Abra o VPN Issue, os servidores não podem rotear corretamente

1

Eu preciso de ajuda nesta questão. Basicamente eu tenho um servidor que eu tenho openvpn instalado. Ele está funcionando bem e eu sou capaz de fazer ping no servidor que estou conectado e pode pingar de volta. O que estou tentando fazer é poder acessar outros servidores que estão conectados a ele em sua própria rede privada.

Atualmente, minha VPN está configurada com 10.8.0.0/24 e meus servidores estão configurados com 10.0.0.0/24. O computador conectado pode executar ping tanto em 10.8.0.1 (o servidor vpn) como em 10.0.0.1 (o ip privado do servidor onde a VPN está instalada), mas não pode fazer o ping em 10.0.0.2. Quando eu faço um tcpdump eu posso ver que o pedido está chegando ao servidor 10.0.0.2, mas ele não sabe o que fazer com o pedido depois disso como ele não consegue encontrar o original 10.8.0.10 (computador conectado ao vpn como cliente ), como é um ip na vpn em um servidor diferente. Existe uma maneira de informar o 10.0.0.0/24 para onde enviar o tráfego? Se sim, como. Eu tentei um monte de coisas diferentes de modificar iptables e rotas, mas nada parece funcionar.

Aqui está a solicitação tcp do servidor 10.0.0.2 que foi enviado do meu cliente 10.8.0.10:

IP 10.8.0.10 > 10.0.0.2: ICMP echo request, id 1
IP 10.0.0.2 > 10.8.0.10: ICMP echo reply, id 1
IP 10.8.0.10 > 10.0.0.2: ICMP net 10.8.0.10 unreachable - unknown

Para notas:

Yes IP Forwarding is enabled on all servers.

There is no DHCP server for the 10.0.0.0/24 servers as they are all static

Deixe-me saber se você precisar de mais alguma coisa.

Editar

Então, como alguém sugeriu, eu deveria dar mais algumas informações, então eu irei.

Todos os servidores envolvidos estão executando o Servidor Ubuntu 12.04 ou 14.04 e têm todos os seus softwares atualizados. O servidor 10.0.0.2 tem o seguinte conjunto como uma das rotas que eu imaginei que iria funcionar, mas quando eu tento pingar 10.8.0.1 eu recebo erros. Os servidores são configurados em uma rede pelo meu host, então não tenho controle total sobre isso.

Tabela de roteamento para 10.0.0.2 com os servidores com IP em branco

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         -.-.-.-         0.0.0.0         UG    100    0        0 eth0
10.0.0.0        *               255.255.0.0     U     0      0        0 tun1
10.8.0.0        10.0.0.1        255.255.255.0   UG    0      0        0 tun1

PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
From 10.8.0.1 icmp_seq=1 Destination Net Unknown
From 10.8.0.1 icmp_seq=2 Destination Net Unknown

Tabela de roteamento para 10.0.0.1 com meus servidores com IP em branco

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         -.-.-.-         0.0.0.0         UG    0      0        0 eth0
10.0.0.0        *               255.255.0.0     U     0      0        0 tun1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
    
por burgoyn1 31.10.2015 / 17:19

3 respostas

0

When I do a tcpdump I can see that the request is getting to the 10.0.0.2 server, but it does not know what to do with the request after that as it can not find the original 10.8.0.10

Você definiu uma rota no gateway 10.0.0.0/24. Por exemplo, se o seu roteador é o gw em 10.0.0.0/24. Você define uma rota estática para 10.8.0.0/24 através do seu IP host da VPN (intervalo 10.0.0.0/24). Quando seu servidor 10.0.0.2 vê o pacote sendo recebido, mas ele não sabe para onde enviá-lo, ele consultará o gateway. O gateway precisa saber a rota para enviar o pacote de volta.

    
por 31.10.2015 / 23:12
0

Ok, então depois de muito tempo eu finalmente descobri o que estava errado. Acontece que minha configuração vpn estava correta o tempo todo. lbanz estava parcialmente certo sobre o gateway sem saber para onde ir. O que estava acontecendo é que as solicitações 10.8.0.0/24 estavam entrando na rede secundária e se perdendo, já que era uma rede 10.0.0.0/24, que não sabia como lidar com isso.

O que eu tive que fazer foi entrar em contato com meu host e pedir-lhes para atribuir o intervalo de ip de 10.8.0.0/24 para o meu servidor 10.0.0.1, e agora tudo funciona como um encanto. Obrigado a todos pela contribuição, realmente me ajudou a diminuir o problema.

    
por 01.11.2015 / 01:34
0
  • Você não precisa ativar o encaminhamento de IP em todos os servidores. É necessário apenas no servidor que está fazendo o roteamento entre várias redes, também conhecido como seu servidor OpenVPN.
  • Parece que a máquina em execução no 10.0.0.2 não tem idéia de como redirecionar o tráfego originado em seu 10.8.0.0/24. Você precisa definir rotas corretas: diretamente nesse host ou, talvez, mais inteligente se houver mais máquinas envolvidas, no gateway padrão, se isso existir. [Este passo informa ao seu dispositivo / dispositivos, como chegar a 10.8.0.0/24.] Como fazer isso, depende do seu SO e dos dispositivos envolvidos. (Talvez seja bom compartilhar mais alguns detalhes.)
por 31.10.2015 / 21:57