Zestawienie tunelu mi

Masz problemy z siecią bądź internetem? Zapytaj tu
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Teoretycznie ten tunel tworzy się na twoim ppp0. Fizycznie przecież tunel leci przez twoje łącze zewnętrzne.
Ty nie dodawaj trasy do niego przez adres 10.0.0.5 bo to są adresy po jego stronie. Po twojej stronie masz dodawać przez 10.0.0.2 i wtedy "wirtualnie" ruch leci przez tun0.
Nie chce mi się robić maszyn wirtualnych i na nich to instalować ale jestem pewien, że by mi to działało.
  1. Napisz co jest napisane w logach, w pliku /etc/openvpn/openvpn.log pod warunkiem, że tam masz wszystkie pliki openvpn.
  2. Mam jeszcze jeden pomysł, każ koledze otworzyć port 1213 udp i niech na taki port zmieni w konfiguracji swojego serwera vpn. Tylko zrób te 2 rzeczy bo to ważne.
Takie pytanie jeszcze bo tak patrze na to, powiedz mi jak on się łączy do Ciebie, bo wychodzi na to, że on ma:

Kod: Zaznacz cały

remote twoj_adr_ip
A w jaki sposób Ty z nim nawiązujesz połączenie?

W ogóle powiem ci tak. Wklej tu jego konfiguracje serwera Openvpn. Bo wydaje mi się że problemem jest to że to on nawiązuję połączenie do ciebie i ruch jest przepychany na twoja lan ale u ciebie to już nie działa bo ty nie nawiązujesz nic. Jedyne co widzisz to adresacje tunelu co ma pewien sens.

Zrób jeszcze jedną rzecz i jeśli ona nie zadziała to znaczy że problemem jest tylko i wyłącznie coś u ciebie, coś robisz źle.

Nie nawiązując połączenia wykonaj polecenie na serwerze:

Kod: Zaznacz cały

route add -net 192.168.1.0/24 gw Jego_adr_zew
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Usunąłem:

Kod: Zaznacz cały

route 192.168.1.0 255.255.255.0



Mój wynik polecenia:

Kod: Zaznacz cały

misiek:/etc/openvpn# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
213.25.2.230    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
Kolegi plik konfiguracyjny klienta:

Kod: Zaznacz cały

localhost:~# cat /etc/openvpn/klient.conf
client
dev tun0
proto udp
remote lan.pioder.pl 1212
resolv-retry infinite
nobind

persist-key
persist-tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key

comp-lzo
verb 3
mute 10
PS. Ja w swoim pliku konfiguracyjnym również muszę mieć ,,remote adres_ip_kolegi''?
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Dalej nie zrobiłes tego o co prosiłem.

Miałeś zerknąć co mówią logi i miałeś nie łącząc się tunelem wykonać jedno polecenie które wkleiłem wyżej.

W pliku serwera nie możesz mieć remote i local na raz. Zastanawiam się nad tym byś jednocześnie stworzył drugi plik tylko tym razem ty zrób plik klienta a u niego plik serwera, zmienćie urządzenie na tun1 i zmieńcie port na którym nasluchuje serwer u kolegi i na jakim łączysz się ty do niego a także adres sieci tunelu na 10.1.0.0/24.
I uruchomcie 2 instancję czyli u ciebie by był uruchomiony serwer oraz klient i u niego to samo.

Ale za nim to zrobisz wykonaj to o co prosiłem wcześniej, czyli nie lącz się tunelem tylko wykonaj polecenie z poprzedniego postu:

Kod: Zaznacz cały

route add -net 192.168.1.0/24 gw Adres_zewnetrzny_kolegi
i powiedz czy pingujesz jego podsieć czyli adres jeg laptopa oraz adres 192.168.1.10
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Dobrze, za sekundkę wykonam to, o co mnie prosisz. Problem jest taki, że kolegi serwer jest już za jednym NAT-em. Nie będzie tak prosto, bo administrator jego głównej sieci nie chce przepuścić DMZ na jego serwer.

Dodane:
Pingu nadal nie ma, log mojego serwera:

Kod: Zaznacz cały

-- ochrona przed robotami --
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Jeśli nie ma pingu to już nie będzie. Wykonanie tego polecenia powinno ci spokojnie dać możliwość przeglądania jego sieci.
Winą może być właśnie ten jego podwójny nat. Napisz jak on to ma skonfigurowane, powinien być jeden nat, ten od sieci osiedlowej i nic więcej..

Jest jedna możliwość ale pozbawiona pewności, ale sprawdzić można, niech on swój lan zmieni na 192.168.13.0/24. Wiem, że się nie podaje ale możesz podać jego adres zewnętrzny? Jak go zobaczę może wymyśle powód problemu, bo coś mi się zdaje, że Twój kolega nie ma adresu zewnętrznego i dlatego nasze starania nic nie dają.
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Internet<---->router(osiedlowy)[192.168.2.0/24]<--->serwer(kolegi, klient OpenVPN)[192.168.1.0/24]<--->komputery kolegi sieci

W nawiasach kwadratowych podałem podsieci w poszczególnych miejscach. Czy DMZ na routerze osiedlowym załatwiłoby sprawę?
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Można powiedzieć, że DMZ załatwiłoby sprawę ale wręcz prościej myślę, że przekierowanie portów 1212 i innych potrzebnych na ruterze osiedlowym na serwer Twojego kolegi powinno załatwić sprawę. Prócz tego ty musiałbyś uruchomić u niego serwer, a u siebie klienta vpn by ruch przebiegał w obydwie strony i nie wiem czy tak się da w tym trybie OpenVPN. W formie mostu zapewne by się dało ale musiałbyś poszukać. Najpierw jednak pasowałoby sprawdzić tak jak ja to mówię, czyli 2 instancje Openvpn uruchomione na każdym z serwerów.
Po 3 musiałbyś się wtedy odwoływać po adresie zew routera od tej osiedlówki.

Problemem u ciebie jest to, że odwołujesz się do kolegi po jego adresie albo zewnętrznym, który nie ma odpowiednich routingów albo po adresie z sieci 192.168.2.0, o której nic Twój ruter nie wie i nie może wiedzieć gdyż jest to adres sieci prywatnej.

Gdybym to wiedział wcześniej nie stracilibyśmy tyle czasu.

Rozumiem, że ten router od osiedlówki obsługuje tylko kolegę i jest u niego w domu? Kolega nie ma do niego haseł ani nic?

Jeżeli ten ruter jest u kolegi i ma swój adres zew który ty możesz pingować, i ten router nie obsługuje żadnego innego klienta co raczej jest pewne jeśli jest u kolegi w domu to wykonując polecenie:

Kod: Zaznacz cały

route add -net 192.168.1.0/24 gw adres_zew_klegi
powinno dać ci dostęp do jego podsieci.

Jeżeli warunki, o których mówię są spełnione a mimo to nie masz dostępu do jego sieci to, problemem pozostaje sieć 192.168.2.0.

Bo w tym wypadku trzeba by poinformować szanowny ruter osiedlowy o takiej sieci jak 192.168.1.0 po czym przekierować porty vpn na adres serwera.

W tym momencie musi ci to działać bo nie ma innego wyjścia.
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Niestety, administratorzy mają sieć bo mają, a jak coś wołają informatyka, aby ten coś im naprawił, ten ich ruterek chyba nie ma żadnych reguł na pasmo ustawione, kompletna porażka, a nie sieć.
Cztery dni zabawy z czymś takim. Trochę szkoda było zachodu. Skoro most software'owy się nie udał, może most sprzętowy przyniesie jakiś efekt (no i większą szybkość). Mówi się trudno. Jestem zdruzgotany, bo zarwałem parę nocek no i dni, a można było wykorzystać to w lepszy sposób. :|

Nauczka dla mnie i morał dla innych: aby dwie sieci się widziały, serwer i klient OpenVPN musi mieć bezpośredni wtyk do Internetu. To chyba tyle, jeżeli chodzi o ten wątek.

Pozdrawiam

Proszę jeszcze nie blokować tematu, mam jeszcze jeden swój pomysł...
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Nie musi mieć bezpośredniego wtyku. Muszą być zrobione odpowiednie trasy, przekierowania itd.
Żaden most programowy czy sprzętowy nic nie pomoże bo musisz przekierować ruch na serwer Twojego kolegi.

Dziwi mnie tylko jedno. Skoro widzicie się w tunelu, czyli podsieć 10.0.0.0 to czemu nie możesz uzyskać dostępu do jego sieci poprzez ta sieć? Być może on nie włączył ip_przekierowanie?Nie wyłączył całkowicie firewalla na wszystkich łańcuchach. To powinno teoretycznie działać.
Czy jeśli jesteście połączeni tunelem to pingujesz adres jego serwera 10.0.0.6?
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Tak, pingi idą na 10.0.0.6. Mam jeszcze swój pomysł, ale nie chcę zapeszać.

Zrobiłem tak, trochę kombinowania
  • Dałem na obu stronach serwer i klient.
  • Kolegi serwer.conf ma ustawione:

    Kod: Zaznacz cały

    server 10.1.0.0 255.255.255.0
  • Do kolegi serwera ustawiłem:

    Kod: Zaznacz cały

    remote 10.0.0.6
    (czyli niby "zewnętrzny", ale z pierwszego tunelu - kolega nie ma przekierowanych portów)
Mogę wysłać ping na jego adres 192.168.1.10!

Wypróbowany sposób działa. Muszą być dwa tunele, na jednym serwerze zewnętrzne IP, drugi może mieć IP z pierwszego tunelu. Chciałbym podziękować Cyphermenowi oraz Isterowi za pomoc i czas poświęcony dla mnie, szczególnie w nocy, a także za wytłumaczenie działania OpenVPN oraz routingu.

Naprawdę, super z Was goście, polecam na przyszłość!!!

Pozdrawiam
ODPOWIEDZ