depurando iptables ao tunelar uma VPN através de outra

2

Eu busco tunelar uma SSL VPN (F5, rodando no meu laptop debian == client ) através de outra (OpenVPN, rodando em um linux debian == server ), mas perco toda a rede do cliente (incluindo, por exemplo , ping ) depois que o F5VPN se conecta. Eu não tenho certeza se isso é devido à minha configuração OpenVPN ou firewall do meu servidor / iptables, mas suspeito que o último. Infelizmente, não tenho conhecimento sobre redes, por isso agradeço qualquer ajuda que você possa fornecer.

Eu preciso remotamente (fora da LAN física) SSH em alguns clusters de computação com firewall para fazer modelagem ambiental (por exemplo, isso ). Anteriormente, eu podia fazer isso a partir do meu laptop debian usando o F5VPN exigido pelo provedor de cluster , o cliente para o qual é conhecido como F5NAP (para "plug-in de acesso à rede [browser]". No entanto, política de acesso alterada (principalmente para exigir um único número de IP registrado), então não posso mais fazer isso" diretamente "(ou seja, apenas executando o F5VPN do meu laptop Eu procuro me adaptar à nova política (e retomar o trabalho no meu projeto) implementando um túnel VPN do meu cliente / laptop através de um servidor / jumpbox de linha de disco. Detalhes do design aqui , mas meu design pode ser resumido com a seguinte arte ASCII:

                     <-MY CONTROL | AGENCY CONTROL->
                                  |                    firewall
+----------+      +-----------+   |   +---------------+   ||   +---------+
| laptop + |      | linode  + |   |   | remote-access |   ||   | cluster |
| F5NAP  + | <--> | OpenVPN   | <-|-> | website +     | <-||-> | node(s) |
| OpenVPN  |      | server  + |   |   | F5VPN server  |   ||   |         |
| client   |      | security  |   |   |               |   ||   |         |
+----------+      +-----------+   |   +---------------+   ||   +---------+

( Detalhes da implementação aqui . Observe que F5NAP == cliente F5VPN. ) A boa notícia é que a seguinte sequência funciona: eu posso

  1. inicia um servidor OpenVPN no meu linode (também conhecido como "o servidor")
  2. iniciar um cliente OpenVPN no meu laptop , após o qual whatismyip.com mostra o IP # do servidor (que está registrado)
  3. inicie o cliente F5VPN (um Firefox do F5NAP' ) e, a partir desse ainda ver o IP do servidor.
  4. usando o cliente F5VPN, faça o login no site de acesso remoto da agência e a interface do usuário de controle do F5VPN (por exemplo, para iniciar / parar / sair).

A má notícia (detalhes aqui ) é, assim que eu inicie o F5VPN e veja o status == Conectado em sua UI da web, meu cliente / laptop perde a rede IP. Eu tinha pensado originalmente que isso era apenas um problema de DNS, mas eu não posso nem ping IP # s, por exemplo,

me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.

--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms

(O único consolo aqui é que a falha de rede mata o túnel, o que faz com que meu cliente recupere sua rede ... mas também seu acesso ao IP registrado #.)

Eu tinha pensado que este problema era devido à configuração errada do OpenVPN da minha parte, mas agora suspeito que eu preciso ajustar o meu firewall do servidor (que é iptables , rodando no Debian 7.8) para permitir que minha configuração do OpenVPN funcione: veja uma sessão de depuração de linha de comando do cliente aqui .

Mais uma complicação: o F5VPN é proprietário e não (IMHO) particularmente bem suportado pelo F5 (o fornecedor) ou pelo provedor de cluster (seu cliente, também conhecido como "a agência"). Particularmente, eu não sei (mas pedi) para o (s) IP (es) do servidor VPN da agência: Eu só sei o nome (para qual DNS me diz o IP # :-) do site de acesso remoto que eu precisa usar para acessar o F5VPN.

    
por TomRoche 21.01.2015 / 19:12

0 respostas