[MontelLUG] Openvpn gw2gw

Samuele samuele.zanin a tiscali.it
Ven 16 Nov 2012 13:27:35 CET 

  Ho un server openvpn sulla rete 10.99.2.0/24 in modalità routed.
ifconfig tun1
tun1      Link encap:UNSPEC  HWaddr 
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
           inet addr:10.99.2.1  P-t-P:10.99.2.2  Mask:255.255.255.255

Un client che si prende l'indirizzo 10.99.2.9 (10.99.2.8 rete, 10.99.2.9 
client, 10.99.2.10 endpoint, 10.99.2.11 bcast).

ifconfig openvpntun0
openvpntu Link encap:UNSPEC  HWaddr 
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
           inet addr:10.99.2.9  P-t-P:10.99.2.10  Mask:255.255.255.255

Tutto funziona tranquillamente se a collegarsi è un pc.
Ora, volevo sostituire il client pc con un firewall endian. Ho impostato 
la connessione di tipo gw2gw.
Anche qui, da dentro il vpn server pingo senza problemi l'ip della vpn 
client e da dentro il firewall pingo il server.
Quindi il tunnel è su.
Lato client, ho una rete privata 102.102.102.0/24 (non ho scelto io la 
classe ip).
Se non ho capito male il funzionamento di openvpn, il 10.99.2.10, è il 
gw che il client usa.

Ora, lato server devo impostare una rotta statica verso 102.102.102.0.
Quindi
route add -net 102.102.102.0/24 gw 10.99.2.2

apro un tcpdump sul client e lancio un ping dal server verso 
102.102.102.83, sul client non vedo arrivare nulla. Se faccio un ping su 
10.99.2.9 vedo i pacchetti arrivare. Quindi non è un problema di regole 
iptables.

Ho provato anche con un
route add -net 102.102.102.0/24 gw 10.99.2.1
nulla.

Successivamente dovrò anche impostare delle regole di nat, ma se fosse 
questo il problema lo vedrei tramite tcpdump (sul client vedrei arrivare 
almeno gli icmp request, che invece non arrivano).

Estratto tabella di routing lato server:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use 
Iface
<rete pubblica>   0.0.0.0         255.255.255.248 U     0      0        
0 eth0
102.102.102.0   10.99.2.1       255.255.255.0   UG    0      0        0 tun1
102.102.102.0   10.99.2.2       255.255.255.0   UG    0      0        0 tun1
10.99.2.0       10.99.2.2       255.255.255.0   UG    0      0        0 tun1
10.99.3.0       10.99.3.2       255.255.255.0   UG    0      0        0 
tun0 -- altra istanza di openvpn per altre cose.
10.100.0.0 <ip altra macchina>   255.255.0.0     UG    0      0        0 
eth0
0.0.0.0 <ip router wan>   0.0.0.0         UG    0      0        0 eth0

Tabella di routing lato client:

  route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use 
Iface
10.99.2.10      0.0.0.0         255.255.255.255 UH    0      0        0 
openvpntun0
192.168.128.0   0.0.0.0         255.255.255.0   U     0      0        0 br1
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 br2
10.99.2.0       10.99.2.10      255.255.255.0   UG    0      0        0 
openvpntun0
172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
102.102.102.0   0.0.0.0         255.255.255.0   U     0      0        0 br0
10.99.3.0       10.99.2.10      255.255.255.0   UG    0      0        0 
openvpntun0 -- route di cui faccio il push.
0.0.0.0         172.16.0.2      0.0.0.0         UG    0      0        0 eth1

More information about the montellug mailing list