OpenVPN za nat

Zdravim,

Mam problem s OpenVPN. Viem ze toho bolo hodne popisaneho po nete ale kazdy pise ako tasky profik a clovek ktory vyrastol na windoze ma potom dost komplexi (vrati sa spat k spinavym oknam) tak ak si niekto najde cas tak poprosim o radu. Moja lokalka ma 192.168.2.xxx 255.255.255.0. a som cez T-com adsl pripojeny cez zyxel p660HV T3 k internetu, pevna ip. Pokila sa na OpenVpn server (OpenSuse 11) pripajam z lokalnej siete vsetko prebehne ok, akonahle sa pripajam z vonku tak uz to nejde. Na routri som pod NAT presmeroval port 1194 na vnutornu ip VPN servera 192.168.2.65 a pustil som port aj na firevale. Moj problem je v tom ze na routri si sice pozrem ze nejaka poziadavka bola poslana tam kam mala ale v logoch openvpn uz nic nebo. Logicky uvazujem ze takuto poziadavku ktora bola poslana na pevnu vonkajsiu ip (povedzme aaa.bbb.ccc.ddd) ktora dosla z routra na eth0 uz nevedel suse prehodit na tap0. Samozrejme mam obavu ci openvpn server posle odozvu tam kam ma :(. Pokusal som sa podla navodou nejke veci s iptables aj s route ale vsetko marne - vie mi niekto poradit ako najst kde je problem a ako ho vyriesit.

#server
mode server
tls-server
port 1194
proto tcp-server
dev tap
ifconfig 192.168.1.180 255.255.255.0
ifconfig-pool 192.168.1.200 192.168.1.230 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
client-to-client
duplicate-cn
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
log-append /var/log/openvpn.log
status /var/run/vpnstatus 10
comp-lzo
persist-key
keepalive 10 120
verb 3

#client 
remote aaa.bbb.ccc.ddd
tls client
ns-cert-type server
port 1194
proto tcp-client
dev tap
pull
ca ca.crt
cert klient1.crt
key klient.key
comp-lzo
mute 10
verb 3

Odpovědi

Zkontroluj si (tcpdumpem, WireSharkem) na OpenVPN serveru, jestli ti prichazi nejake pakety, kdyz se pripojujes zvenku. Protoze kdyz se z vnitrni site pripojis, tak problem bude IMHO pravdepodobne na routeru, ne v OpenVPN. Dostanes se z toho OpenVPN serveru ven (na web) (aneb ma ten server spravne vychozi branu)? Mozna to jsou pro tebe vsechno samozrejmosti, ktere mas dobre nastavene, ale proste me to tak napadlo jako prvni pomoc :-)

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

7.4.2009 17:31 NN
Rozbalit Rozbalit vše Re: OpenVPN za nat

Jinak dodavam, ze ten port co presmerovavas na routeru je UDP 194, ne tcp. Dale pokud nemas konexi na vpn server, nema s e, jake tap pouzit. Komunikace se sestavi na sitovce, ta pse tyka tunelu, ktery se potom vytvori.

8.4.2009 09:54 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: OpenVPN za nat

Obavam se, ze se mylis. Podle toho konfiguraku, ktery poskytl, potrebuje presmerovat TCP, nikoliv UDP (viz proto tcp-server a proto tcp-client).

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

Resim stejny problem. Lokalne vpn funguje jak ma. Reseni jsem zatim nenasel, bohuzel se k otestovani dostanu az nekdy vecer.

Jedni trvrdi ze to chce jeste nejake routy viz: http://openvpn.net/archive/openvpn-users/2003-05/msg00031.html. Druzi ze jsme chybne nakonfigurovali fw routeru na strane serveru: http://www.root.cz/diskuse/3734/

hodne stesti

jako root spust toto:

tcpdump -n tcp port 1194

... a zkus se pripojit a cihej, co poleze. Pokud nebudou pakety ani prichazet, hledej zradu na adsl routeru. Pokud budou prichazet a ne odchazet, hledej zradu ve firewallu toho stroje s openvpn.

Predpokladam, ze ten openvpn server ma jako vychozi branu adsl router. :-) (na t-comu mame 3 pobocky a openvpn jede, akorat router mame v rezimu bridge a tu verejnou ip ma primo linux pres pppoe...)

Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...

Dotaz: OpenVPN za nat

Odpovědi