Os clientes OpenVPN não podem acessar a LAN

2

Openvpn: clientes conectados ao servidor = firewall; mas não consegue acessar banco de dados na LAN

Eu tenho 5 vlan:

vlan 2: 192.168.12.0/24
vlan 3: 192.168.13.0/24
vlan 4: 192.168.14.0/24
vlan 5: 192.168.15.0/24
vlan 6: 192.168.100.0/24

Todos os LANs foram conectados ao Switch cisco 3650 layer3. Switch Layer3 está conectado ao Firewall (Cento 6.2 instalado squid e shorewall 4);

Firewall tem eth0: 172.16.1.101 conectado ao modem: 172.16.1.1; eth1: 192.168.99.99 conectar à camada de comutação 3: 192.168.99.100 sem switchport.

Conexão do cliente VPN e classe IP: 192.168.10.0/24. Agora todo o tráfego da LAN para a Internet é normal, sem problemas.

Quando os clientes usam o openvpn, conecte-se ao servidor com êxito, mas não é possível efetuar ping ou acessar nenhum computador na LAN. O que eu fiz de errado?

    
por jimmy 25.07.2013 / 10:57

1 resposta

1

Pode ser um problema de roteamento ou firewall. Primeiro de tudo você deve verificar se você pode pingar o servidor / firewall do cliente vpn. Verifique se você pode fazer ping no endereço eth1 e tun1.

Se essa verificação falhar, você provavelmente terá uma rota ausente. Talvez o openVPN não force o cliente a definir rotas para a sub-rede interna.

No cliente, supondo que seja um linux, você precisa executar route -n e verificar se ele tem um gateway para sua lan remota.

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
...
192.168.99.0    192.168.10.##   255.255.255.0   UG    0      0        0 tun1
...

192.168.10. ## deve ser o endereço da interface tun1 no servidor / firewall.

Se a rota estiver lá, você deverá conseguir fazer ping pelo menos o endereço do sintetizador.

Para uma depuração mais rápida, você pode desabilitar o shorewall, por isso, você deve verificar suas regras de firewall, você deve habilitar o forward da interface vpn tun para lan e vice-versa.

Usar o IPTables deve ser algo como:

# iptables -A FORWARD -i tun+ -o eth1 -j ACCEPT
# iptables -A FORWARD -i eth1 -o tun+ -j ACCEPT

tun + significa "any tun", você deve usar seu dispositivo tun real, verifique com ifconfig.

    
por 25.07.2013 / 15:20

Tags