Problema da ponte OpenVpn - Servidor por trás do NAT - O cliente pode fazer o ping do servidor, padrão do GW mas nada mais

Navegue suas respostas
0

Estou tentando configurar o OpenVPN no modo de ponte no Ubuntu Server 12.04. Geralmente funciona; Eu consigo me conectar, recebo um IP e posso fazer ping no servidor OpenVPN e no GW padrão, mas não consigo pingar nada na LAN do servidor.

Anteriormente, eu configurei com sucesso o tunelamento com o adaptador TUN e depois de adicionar algumas entradas do iptables funcionou. Eu poderia alcançar outros servidores também. Mas, por várias razões, preciso da TAP.

O servidor OpenVPN é uma máquina independente atrás de um NAT (roteador), portanto, não é o GW padrão ao mesmo tempo. Tem um IP de 192.168.1.108.

Quando me conecto com um cliente, recebo um IP do intervalo especificado, por exemplo, 192.168.1.50 e tente pingar, e. 192.168.1.141 que é outro servidor nesse lan, ele diz host inacessível. A parte confusa é que eu posso pingar o próprio servidor OpenVPN em 192.168.1.108 e o GW 192.168.1.1.

Ao executar 

tcpdump -nnel -i ethX icmp

Em um servidor durante o ping do cliente, não há atividade.

Só para mencionar, quando conectado a VPN eu posso navegar na internet. Ao tentar acessar o cliente conectado 192.168.1.50 de outro servidor, eles também não podem vê-lo. Apenas o servidor OpenVPN pode efetuar ping de clientes.

Como é a configuração da bridge, presumo que não tenha nada a ver com roteamento ou iptables ou Masquerading. De qualquer forma eu tentei digitar os comandos habituais como 

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

OR 

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

com a alteração da eth1 para br0 e tap0 também, mas sem efeito. Na verdade, esse iptables e a parte da rota são difíceis de entender para mim.

No modo em ponte, eu preciso ter algum roteamento ou iptables ativo para obter acesso a todos os meus servidores? Preciso adicionar manualmente algo como route add default gw 192.168.1.1 dev br0 ou qualquer coisa desse tipo para declarar uma rota específica?

Como dizer à minha LAN onde "ver" clientes VPN?

Eu sei que o problema é que o servidor openvpn não é o GW, mas eu não posso colocar o openvpn no meu roteador hackeado dd-wrt, ele não é suportado pelo meu modelo. Como posso configurar o servidor openvpn para contornar este problema?

    
por praet0ri4n 28.01.2015 / 00:51

1 resposta

1

Ok, descobri por mim mesmo ..

Enquanto tentava fazer o ping de todos os IPs possíveis em minha LAN enquanto estava conectado à VPN, descobri que os IPs que não posso alcançar pertencem apenas a servidores virtuais (VirtualBox).

E então eu me dei um facepalm ... Eu esqueci de ajustar as NICs com ponte no VirtualBox para os servidores virtuais para br0 em vez de eth1, como era antes.

Apenas por conveniência, eu também habilitei o Promiscuous Mode, porque eu li em muitos tópicos que o Promisucous é uma obrigação em relação à configuração em ponte.

Agora posso fazer ping eeevrything.
Todos os dias aprendo algo novo:)

    
por praet0ri4n 28.01.2015 / 15:14
“Comando não encontrado” depois de executar um arquivo compilado no mesmo diretório [duplicado] Não é possível baixar nada do Ubuntu Software Center