si clar imi scapa un amanunt esential : net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[office](eth_priv_ 1)---net_priv_1 in principiu pe fiecare in parte pus rutele sa ajunga in partea cealalta de pe fiecare comp am ping la ip-urile de pe interfata privata din partea cealalta : din home : ping la ip eth_priv_1 DA din office : ping la ip eth_priv_0 DA problema e ca nu am ping la retelele private net_priv_ (de interes fiind net_priv_1) am incercat ce pe serverul de openvpn (configurat p2p) sa specific la local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe eth_priv_1) dar asa nu a mers nici ping pe 200.. Aveti idee ce imi scapa ? Multumesc frumos! Adrian Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de genul: client-config-dir ccd ( asta in configul openvpn) si dupa aia in ccd un fisier cu numele clientului in care pui rutele : de exemplu: cat /etc/openvpn/ccd/test iroute 192.168.8.0 255.255.255.0 Multumesc de sfat! Din nefericire nu functioneaza .. cind introduc client-config-dir /etc/openvpn/clients mode server unde clients are fisierul DEFAULT cu rutele serverului nu mai am ping nici la capatul tunelului :( .. (fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china ca are adaugat /emailAddress= ... asa l-a facut easyrsa) in log am asa ceva : 192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/clients/DEFAULT 192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote --ifconfig address is available for 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 -> 192.168.1.100/5.12.126.170:1194 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0 255.255.252.0' 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0 255.255.255.0' tunelul e static, doar vreau sa am access de acasa la 2 retele private de la serviciu, deci nu am nevoie de nimic complicat dinamic .. avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing de mina ca sa vad si retelele net_priv_1 ? Multumesc frumos! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug