subject:"\[rlug\] routing \:\: comunicare retele prin tunel openvpn"

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-13 Fir de Conversatie Adrian Sevcenco


On 12/13/2016 07:05 PM, alex alex wrote:

Salut,

Salut!


Push route functioneza cind un client  se conecteaza la un server openvpn.
Aici se conecteaza doua servere openvpn. Clientii din lan ai lui Adrian nu
stiu sa intoarca pachetele catre o retea necunoscuta pentru ei, asa ca
arunca pachetele la def. gateway. care le dropeaza, gateway-ul probabil
nestiind nici el de retaua respectiva.
Deci fie ruta de intoarcere specifica pentru lan-ul remote pe statii, fie
NAT (caz in care calculatoarele replica catre ip-ul gateway-ului openvpn,
din moment ce sursa vine dinspe acesta)
mda, make sense! acum imi dau seama ca singura solutie e NAT pe serverul 
openvpn remote (sau solutia de haproxy data de Iulian)

dar mai intii incerc cu NAT :)

Multumesc!
Adrian



2016-12-12 17:09 GMT+02:00 manuel "lonely wolf" wolfshant

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-13 Fir de Conversatie alex alex

Salut,
Push route functioneza cind un client  se conecteaza la un server openvpn.
Aici se conecteaza doua servere openvpn. Clientii din lan ai lui Adrian nu
stiu sa intoarca pachetele catre o retea necunoscuta pentru ei, asa ca
arunca pachetele la def. gateway. care le dropeaza, gateway-ul probabil
nestiind nici el de retaua respectiva.
Deci fie ruta de intoarcere specifica pentru lan-ul remote pe statii, fie
NAT (caz in care calculatoarele replica catre ip-ul gateway-ului openvpn,
din moment ce sursa vine dinspe acesta)

2016-12-12 17:09 GMT+02:00 manuel "lonely wolf" wolfshant :

> On 12/12/2016 03:57 PM, Mihai Badici wrote:
> > Poti sa pui ruta inversa cu "push route":
> >
> > push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca merge
> si
> > in acel fisier in care ai pus iroute.
> > ( exemplele mele nu sunt consistente, sunt din configuri diferite)
> >
> config functional de ani de zile in curtea mea:
>
> push "route 192.168.10.201 255.255.255.255"
> push "route 192.168.5.1 255.255.255.255"
> push "route 192.168.5.24 255.255.255.255"
> push "route 192.168.5.29 255.255.255.255"
> push "dhcp-option DNS 192.168.10.11"
>
> ___
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
>
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-13 Fir de Conversatie Iulian Murgulet

În 2016-12-12 18:54, Adrian Sevcenco a scris:
> On 12/12/2016 06:32 PM, Iulian Murgulet wrote:
>> În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris:
>>> On 12/12/2016 03:57 PM, Mihai Badici wrote:
 Poti sa pui ruta inversa cu "push route":
 
 push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca
 merge si
 in acel fisier in care ai pus iroute.
 ( exemplele mele nu sunt consistente, sunt din configuri diferite)
 
>>> config functional de ani de zile in curtea mea:
>>> 
>>> push "route 192.168.10.201 255.255.255.255"
>>> push "route 192.168.5.1 255.255.255.255"
>>> push "route 192.168.5.24 255.255.255.255"
>>> push "route 192.168.5.29 255.255.255.255"
>>> push "dhcp-option DNS 192.168.10.11"
>>> 
>> 
>>Da, confirm si eu partea cu push ... Merge de ani si la mine. 
>> Trebuie
> o am si eu ..
> push "route 10.10.8.0  255.255.252.0"
> push "route 172.20.0.0 255.255.255.0"
> 
> astea fiind retelele private la care vreau sa ajung de acasa
> 
>> totusi sa ia in vedere si ce vei putea avea peste ceva timp. Daca or 
>> sa
>> apara in loc de un singur tunel 10-15 tunele,
>> nu mai este chiar asa de placut. Stii ... sterge push "route 
>> draci-laci"
>> si aduga 2-3 route, si asta pe mai multe tunele. Asadar, daca crezi ca
> e doar un tunel p2p fix pentru a avea de acasa access la retelele
> private unde am ipmi-uri care imi ofera un kvm prin applet java,
> applet ce nu stie sa recunoasca proxyul setat al browserului si prin
> urmare nu functioneaza
> 
>> NU ai sa ajungi la aceasta situatie, push route e cel mai bine. Daca
>> insa e posibil sa ajungi la ce povestesc eu, atunci nu asta este 
>> solutia
>> optima. In cazul a mai multor tunele, e mai productiv sa folosesti 
>> ospf.
>> In cazul asta ospf fa face ceea ce face push-route. Si de aici apar si
>> alte avantaje, dar nu intru in detalii.
>> 
>>Deasemenea, daca ai ceva in LAN-ul remote de acesat poate fi utila 
>> si
>> varianta cu un haproxy pe capatul tunelului(la care ajungi cu 
>> openvpn),
>> si de acolo haproxy face rutarea in spate pe host-le care te
> nu prea inteleg cum face rutarea un proxy ... poti te rog sa detaliezi
> un pic si/sau imi dai un link de lamurire? din ce am vazut la un
> google scurt haproxy e ceva cu load balancing si nu prea vad ce
> legatura are cu accessul meu la o retea de dincolo de serverul openvpn


- se poate seta sa zicem un loadbalancing cu un singur back-end in spate

(ex. 
192.168.100.0/24)lan-home---ovpn-home(10.20.30.1)ovpn-munca(10.20.30.2)---lan-munca(ex.
 
192.168.0.0/24)

- ideea este ca din 192.168.100.0/24 ajung cu ping de ex. la 
ovpn-munca(10.20.30.2)

- pun un haproxy pe masina de la munca care tine ovpn-ul, si care 
asculta cererile care vin prin ovpn
- deci clientul din lan-home comunica doar cu ip-ul oferit de 
ovpn-munca, si ca orice proxy, rescrie header-ul(similar cu NAT-ul ca 
idee) si ce mai stie el,
astfel incat destinatia finala din lan-munca vede ca si sursa ip-ul 
masinii care tine ovpn-ul:


listen frontend_proxy_tcp 10.20.30.2:xxx
   maxconn 500
   mode tcp
   option tcplog
   server backend 192.168.0.y1:z1 check


- deci ce vine pe portul tcp xxx/10.20.30.2 este "routat" via ha-proxy 
catre hostul 192.168.0.y1, portul tcp z1.
- poti face N instante de genul asta, care sa asculte pe acelasi ip 
10.20.30.2, dar pe porturi diferite
- singura conditie este ca hostul de la munca pe care ruleaza ovpn sa 
poata contacta host-le pe care te intereseaza pe tine
- deci poti sa ai si asa:


listen frontend1_proxy_tcp 10.20.30.2:x1
   maxconn 50
   mode tcp
   option tcplog
   server backend 192.168.0.y1:z1 check

listen frontend2_proxy_tcp 10.20.30.2:x2
   maxconn 50
   mode tcp
   option tcplog
   server backend 192.168.0.y2:z1 check

 samd


   Si am convingerea ca e mai buna varianta cu haproxy, pt ca:
- nu vrei ca virusii sau nebuniile de la tine de acasa sa ajunga la 
munca
- nu vrei nici invers, ca problemele de la munca sa-ti "inunde" reteaua 
de acasa
- cu ceva setari de timeout  o conexiune de ovpn intrerupta, si apoi 
restabilita nu conduce si la intrerupere sesiunii cu backend-ul pe care 
tocmai faceai ceva f. important
- e usor de setat niste reguli simple si decente de firewall pt haproxy

Practic in cazul tau haproxy va face "rutarea" catre back-end-ri, iar 
back-end-le vor raspunde la cererile venite de la haproxy. Banui ca 
acele aplet-ri ruleaza intr-un browser,
prin urmare, se poate seta haproxy sa asculte cereri pe un https, adica 
in final nici nu mai ai nevoie de ovpn, daca limitezi din firewall 
sursa/ip de acasa(port-knok?). Si de acasa deschizi
doar un broswer ... asa e si mai simplu. Tot ce ai de facut e sa setezi 
cum trebuie haproxy.

Bafta.


> ...
> 
> Multumesc frumos!
> Adrian
> 
> 
>> intereseaza. Eu cred ca varianta asta e si mai secure ...;) Aici nu 
>> mai
>> ai nevoie de nici o rutare gen push route!
>> 
>>Evident fiecare variana are avantaje si

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-12 Fir de Conversatie wolfy

On 12 December 2016 18:54:41 EET, Adrian Sevcenco  
wrote:
>On 12/12/2016 06:32 PM, Iulian Murgulet wrote:
>> În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris:
>>> On 12/12/2016 03:57 PM, Mihai Badici wrote:
 Poti sa pui ruta inversa cu "push route":

 push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca
 merge si
 in acel fisier in care ai pus iroute.
 ( exemplele mele nu sunt consistente, sunt din configuri diferite)

>>> config functional de ani de zile in curtea mea:
>>>
>>> push "route 192.168.10.201 255.255.255.255"
>>> push "route 192.168.5.1 255.255.255.255"
>>> push "route 192.168.5.24 255.255.255.255"
>>> push "route 192.168.5.29 255.255.255.255"
>>> push "dhcp-option DNS 192.168.10.11"
>>>
>>
>>Da, confirm si eu partea cu push ... Merge de ani si la mine.
>Trebuie
>o am si eu ..
>push "route 10.10.8.0  255.255.252.0"
>push "route 172.20.0.0 255.255.255.0"
>
>astea fiind retelele private la care vreau sa ajung de acasa
>
ruleaza un tcpdump pe routerul unde e serverul si verifica ce pachete nu apar / 
cine / unde se impiedica. Daca device-urile refuza sa invete rute in afara 
propriului subnet cred ca nu scapi fara a face NAT pe server pt ele

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-12 Fir de Conversatie Adrian Sevcenco


On 12/12/2016 06:32 PM, Iulian Murgulet wrote:

În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris:

On 12/12/2016 03:57 PM, Mihai Badici wrote:

Poti sa pui ruta inversa cu "push route":

push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca
merge si
in acel fisier in care ai pus iroute.
( exemplele mele nu sunt consistente, sunt din configuri diferite)


config functional de ani de zile in curtea mea:

push "route 192.168.10.201 255.255.255.255"
push "route 192.168.5.1 255.255.255.255"
push "route 192.168.5.24 255.255.255.255"
push "route 192.168.5.29 255.255.255.255"
push "dhcp-option DNS 192.168.10.11"



   Da, confirm si eu partea cu push ... Merge de ani si la mine. Trebuie

o am si eu ..
push "route 10.10.8.0  255.255.252.0"
push "route 172.20.0.0 255.255.255.0"

astea fiind retelele private la care vreau sa ajung de acasa


totusi sa ia in vedere si ce vei putea avea peste ceva timp. Daca or sa
apara in loc de un singur tunel 10-15 tunele,
nu mai este chiar asa de placut. Stii ... sterge push "route draci-laci"
si aduga 2-3 route, si asta pe mai multe tunele. Asadar, daca crezi ca
e doar un tunel p2p fix pentru a avea de acasa access la retelele 
private unde am ipmi-uri care imi ofera un kvm prin applet java, applet 
ce nu stie sa recunoasca proxyul setat al browserului si prin urmare nu 
functioneaza



NU ai sa ajungi la aceasta situatie, push route e cel mai bine. Daca
insa e posibil sa ajungi la ce povestesc eu, atunci nu asta este solutia
optima. In cazul a mai multor tunele, e mai productiv sa folosesti ospf.
In cazul asta ospf fa face ceea ce face push-route. Si de aici apar si
alte avantaje, dar nu intru in detalii.

   Deasemenea, daca ai ceva in LAN-ul remote de acesat poate fi utila si
varianta cu un haproxy pe capatul tunelului(la care ajungi cu openvpn),
si de acolo haproxy face rutarea in spate pe host-le care te
nu prea inteleg cum face rutarea un proxy ... poti te rog sa detaliezi 
un pic si/sau imi dai un link de lamurire? din ce am vazut la un google 
scurt haproxy e ceva cu load balancing si nu prea vad ce legatura are cu 
accessul meu la o retea de dincolo de serverul openvpn ...


Multumesc frumos!
Adrian



intereseaza. Eu cred ca varianta asta e si mai secure ...;) Aici nu mai
ai nevoie de nici o rutare gen push route!

   Evident fiecare variana are avantaje si dezavantaje. Alege ce-ti
convine mai mult!


___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

 ATENTIONARI =

- nu trimiteti date personale (CNP, copii dupa acte de identitate etc).

 O lista completa cu reguli de utilizare exista la:

http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106

C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov
[web-site]: http://www.casbv.ro
[forum]: http://gw.casbv.ro/forum_smf/index.php

==

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug




--
--
Adrian Sevcenco, Ph.D.   |
Institute of Space Science - ISS, Romania|
adrian.sevcenco at {cern.ch,spacescience.ro} |
--

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-12 Fir de Conversatie manuel "lonely wolf" wolfshant

On 12/12/2016 03:57 PM, Mihai Badici wrote:
> Poti sa pui ruta inversa cu "push route":
>
> push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca merge si
> in acel fisier in care ai pus iroute.
> ( exemplele mele nu sunt consistente, sunt din configuri diferite)
>
config functional de ani de zile in curtea mea:

push "route 192.168.10.201 255.255.255.255"
push "route 192.168.5.1 255.255.255.255"
push "route 192.168.5.24 255.255.255.255"
push "route 192.168.5.29 255.255.255.255"
push "dhcp-option DNS 192.168.10.11"

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-12 Fir de Conversatie Mihai Badici

Poti sa pui ruta inversa cu "push route":

push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca merge si
in acel fisier in care ai pus iroute.
( exemplele mele nu sunt consistente, sunt din configuri diferite)



2016-12-12 15:29 GMT+02:00 Adrian Sevcenco :

> On 12/12/2016 01:45 PM, alex alex wrote:
>
>> Trebuie sa ai ruta de intorcere catre reteaua ta de acasa pe
>> clientii/pc-urile de la serviciu... Sau sa faci NAT/MAsq pe
>> office/ethpriv1.
>>
> mda, ar fi logic, ca nu au de unde sa stie ..
> ruta de intoarcere nu am cum sa pun (nu sunt compuri sunt deviceuri :
> raid, ipmi, switch)
>
> NAT/Masq cred ca e singura modalitate ... cum s-ar face?
> postrouting -s  net_priv_1 -o tun10  ?
>
> Sau sa faci tunel L2 cu openVPN, ca sa fii in aceeasi retea layer2 (pot
>> aparea probleme suplimentare)
>>
> m-am gindit dar prefer sa nu..
>
> Multumesc de idei si info!
> Adrian
>
>
>
>
>> 2016-12-12 9:17 GMT+02:00 Adrian Sevcenco :
>>
>> On 12/11/2016 08:31 PM, Mihai Badici wrote:
>>>
>>> On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote:

 Salut! Am o problema de routing si clar imi scapa un amanunt esential :
>
> net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[
> office](eth_priv_
> 1)---net_priv_1
>
> in principiu pe fiecare in parte pus rutele sa ajunga in partea
> cealalta
> de pe fiecare comp am ping la ip-urile de pe interfata privata din
> partea cealalta :
> din home   : ping la ip eth_priv_1 DA
> din office : ping la ip eth_priv_0 DA
>
> problema e ca nu am ping la retelele private net_priv_ (de interes
> fiind
> net_priv_1)
> am incercat ce pe serverul de openvpn (configurat p2p) sa specific la
> local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe
> eth_priv_1) dar asa nu a mers nici ping pe 200..
>
> Aveti idee ce imi scapa ?
> Multumesc frumos!
> Adrian
>
> Cred ca trebuie sa iti pui niste rute catre retelele private in
 openvpn de
 genul:

 client-config-dir ccd   ( asta in configul openvpn)
 si dupa aia in ccd un fisier cu numele clientului in care pui rutele :
 de exemplu:

 cat /etc/openvpn/ccd/test
 iroute 192.168.8.0 255.255.255.0

 Multumesc de sfat!
>>> Din nefericire nu functioneaza .. cind introduc
>>> client-config-dir /etc/openvpn/clients
>>> mode server
>>>
>>> unde clients are fisierul DEFAULT cu rutele serverului
>>> nu mai am ping nici la capatul tunelului :( ..
>>> (fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org
>>> ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china
>>> ca are adaugat /emailAddress= ... asa l-a facut easyrsa)
>>> in log am asa ceva :
>>>
>>> 192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific
>>> options from: /etc/openvpn/clients/DEFAULT
>>> 192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote
>>> --ifconfig address is available for 192.168.1.100/5.12.126.170:1194
>>> 192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 ->
>>> 192.168.1.100/5.12.126.170:1194
>>> 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 ->
>>> 192.168.1.100/5.12.126.170:1194
>>> 192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 ->
>>> 192.168.1.100/5.12.126.170:1194
>>> 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 ->
>>> 192.168.1.100/5.12.126.170:1194
>>> 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0
>>> 255.255.252.0'
>>> 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0
>>> 255.255.255.0'
>>>
>>> tunelul e static, doar vreau sa am access de acasa la 2 retele private de
>>> la serviciu, deci nu am nevoie de nimic complicat dinamic ..
>>> avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing
>>> de mina ca sa vad si retelele net_priv_1 ?
>>>
>>> Multumesc frumos!
>>> Adrian
>>>
>>>
>>>
>>> ___
>>> RLUG mailing list
>>> RLUG@lists.lug.ro
>>> http://lists.lug.ro/mailman/listinfo/rlug
>>>
>>>
>>> ___
>> RLUG mailing list
>> RLUG@lists.lug.ro
>> http://lists.lug.ro/mailman/listinfo/rlug
>>
>>
>
>
> ___
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
>
>
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-12 Fir de Conversatie Adrian Sevcenco


On 12/12/2016 01:45 PM, alex alex wrote:

Trebuie sa ai ruta de intorcere catre reteaua ta de acasa pe
clientii/pc-urile de la serviciu... Sau sa faci NAT/MAsq pe office/ethpriv1.

mda, ar fi logic, ca nu au de unde sa stie ..
ruta de intoarcere nu am cum sa pun (nu sunt compuri sunt deviceuri : raid, 
ipmi, switch)

NAT/Masq cred ca e singura modalitate ... cum s-ar face?
postrouting -s  net_priv_1 -o tun10  ?


Sau sa faci tunel L2 cu openVPN, ca sa fii in aceeasi retea layer2 (pot
aparea probleme suplimentare)

m-am gindit dar prefer sa nu..

Multumesc de idei si info!
Adrian




2016-12-12 9:17 GMT+02:00 Adrian Sevcenco :


On 12/11/2016 08:31 PM, Mihai Badici wrote:


On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote:


Salut! Am o problema de routing si clar imi scapa un amanunt esential :

net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[
office](eth_priv_
1)---net_priv_1

in principiu pe fiecare in parte pus rutele sa ajunga in partea cealalta
de pe fiecare comp am ping la ip-urile de pe interfata privata din
partea cealalta :
din home   : ping la ip eth_priv_1 DA
din office : ping la ip eth_priv_0 DA

problema e ca nu am ping la retelele private net_priv_ (de interes fiind
net_priv_1)
am incercat ce pe serverul de openvpn (configurat p2p) sa specific la
local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe
eth_priv_1) dar asa nu a mers nici ping pe 200..

Aveti idee ce imi scapa ?
Multumesc frumos!
Adrian


Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de
genul:

client-config-dir ccd   ( asta in configul openvpn)
si dupa aia in ccd un fisier cu numele clientului in care pui rutele :
de exemplu:

cat /etc/openvpn/ccd/test
iroute 192.168.8.0 255.255.255.0


Multumesc de sfat!
Din nefericire nu functioneaza .. cind introduc
client-config-dir /etc/openvpn/clients
mode server

unde clients are fisierul DEFAULT cu rutele serverului
nu mai am ping nici la capatul tunelului :( ..
(fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org
ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china
ca are adaugat /emailAddress= ... asa l-a facut easyrsa)
in log am asa ceva :

192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific
options from: /etc/openvpn/clients/DEFAULT
192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote
--ifconfig address is available for 192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 ->
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 ->
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 ->
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 ->
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0
255.255.252.0'
192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0
255.255.255.0'

tunelul e static, doar vreau sa am access de acasa la 2 retele private de
la serviciu, deci nu am nevoie de nimic complicat dinamic ..
avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing
de mina ca sa vad si retelele net_priv_1 ?

Multumesc frumos!
Adrian



___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug



___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug




___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-12 Fir de Conversatie alex alex

Trebuie sa ai ruta de intorcere catre reteaua ta de acasa pe
clientii/pc-urile de la serviciu... Sau sa faci NAT/MAsq pe office/ethpriv1.
Sau sa faci tunel L2 cu openVPN, ca sa fii in aceeasi retea layer2 (pot
aparea probleme suplimentare)

2016-12-12 9:17 GMT+02:00 Adrian Sevcenco :

> On 12/11/2016 08:31 PM, Mihai Badici wrote:
>
>> On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote:
>>
>>> Salut! Am o problema de routing si clar imi scapa un amanunt esential :
>>>
>>> net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[
>>> office](eth_priv_
>>> 1)---net_priv_1
>>>
>>> in principiu pe fiecare in parte pus rutele sa ajunga in partea cealalta
>>> de pe fiecare comp am ping la ip-urile de pe interfata privata din
>>> partea cealalta :
>>> din home   : ping la ip eth_priv_1 DA
>>> din office : ping la ip eth_priv_0 DA
>>>
>>> problema e ca nu am ping la retelele private net_priv_ (de interes fiind
>>> net_priv_1)
>>> am incercat ce pe serverul de openvpn (configurat p2p) sa specific la
>>> local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe
>>> eth_priv_1) dar asa nu a mers nici ping pe 200..
>>>
>>> Aveti idee ce imi scapa ?
>>> Multumesc frumos!
>>> Adrian
>>>
>> Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de
>> genul:
>>
>> client-config-dir ccd   ( asta in configul openvpn)
>> si dupa aia in ccd un fisier cu numele clientului in care pui rutele :
>> de exemplu:
>>
>> cat /etc/openvpn/ccd/test
>> iroute 192.168.8.0 255.255.255.0
>>
> Multumesc de sfat!
> Din nefericire nu functioneaza .. cind introduc
> client-config-dir /etc/openvpn/clients
> mode server
>
> unde clients are fisierul DEFAULT cu rutele serverului
> nu mai am ping nici la capatul tunelului :( ..
> (fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org
> ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china
> ca are adaugat /emailAddress= ... asa l-a facut easyrsa)
> in log am asa ceva :
>
> 192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific
> options from: /etc/openvpn/clients/DEFAULT
> 192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote
> --ifconfig address is available for 192.168.1.100/5.12.126.170:1194
> 192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 ->
> 192.168.1.100/5.12.126.170:1194
> 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 ->
> 192.168.1.100/5.12.126.170:1194
> 192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 ->
> 192.168.1.100/5.12.126.170:1194
> 192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 ->
> 192.168.1.100/5.12.126.170:1194
> 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0
> 255.255.252.0'
> 192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0
> 255.255.255.0'
>
> tunelul e static, doar vreau sa am access de acasa la 2 retele private de
> la serviciu, deci nu am nevoie de nimic complicat dinamic ..
> avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing
> de mina ca sa vad si retelele net_priv_1 ?
>
> Multumesc frumos!
> Adrian
>
>
>
> ___
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
>
>
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

2016-12-11 Fir de Conversatie Adrian Sevcenco


On 12/11/2016 08:31 PM, Mihai Badici wrote:

On Sunday 11 December 2016 20:23:06 Adrian Sevcenco wrote:

Salut! Am o problema de routing si clar imi scapa un amanunt esential :

net_priv_0---(eth_priv_0)[home](tun_2)---openvpn---(tun_1)[office](eth_priv_
1)---net_priv_1

in principiu pe fiecare in parte pus rutele sa ajunga in partea cealalta
de pe fiecare comp am ping la ip-urile de pe interfata privata din
partea cealalta :
din home   : ping la ip eth_priv_1 DA
din office : ping la ip eth_priv_0 DA

problema e ca nu am ping la retelele private net_priv_ (de interes fiind
net_priv_1)
am incercat ce pe serverul de openvpn (configurat p2p) sa specific la
local routes ca 172.20.0.0/24 are ca gateway 172.20.0.200 (ip-ul de pe
eth_priv_1) dar asa nu a mers nici ping pe 200..

Aveti idee ce imi scapa ?
Multumesc frumos!
Adrian

Cred ca trebuie sa iti pui niste rute catre retelele private in openvpn de
genul:

client-config-dir ccd   ( asta in configul openvpn)
si dupa aia in ccd un fisier cu numele clientului in care pui rutele :
de exemplu:

cat /etc/openvpn/ccd/test
iroute 192.168.8.0 255.255.255.0

Multumesc de sfat!
Din nefericire nu functioneaza .. cind introduc
client-config-dir /etc/openvpn/clients
mode server

unde clients are fisierul DEFAULT cu rutele serverului
nu mai am ping nici la capatul tunelului :( ..
(fisierul e DEFAULT intru-cat cind am facut CA-ul l-am facut org
ca sa folosesc certificatele si in alte scopuri, iar CN-ul e cat china
ca are adaugat /emailAddress= ... asa l-a facut easyrsa)
in log am asa ceva :

192.168.1.100/5.12.126.170:1194 OPTIONS IMPORT: reading client specific 
options from: /etc/openvpn/clients/DEFAULT
192.168.1.100/5.12.126.170:1194 MULTI: no dynamic or static remote 
--ifconfig address is available for 192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: internal route 172.20.0.0/24 -> 
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: Learn: 172.20.0.0/24 -> 
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: internal route 10.10.8.0/22 -> 
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 MULTI: Learn: 10.10.8.0/22 -> 
192.168.1.100/5.12.126.170:1194
192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 10.10.8.0 
255.255.252.0'
192.168.1.100/5.12.126.170:1194 REMOVE PUSH ROUTE: 'route 172.20.0.0 
255.255.255.0'


tunelul e static, doar vreau sa am access de acasa la 2 retele private 
de la serviciu, deci nu am nevoie de nimic complicat dinamic ..

avind in vedere ca vad ip-urile de pe eth_priv_1 pot sa fac un routing
de mina ca sa vad si retelele net_priv_1 ?

Multumesc frumos!
Adrian


___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

Re: [rlug] routing :: comunicare retele prin tunel openvpn

10 matches

Site Navigation

Mail list logo

Footer information