Sziasztok!
A régi vpn-t lecseréltem egy sokkal biztonságosabb jobb verzióra és egy
dolgot nem értek:
A kliens aki becsatlakozik, azt nem lehet elérni a belső hálózatból. Se
ping, se traceroute, semmi forgalom nem jut el a klienshez, de csak a
lan-kliens irányban. A másik irány rendben van. (kliens-lan-internet)
A környezet: Debian Jessie uptodate verzió
Openvpn tap mode bridgeként konfigurálva
Előtte egy mikrotik csinálja a portforwardot az
openvpn-hez.
A mikrotik a dhcp szerver, default gw és dns proxy.
A rendszer működik amúgy, mert a becsatlakozó kliens teljesen látja a
hálózatot és ezen keresztül az internetre is "kilát" a "redirect-gateway
def1" opció hatására.
A tűzfal szabályok rendben vannak, a mikrotiknál egy portforward van, a
debian-nál pedig a tap0 interfészek megvannak adva a tűzfal zónáihoz.
A lan: 192.168.4.0/24
A kliens: 192.168.4.101, 255.255.255.0, 192.168.4.253(GW),
192.168.4.253(DNS) (a fenti tartományból kap címet és be van bridgelve a
lan-ra.)
Kliensről: ping 192.168.4.x (minden SUCCESS)
ping "internet cím" (minden SUCCESS)
Viszont ha a lanról vagy szerverről pingelem a (vpn) kliens-t
(192.168.4.101), akkor nincs válasz és a mikrotik sem küld infó icmp-t.
(dest unreacheable)
tcpdump: eljut a icmp req a szerver lan kártyájához (br0) és innentől
elveszik a csomag, nem kerül bele a bridge-be.
traceroute: nincs értelme, azonos a lan mivel bridgelt a vpn.
Hivatalosan kellene tudni pingelni a külső vpn klienst bridge módban a
belső hálóról?
Esetleg kellene a fd0 és stp opció a bridge-hez?
Köszönöm az infókat!
Üdvözlettel!
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/