Jarosław Szmańda 42 Zgłoś post Napisano Wrzesień 26, 2016 Cześć, Chcę aby klienci mogli się ze sobą komunikować więc dodałem: client-to-client push "route 192.168.1.0 255.255.255.0" push "route 10.8.0.0 255.0.0.0" Adres serwera 10.8.0.1 Dlaczego nie działa? Jeśli jestem podłączony jako klient komę pingować adres serwera VPN - lecz z poziomu serwera nie mogę pingować klienta, dlaczego? Używam SNAT. Druga sprawa - jak wyłączyć pewnym klientom możliwość wychodzenia na Świat adresem IP VPNa? Dziękuje za pomoc Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 26, 2016 Szklana kula niestety nie jest w stanie wywróżyć topologii twojej sieci i adresacji poszczególnych węzłów... Udostępnij ten post Link to postu Udostępnij na innych stronach
Jarosław Szmańda 42 Zgłoś post Napisano Wrzesień 26, 2016 Co mam napisać, co pokazać? Udostępnij ten post Link to postu Udostępnij na innych stronach
Jarosław Szmańda 42 Zgłoś post Napisano Wrzesień 27, 2016 Serio? nikt? Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 27, 2016 Skoro nie raczysz przedstawić swojej arcytajnej topologii, to jak widać nikomu nie chce się wróżyć, chociażby co to jest wspomniane w push route 192.168.1.0/24 ... Udostępnij ten post Link to postu Udostępnij na innych stronach
JakubC 43 Zgłoś post Napisano Wrzesień 28, 2016 (edytowany) Cześć, Chcę aby klienci mogli się ze sobą komunikować więc dodałem: client-to-client push "route 192.168.1.0 255.255.255.0" push "route 10.8.0.0 255.0.0.0" Adres serwera 10.8.0.1 Dlaczego nie działa? Jeśli jestem podłączony jako klient komę pingować adres serwera VPN - lecz z poziomu serwera nie mogę pingować klienta, dlaczego? Używam SNAT. Druga sprawa - jak wyłączyć pewnym klientom możliwość wychodzenia na Świat adresem IP VPNa? Dziękuje za pomoc a daj jeszcze samo route 10.blablabla blabla255.0 (w configu serwera) ja tak mam w labie z zamierzeniem tym co chcesz i działa. Dla adresacji mam też labową "rulę" do iptables, chociaż nie wiem czy potrzebna -A FORWARD -d 10.125.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT klienci bez świata - as far as i remember możesz w konfigu client-openvpn (np .ovpn) informować klienta / wymusić by traffic był tylko LANowy. Ewentualnie jakieś static IP per klient (http://michlstechblog.info/blog/openvpn-set-a-static-ip-address-for-a-client/) i robota po iptables / innym fw Edytowano Wrzesień 28, 2016 przez JakubC (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Jarosław Szmańda 42 Zgłoś post Napisano Wrzesień 28, 2016 port xxxx proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem user nobody group nogroup topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt cipher AES-256-CBC auth SHA512 tls-version-min 1.2 tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 77.66.108.93" push "dhcp-option DNS 5.9.49.12" keepalive 10 120 persist-key persist-tun crl-verify crl.pem tls-server tls-auth tls-auth.key 0 client-to-client push "route 192.168.0.0 255.255.255.0" push "route 10.0.0.0 255.0.0.0" a# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 xxxxx 0.0.0.0 UG 0 0 0 eth0 10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 xxxxx 0.0.0.0 255.255.255.0 U 0 0 0 eth0 Tak mam teraz, mogę serwer pingować będą podłączony jako klient, ale w drugą stronę już nie. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość mariaczi Zgłoś post Napisano Wrzesień 28, 2016 (edytowany) Sprawdź, jaką maskę sieci dostaje interfejs klienta. Edytowano Wrzesień 28, 2016 przez mariaczi (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Jarosław Szmańda 42 Zgłoś post Napisano Wrzesień 28, 2016 255.255.255.0 Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość mariaczi Zgłoś post Napisano Wrzesień 28, 2016 Jaki system jest tym klientem? Nie windows czasem z włączonym firewallem? Udostępnij ten post Link to postu Udostępnij na innych stronach
Jarosław Szmańda 42 Zgłoś post Napisano Wrzesień 28, 2016 Hmm zapomniałem o FW... Po wyłączeniu mogę pingować klienta. Dzięki! Dodałem push “route-metric 512”push “route 0.0.0.0 0.0.0.0” Do konfiguracji - wg wskazówki którą znalazłem i powinno działać z włączonym FW - jednak nie działa. Dodatkowo # ping 192.168.1.135 PING 192.168.1.135 (192.168.1.135) 56(84) bytes of data. From xxxx icmp_seq=1 Destination Net Unreachable From xxxx icmp_seq=2 Destination Net Unreachable ^C --- 192.168.1.135 ping statistics --- 2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 999ms Gdzie xxxx to IP zew. VPNa - dlaczego nie mogę pingować adresu w sieci lokalnej mimo dodania w konfiguracji push "route 192.168.0.0 255.255.255.0" ? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość mariaczi Zgłoś post Napisano Wrzesień 28, 2016 Klient podłączający się do VPNa ma swoją podsieć inną niż ta z VPNa? Sprawdź jak przedstawia się tablica routingu na kliencie przed i po zestawieniu VPNa. Udostępnij ten post Link to postu Udostępnij na innych stronach
