Přihlášení | Registrace

napište » Zprávičky

Kali Linux 2025.4

včera 16:00 | Nová verze

Byla vydána nová verze 2025.4 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení na blogu.

Ladislav Hagara | Komentářů: 1

NÚKIB představil Národní politiku CVD pro bezpečné hlášení zranitelností

včera 12:44 | IT novinky

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil Národní politiku koordinovaného zveřejňování zranitelností (pdf), jejímž cílem je nejen zvyšování bezpečnosti produktů informačních a komunikačních technologií (ICT), ale také ochrana objevitelů zranitelností před negativními právními dopady. Součástí je rovněž vytvoření „koordinátora pro účely CVD“, jímž je podle nového zákona o kybernetické … více »

Ladislav Hagara | Komentářů: 6

KDE Gear 25.12

včera 04:33 | Nová verze

Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 25.12. Přehled novinek i s náhledy a videi v oficiálním oznámení.

Ladislav Hagara | Komentářů: 0

Pop!_OS 24.04 LTS

včera 03:55 | Nová verze

Společnost System76 vydala Pop!_OS 24.04 LTS s desktopovým prostředím COSMIC. Videoukázky na YouTube.

Ladislav Hagara | Komentářů: 0

Rust 1.92.0

včera 03:11 | Nová verze

Byla vydána verze 1.92.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

2024 Free Software Awards

včera 01:33 | Komunita

Free Software Foundation zveřejnila ocenění Free Software Awards za rok 2024. Oceněni byli Andy Wingo, jeden ze správců GNU Guile, Alx Sa za příspěvky do Gimpu a Govdirectory jako společensky prospěšný projekt.

|🇵🇸 | Komentářů: 3

Eclipse IDE 2025-12 aneb Eclipse 4.38

11.12. 18:55 | Nová verze

Bylo vydáno Eclipse IDE 2025-12 aneb Eclipse 4.38. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0

GPXSee 15.6

11.12. 17:44 | Nová verze

U příležitosti oslav osmi let prací na debianím balíčku vyšlo GPXSee 15.6. Nová verze přináší především podporu pro geotagované MP4 soubory, včetně GoPro videí. Kdo nechce čekat, až nová verze dorazí do jeho distribuce, nalezne zdrojové kódy na GitHubu.

Martin Tůma | Komentářů: 15

Monado 25.1.0

11.12. 09:22 | Nová verze

Monado, tj. multiplatformní open source implementace standardu OpenXR specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro virtuální realitu (VR) a rozšířenou realitu (AR), bylo vydáno ve verzi 25.1.0. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Visual Studio Code a VSCodium 1.107

11.12. 02:44 | Nová verze

Byla vydána listopadová aktualizace aneb nová verze 1.107 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.107 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (34%)

Gitlab (47%)

Atlassian (19%)

Bitbucket (17%)

Gitea (22%)

Mercurial (15%)

jen git (24%)

jen svn (15%)

Jiné (uvedu v diskusi) (17%)

Celkem 459 hlasů

Komentářů: 19, poslední 11.12. 20:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / openvpn propojení dvou sítí

Štítky: bez, Internet, OpenVPN, PC, ping, route, router, server, síť, sítě, VIA, VPN

Dotaz: openvpn propojení dvou sítí

22.10.2018 23:02 chinook | skóre: 28
openvpn propojení dvou sítí

Přečteno: 1141×

Odpovědět | Admin

Mám openvpn server v režimu TUN v síti 192.168.0.0/24 a na něj se připojuje router přes internet. Za routerem je síť PC. Třeba 192.168.1.0/24.

Ze sítě 192.168.1.0/24 se dostanu na síť 192.168.0.0/24 bez problému. Ale chci, aby to fungovalo i obráceně.

Jak to udělat? VPN adresa routeru je třeba 192.168.2.6

Ideální by tedy bylo přidat na VPN serveru routu na klienta:

Něco ve smyslu:


ip route add 192.168.1.0/24 via 192.168.2.6
RTNETLINK answers: Network is unreachable

Ale to z pochopitelných důvodů OPENVPN server nebere, protože adresa je mimo rozsah. Ale ping na tu IP z openVPN serveru jde, tak nevím jak to nastavit.

Jak říci VPN serveru, že tento rozsah má routovat na toho určitého VPN klienta?

Nástroje: Začni sledovat (0) ?

Odpovědi

23.10.2018 00:08 Radek
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

No, nevím jestli tě úplně chápu. Co máš za routery? Mikrotik umí ipip.

23.10.2018 00:41 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Tak ještě jednou:

PC1 192.168.0.2/24 - >       | 192.168.0.1   |
PC2 192.168.0.3/24 - >       | Router CENTOS | -> internet -> mikrotik -PC11 192.168.1.2/24
VPN SERVER 192.168.0.4/24 -> |               |                         -PC12 192.168.1.3/24
a IP na VPN rozhrani 192.168.2.1

Mikrotik IP 192.168.1.1 a IP VPN rozhrani mikrotiku 192.168.2.6

Ze sítě za mikrotikem vidím síť za CENTOS tj. ping z PC11 na PC1 funguje, ale obráceně nikoliv. Nevím jak říci VPN SERVERU, že pokud na něm někdo hledá rozsah sítě 192.168.1.0/24, aby ho odroutoval na mikrotika, který má IP od VPN serveru 192.168.2.6

Tedy chci VPN serveru říci toto:


ip route add 192.168.1.0/24 via 192.168.2.6

23.10.2018 01:30 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

No a neděláš tam nějaký NAT na CentOSu? Popisovaná situace je právě příklad NATu. Protože pokud by jsi jenom routoval, tak není rozdíl mezi přímým (ICMP Echo Request) a vracejícím se paketem (ICMP Echo Reply) z pingu. Vracející se paket je právě do 192.168.1.0/24 a ten ti projde. Pokud by to bylo jen routování, tak router má jen pravidla a musí i přímý poslat zpět.

23.10.2018 07:28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Musíš na tom serveru už před spuštěním openvpn připravit rozhraní ( openvpn --mktun --dev ${IFACE} ) s ip adresou a nastavit mu tu tvoji kýženou routu. A pak to rozhraní použiješ pro vytvoření toho tunelu.

23.10.2018 00:49 MP
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

ip route add 192.168.1.0/24 via NONVPN_IP_ROUTER

23.10.2018 00:55 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Jednak to chci routovat šifrovaným VPN kanálem a druhak, to píše stejnou chybu:

RTNETLINK answers: Network is unreachable

23.10.2018 01:46 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

To znamená, že 192.168.2.6 není v žádné místní síti, a systém tedy neví, jak si opatřit jeho linkovou adresu (např. přes které rozhraní).

23.10.2018 01:49 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Nevím, jestli jsem přesně pochopil, o co se snažíš, ale tohle jde forcnout pomocí

# ip route add 192.168.2.6 dev eth0 scope link
# ip route add 192.168.1.0/24 via 192.168.2.6

Ale podle mě spíš chceš "ip route add 192.168.1.0/24 via 192.168.0.ten_tvůj_server".

23.10.2018 07:21
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

A víc zatemnit ten popis tvého problému by nešlo?

23.10.2018 08:38 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Tak ještě jednou.

Mám dvě sítě, každá v jiné lokalitě. A s rozsahem 192.168.0.0/24 a B s rozsahem 192.168.1.0/24.

V sítě A běží VPN server, který přiděluje VPN klientům IP 192.168.2.0/24. Na ten se připojí router ze sítě B a dostane od VPNserveru IP 192.168.2.6. Z celé sítě B jsou tedy vidět všechna PC v síti A.

To co potřebuji je, abych ze sítě A viděl všechna PC v síti B. Stačí mně poradit jak to udělat, abych je viděl z toho VPN serveru, který leží v síti A.

Když budu přihlášen na VPN serveru a dám ping na IP routeru, kterou dostal od VPN, což je 192.168.2.6, tak projde. Ale pokud dám ping na IP vnitřního rozsahu routeru, což je 192.168.1.1, tak logicky neprojde, protože VPN server neví, že ta IP se nachází za IP 192.168.2.6.

To co potřebuji je, říci VPN serveru, že rozsah sítě B tj. 192.168.1.0/24 má routovat na IP VPN clienta routeru, tedy 192.168.2.6.

23.10.2018 08:51 SpaceExplo | skóre: 15
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

A musi ta VPN bezet na jinym rozsahu?
Neni mozny "proste" propojit ty .0.0/24 a .1.0/24 site mezi sebou? (hadam, ze vytvorenim nejakeho tunel-device, tinc vpn to dela presne takhle.

23.10.2018 08:54
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

do konfiguračního souboru VPN serveru přidat

route 192.168.1.0 255.255.255.0 192.168.2.6

23.10.2018 11:36 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

pošli ze všech zařízení co dá příkaz netstat -rn. at je jasné co je nastavené

23.10.2018 13:38 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Asi furt nechápete mou otazku. V route table nic není, to co tam chci doplnit se zde ptám.


default via 192.168.0.1 dev ens3
192.168.2.0/24 via 192.168.2.2 dev tun2
192.168.2.2 dev tun2 proto kernel scope link src 192.168.2.1

Já chci, aby VPN server věděl, že když se z něj chci dostat na síť 192.168.1.0/24, že ji má hledět na IP toho klienta, což je ten mikrotik tedy, routovat přes 192.168.2.6

23.10.2018 14:29
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Ja jsem to kuprikladu pochopil, ale ty jsi si neprecetl manual, ani jsi nepochopil, co jsem ti psal.

23.10.2018 18:31 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Toto jsem dal do konfigurace VPN serveru:


route 192.168.1.0 255.255.255.0 192.168.2.6

Routovací tabulka se po restartu serveru nezmění

Ale v manuálu jsem nic takového nenašel. Pouze toto:


route 192.168.1.0 255.255.255.0

Tady se po restartu změní, přidají se tam tento řádek:


192.168.1.0/24 via 192.168.2.2 dev tun2

Což ovšem neřeší můj problém. Protože VPN server stále neví, že má routovat přes IP klienta, což je mikrotik a IP 192.168.226.6

23.10.2018 18:56
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

man openvpn ver. 2.4.

--route network/IP [netmask] [gateway] [metric]
    Add route to routing table after connection is established. Multiple 
    routes can be specified. Routes will be automatically torn down 
    in reverse order prior to TUN/TAP device close.

    This option is intended as a convenience proxy for the route(8) shell
    command, while at the same time providing portable semantics across 
    OpenVPN's platform space.

    netmask default -- 255.255.255.255

    gateway default -- taken from --route-gateway or the second parameter 
                       to --ifconfig when --dev tun is specified.

    metric default -- taken from --route-metric otherwise 0.

    The default can be specified by leaving an option blank or setting 
    it to "default".

Mimochodem, pracuješ s těmi ip adresami dost kreativně, takže jsem se nějak opět ztratil v tom, co je co. 192.168.2.2, 192.168.2.6, 192.168.226.6???? Neztratil ses v tom také? Není ta chyba právě v tomhle?

23.10.2018 14:36 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

A kde mát tu routovací tabulku z vpn serveru?

23.10.2018 14:39 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

A mikrotiku. Protože to když ti spojejí funguje z jedné strany a z druhé ne je divné.

23.10.2018 18:27 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

No tak tady to máš podruhý a podruhý řikám, že to je k ničemu, protože tu routu co tam potřebuji dát, ta tam není! To že to funguje jedním směrem, mně přijde logické a normální chování.

mikrotik:


 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                             x.x.x.1            1
 1 ADC  x.x.x.x/24            x.x.x.x  ether1                    0
 2 ADC  192.168.1.0/24    192.168.1.1    bridge1                   0
 3 ADS  192.168.0.0/24                   192.168.2.5             1
 4 ADS  192.168.2.0/24                   192.168.2.5             1
 5 ADC  192.168.2.5/32   192.168.2.6   myvpn                     0

U mikrotiku je logické, že se dostane na síť 192.168.0.0/24, protože to má v routovací tabulce.

VPN server


 ip route show
default via 192.168.0.1 dev ens3
192.168.0.0/24 dev ens3 proto kernel scope link src 192.168.0.4
192.168.2.0/24 via 192.168.226.2 dev tun2
192.168.2.2 dev tun2 proto kernel scope link src 192.168.226.1

U VPN serveru je logické, že se nedostane na 192.168.1.0/24, protože to nemá v routovací tabulce a celou dobu to tam chci přidat.

24.10.2018 18:22 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

proč má mikrotik gw 192.168.2.5 pro 192.168.0.0/24, když podle malůvky na VPN serveru je IP 192.168.2.2 ?

jinak nepingal bych IP na "vzdálenou" stranu mikrotiku - mnohé FW mají extra pravidlo pro vlastní odpovědi na ping a někdy nedovolí ping skrz zařízení (tj. bude pak fungovat ping na 192.168.2.6, ale nikoli na 192.168.1.1). Problém nemusí být v routingu, ale ve FW.

Zkusil bych tedy ping na jinou IP té sítě, např. 192.168.1.2 a zapnul bych si zvlášť sniff na interface s IP 192.168.1.1 a 192.168.2.5 pro ICMP. Třeba zjistíte, že ICMP odpovědi přijdou na bridge1, ale už neodejdou přes myvpn.

jinak nastavit routing na VPN serveru na vzálenou IP 192.168.2.6 je správná rada. Teď ještě opravit i na mikrotiku a pokud je správně FW, začne to fachat.

23.10.2018 09:22 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Příloha:

IMG_9376.jpg (257678 bytů)

Raději jsem to nakreslil.

To co chci je, abych z VPN serveru byl schopen pingnout rozhraní mikrotiku na vnitrní síti.

Tedy ping z vpn serveru na IP 192.168.1.1

Zbytek si proroutuji.

23.10.2018 09:58
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Tohle a tcpdump na VPN serveru a na mikrotiku, kterým prověříš, kde se to ztrácí. A úprava firewallu na příslušném místě, které to zahazuje.

23.10.2018 10:37 chinook | skóre: 28
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Tohle nedělá vůbec nic:

route 192.168.1.0 255.255.255.0 192.168.2.6

23.10.2018 11:03
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Slovy básníka bych řekl, "Mně to chodí."

Nezbývá nic jiného, než si přečíst manuál.

23.10.2018 11:43 SpaceExplo | skóre: 15
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Mam tu IPSec mezi dvema MikroTiky, a abych se dostal prave na ten MikroTik na druhe strane, musel jsem ve "Firewall" do "Filter Rules" pridat akci "accept" v chain "input" a "Src. Address" rozsah te vzdalene site.

23.10.2018 19:47 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Nechci se patlat s pochopením toho, co má odkud kam chodit.
Jen faktická poznámka: Je nutné, aby byly nastaveny routovací pravidla. A dále i definice ipsecu, šifry a jaké sítě komunikují a běhají v tunelu. Pokud se něco překládá, tak že je to správně routováno do tunelu.
Rozhoduje i záměr, tj. jak chci, aby byly sítě vidět proti sobě, zda se překládají za 1 IP adresu nebo subnet.
Když něco někam routuju, tak to přes co to je musím znát. Tuším že jsem taky už v diskusích narazil na to, že lidi většinou nerozlišují co je routovaná a co routující síť nebo prvek.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

24.10.2018 08:51 MM
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Zkus vytrasovat(tracepath) kudy se ping dostane "na tu IP z openVPN serveru", problém bude zřejmě v maskách sítě 192.168.2.xx.

Aby se routa přidala, tak v době přidání musí x.x.2.6 být v lokálním dosahu, jak už se tu psalo (tzn. lokální VPN adresa by měla být např. s maskou/24 jestli to jde)

24.10.2018 18:56 Radek
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Menší doporučení. Podsítě použivej vyšší, rozhodně ne 192.168.0.0 nebo 192.168.1.0 (, ale spíš 192.168.150.0. Druhé doporučení, použivej pro routery vyšší ip, třeba 192.168.150.254 nebo 253 či 252, pak se v tom lidi trošku vyznají.

24.10.2018 20:13 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: openvpn propojení dvou sítí

Pokud máš síť takto:

    {LAN 192.168.0.0/24}
             |
             |
        192.168.0.1
     Router & VPN server ---------.
        192.168.2.6               :
             |                    :
             |                    :
    {VPN 192.168.2.0/24}      {Internet}
             |                    :
             |                    :
        192.168.2.10              :
     Router & VPN klient ---------'
        192.168.1.1
             |
             |
    {LAN 192.168.0.0/24}

Tak potřebuješ si nastavit jen prosté routy, aby počítače na jedné síti věděly, kde je druhá síť a kudy do ní. Tedy routeru na síti 192.168.1.0/24 nastavíš, že síť 192.168.0.0/24 je někde směrem skrz gateway 192.168.2.6:

ip route add 192.168.0.0/24 via 192.168.2.6

A na protějším routeru nastavíš opačně:

ip route add 192.168.1.0/24 via 192.168.2.10

Pokud routery nejsou defaultní gateway ve svojí síti, tak ty routy nastav i na té defaultní gw (dojde k ICMP přesměrování a "druhý" paket už půjde napřímo) nebo na všech počítačích v síti (pomocí DHCP).

Síť si nakresli a bude ti jasné, co je kde potřeba vědět.

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje