| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| OpenVPN-brak dostępu do części zasobów sieci http://forum.freesco.pl/viewtopic.php?f=24&t=18462 |
Strona 1 z 1 |
| Autor: | Tape [ niedziela, 9 stycznia 2011, 22:59 ] |
| Tytuł: | OpenVPN-brak dostępu do części zasobów sieci |
Witam Skonfigurowałem pakiet OpenVPN wg. opisów jakie udało mi się znaleźć na Forum. Klient to Win XP. Problem w tym, że po nawiązaniu połączenia mam dostęp jedynie do części zasobów sieci lokalnej. Testowałem zarówno rozwiązanie oparte na kluczu jak i certyfikatach. Efekt jest podobny. Na pingi odpowiada tylko część urządzeń. Odpowiadają linuksy, część aktywnych urządzeń sieci. Nie odpowiadają natomiast windowsy. Co może być przyczyną takiego funkcjonowania połączenia. Mnie już brakuje pomysłów na rozwiązanie tego problemu. Pozdrawiam |
|
| Autor: | Bercik [ poniedziałek, 10 stycznia 2011, 09:24 ] |
| Tytuł: | |
Sprawdz : - firewalla Windowsa - antywiursy ( tez pod firewall) a na przyszłość próbuj z serwera arping na dany adres w sieci. |
|
| Autor: | Tape [ poniedziałek, 10 stycznia 2011, 11:24 ] |
| Tytuł: | |
Sprawdzałem już przy wyłączonych firewallach oraz antywirusach. natomiast arpingi idą poprawnie. Pozdrawiam |
|
| Autor: | Maciek [ poniedziałek, 10 stycznia 2011, 12:17 ] |
| Tytuł: | |
Windowsy mają z reguły domyślnie wyłączone odpowiadanie na pingi. Nie oznacza to niedostępności komputera. Wyłączenie zapory nie zmienia sytuacji, Windows dalej na pingi nie odpowiada. Można to zachowanie zmienić. |
|
| Autor: | Tape [ poniedziałek, 10 stycznia 2011, 15:05 ] |
| Tytuł: | |
Witam W sieci lokalnej windowsy odpowiadają bez problemu. Ponadto zdalnie nie działają także inne usługi takie jak np. RDP. Można dostać się na część paneli administracyjnych urządzeń aktywnych działających na porcie 80. To samo z pozostałymi usługami- jedne działają inne nie. Pozdrawiam |
|
| Autor: | Bercik [ poniedziałek, 10 stycznia 2011, 15:14 ] |
| Tytuł: | |
Sprawdz jeszcze cos takiego ( u mnie dziala to to ) iptables -I FORWARD -i tun0 -o eth1 -j ACCEPT iptables -I FORWARD -i eth1 -o tun0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT |
|
| Autor: | Tape [ poniedziałek, 10 stycznia 2011, 15:43 ] |
| Tytuł: | |
Tak mam ustawione od samego początku. Pozdrawiam |
|
| Autor: | Maciek [ poniedziałek, 10 stycznia 2011, 16:19 ] |
| Tytuł: | |
Właśnie zacząłem wdrażać usługę openvpn w pewnej firmie i wg mnie powinien działać następujący konfig serwera: dev tun tun-mtu 1500 port 1194 user nobody group nobody comp-lzo proto tcp-server ping 20 ping-restart 120 ping-timer-rem persist-tun persist-key daemon verb 4 log-append /var/log/openvpn.log ca /etc/openvpn/certyfikat_rootca.pem cert /etc/openvpn/certyfikat_bramy.pem key /etc/openvpn/klucz_bramy.pem tls-server dh /etc/openvpn/dh1024.pem mode server server 192.168.121.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/ipp.txt push "dhcp-option DOMAIN workgroup" push "dhcp-option DNS 8.8.8.8" push "route 192.168.0.0 255.255.255.0" push "ping 20" push "ping restart 120" status /var/log/openvpn.status Mamy tu realny LAN na zakresie 192.168.0.0/24 i vpn na 192.168.121.0/24. Jak na razie w warunkach laboratoryjnych przejście z vpn do LAN jest. Żadnych dodatkowych reguł w standardowym firewallu nie dodawałem, oprócz oczywiście otwarcia portu 1194. Konfiguracja klientya jest prostsza: tls-client dev tun proto tcp-client comp-lzo persist-tun persist-key verb 4 ca C:/certyfikat_rootca.pem cert C:/certyfikat_usera.pem key C:/klucz_usera.pem remote ADRES_VPN pull port 1194 ping 15 |
|
| Autor: | Tape [ poniedziałek, 10 stycznia 2011, 16:44 ] |
| Tytuł: | |
Moje konfigi wyglądają identycznie. |
|
| Autor: | Jaca [ czwartek, 17 lutego 2011, 22:31 ] |
| Tytuł: | |
Witam. Nie będę zakładał nowego tematu, widzę że openvpn jest często poruszany, więc pociągne ten, Opiszę mój problem. Sieć eth1 w firmie to 192.168.1.xxx. Kolega programista który pisze dla nas oprogramowanie na sterownik S7 300 oraz panel w WinCC, przywiozł mi ten sprzęt wstępnie skonfigurowany i nagle musiał wyjechać za granicę. Szafę sterowniczą w której jęst sterownik buduje ja. Ustaliliśmy z kolegą że reszte oprogramowania dopisze przez internet i wgra. No cóż, okazało się że sterownik i panel (oczywiście posiadają karty LAN) mają przypisane IP w zakresie 192.168.5.xxx. Więc na NND ztworzyłem alias, zrobiłem wszystko w/g opisów, dodałem je po MAC`ach, wpisałem do dhcp,conf, ethers, itp. W sieci lokalnej na kompach klienckich sterownik i panel na pingi odpowiadają, nawet panel widać przez przeglądarkę www. Zainstalowałem OpenVPN (teraz jestem w domu) VPN mam narazie na zasadzie jednego wspólnego klucza, połączenie działa, komputery, rejestratory kamer itp. w zakresie IP 192.168.1.xxx widać, odpowiadają na pingi, jest OK. Lecz ping na konkretny adres panelu t.j. 192.168.5.102 i sterownik 192.168.5.100 nie odpowiadają. Odpowiada ping na brame 192.168.5.1. Siedzę już na tym trzeci wieczór i czytam i już nie bardzo wiem jak się za to zabrać, [root@router jacek]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0 80.52.170.104 * 255.255.255.252 U 0 0 0 eth0 192.168.5.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default gvq105.internet 0.0.0.0 UG 0 0 0 eth0 [root@router jacek]# ifconfig eth0 Link encap:Ethernet HWaddr 00:10:5A:69:00:46 inet addr:80.52.170.106 Bcast:80.52.170.107 Mask:255.255.255.252 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:425065 errors:3 dropped:0 overruns:0 frame:3 TX packets:269671 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:490808981 (468.0 Mb) TX bytes:43634973 (41.6 Mb) Interrupt:10 Base address:0xe800 eth1 Link encap:Ethernet HWaddr 00:04:76:E4:13:89 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:423755 errors:0 dropped:0 overruns:1 frame:0 TX packets:475541 errors:0 dropped:0 overruns:0 carrier:0 collisions:2051 txqueuelen:1000 RX bytes:73072348 (69.6 Mb) TX bytes:529375170 (504.8 Mb) Interrupt:9 Base address:0xf400 eth1:1 Link encap:Ethernet HWaddr 00:04:76:E4:13:89 inet addr:192.168.5.1 Bcast:192.168.5.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:9 Base address:0xf400 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:825 errors:0 dropped:0 overruns:0 frame:0 TX packets:825 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:118365 (115.5 Kb) TX bytes:118365 (115.5 Kb) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) w rc.local iptables -I FORWARD -i tun0 -o eth1 -j ACCEPT iptables -I FORWARD -i eth1 -o tun0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT config VPN klienta dev tun remote tetraisg.pl 1194 ifconfig 10.8.0.2 10.8.0.1 secret c:static.key proto tcp-client route 192.168.1.0 255.255.255.0 route 192.168.5.0 255.255.255.0 comp-lzo Co mogę jeszcze zrobić? Pozdrawiam Jacek |
|
| Autor: | Maciek [ piątek, 18 lutego 2011, 01:42 ] |
| Tytuł: | |
Jako, ze jestem zwolennikiem prostych rozwiązań: Czy nie możesz spowodować, aby zmienić te IP z zakresu 192.168.5.x na zakres twojej sieci? Tym bardziej, że to w końcu w twojej sieci ma działac i chodzić, więc chyba powinno być do niej dostsoowane. Skoro kolega może wejść tam przez net i dogrywać jakieś sterowniki, to chyba IP też można zmienić. Z tego co podałeś, to sądzę, że kompletnie nie są potrzebne wpisy firewalla w rc.local. Mam działającego vpna w jednej firmie, gdzie pracownicy pracują zdalnie i nie mam ani jednej dodatkowej linijki w firewallu. To załatwia konfig vpn. Teraz popatrzyłem do tego opisu OpenVPN na kluczach i mam wrażenie, że chyba coś tam jest nie tak. W zasadzie to należałoby Cichego zapytać, bo to jego opis. Na mój gust to w tam coś jest spieprzone. Jak popatrzysz sobie do konfiguracji VPN na certyfikatach, to w pliku konfiguracyjnym serwera jest linijka odpowiadająca za dopuszczenie routingu między siecią wirtualną, a realną. Tutaj częściowo załatwiły ci to reguły w rc.local, ale one nie będą działać na aliasie eth1:1. W tej konfiguracji którą ty masz routing vpn wpisany jest do konfiguracji klienta, co wg mnie jest bez sensu. Na twoim miejscu zrobiłbym porządny VPN na certyfikatach, bo prędzej czy później okaże się, ze dwóch na raz będzie chciało w sieci pracować. |
|
| Autor: | Jaca [ piątek, 18 lutego 2011, 19:48 ] |
| Tytuł: | |
Masz rację Maćku zrobię zabiorę się jutro za VPN`a na certyfikatach. Panel i sterownik docelowo będą pracowały u innego klienta nie w mojej sieci. W panelu zmienić zakres IP to żaden problem bo pracuje na bazie Windows 5.0, ale sterownik to już inna bajka, muszę mieć specjalne oprogramowanie - ale pogadam o tym z programistą. On poprostu przywiozł mi ten sterownik z takim IP i pojechał. Najpierw spróbuję nową konfigurację VPN`a na certyfikatach, widzę że config jest bogatszy i może dopuści mnie do sieci virtualnej. |
|
| Autor: | Maciek [ piątek, 18 lutego 2011, 21:04 ] |
| Tytuł: | |
Cytuj: On poprostu przywiozł mi ten sterownik z takim IP i pojechał.
Coraz częściej przekonuję się, że programiści to idioci. To takie małe OT. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|