Discussion:
OpenVPN jak skonfigurować routing
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
markpunk
2017-11-21 07:22:32 UTC
Permalink
mam dwie sieci A i B

w sieci A mam server Server_A (192.168.2.100) i komputery com_A1 do com_A5

w sieci B mam server Server_B (192.168.1.100) i komputery com_B1 do com_B2


sieć A to adresy 192.168.2.x a siec B to 192.168.1.x

server A jest serverem OpenVPN a server B clientem OpenVPN

adresacja jest server_A 10.4.0.1 server_B 10.4.0.2

oba komputery widzą się doskonale działają pingi, zdalny pulpit etc


chciałbym to tak ustawić żeby komputery z Sieci A miały dostęp do server_B

proszę mi to wyłożyć łopatologicznie step-by-step bo nie do końca chyba ogarniam temat

próbowałem dodać route

route add 10.4.0.0 MASK 255.255.255.0 192.168.2.100

ale niestety nie zadziałało
Piotr Lechowicz
2017-11-21 17:10:35 UTC
Permalink
Post by markpunk
mam dwie sieci A i B
w sieci A mam server Server_A (192.168.2.100) i komputery com_A1 do com_A5
w sieci B mam server Server_B (192.168.1.100) i komputery com_B1 do com_B2
sieć A to adresy 192.168.2.x a siec B to 192.168.1.x
server A jest serverem OpenVPN a server B clientem OpenVPN
adresacja jest server_A 10.4.0.1 server_B 10.4.0.2
oba komputery widzą się doskonale działają pingi, zdalny pulpit etc
chciałbym to tak ustawić żeby komputery z Sieci A miały dostęp do server_B
proszę mi to wyłożyć łopatologicznie step-by-step bo nie do końca chyba ogarniam temat
próbowałem dodać route
route add 10.4.0.0 MASK 255.255.255.0 192.168.2.100
ale niestety nie zadziałało
Nie napisałeś jaka jest brama domyślna w sieciach A i B i czy w połączeniach A<->B używasz NAT.

Jeżeli nie używasz NAT, to twoje route add jest niepotrzebne, bo serwery widzą sieć 10.4.0.0/cośtam bezpośrednio, a komputery jej widzieć nie muszą.

Jeżeli w obu sieciach bramą jest serwer, to na lokalnym serwerze dodajesz trasę do drugiej sieci przez drugi serwer, np na serverA do sieć B przez serverB:
route add 192.168.1.0 mask 255.255.255.0 10.4.0.2
i analogicznie na serverB:
route add 192.168.2.0 mask 255.255.255.0 10.4.0.1
i to powinno wystarczyć.

Jeżeli w sieci bramą domyślną nie jest serwer, to dodatkowo na każdym komputerze musisz wskazać trasę do drugiej sieci idącą przez lokalny serwer. Np dla dowolnego com_Ax w sieci A:
route add 192.168.1.0 mask 255.255.255.0 192.168.2.100

Jeżeli dostęp ma być tylko do serwera, a nie do całej sieci, to przytnij/przepuść odpowiednio ruch na firewallu.

Piotr
markpunk
2017-11-21 19:09:37 UTC
Permalink
Post by Piotr Lechowicz
Post by markpunk
mam dwie sieci A i B
w sieci A mam server Server_A (192.168.2.100) i komputery com_A1 do com_A5
w sieci B mam server Server_B (192.168.1.100) i komputery com_B1 do com_B2
sieć A to adresy 192.168.2.x a siec B to 192.168.1.x
server A jest serverem OpenVPN a server B clientem OpenVPN
adresacja jest server_A 10.4.0.1 server_B 10.4.0.2
oba komputery widzą się doskonale działają pingi, zdalny pulpit etc
chciałbym to tak ustawić żeby komputery z Sieci A miały dostęp do server_B
proszę mi to wyłożyć łopatologicznie step-by-step bo nie do końca chyba ogarniam temat
próbowałem dodać route
route add 10.4.0.0 MASK 255.255.255.0 192.168.2.100
ale niestety nie zadziałało
Nie napisałeś jaka jest brama domyślna w sieciach A i B i czy w połączeniach A<->B używasz NAT.
Jeżeli nie używasz NAT, to twoje route add jest niepotrzebne, bo serwery widzą sieć 10.4.0.0/cośtam bezpośrednio, a komputery jej widzieć nie muszą.
route add 192.168.1.0 mask 255.255.255.0 10.4.0.2
route add 192.168.2.0 mask 255.255.255.0 10.4.0.1
i to powinno wystarczyć.
route add 192.168.1.0 mask 255.255.255.0 192.168.2.100
Jeżeli dostęp ma być tylko do serwera, a nie do całej sieci, to przytnij/przepuść odpowiednio ruch na firewallu.
Piotr
Dzięki za odpowiedź, bramą do internetu jest w każdej sieci jest router
w sieci A na adresie 192.168.2.1 i w sieci B 192.168.1.1

NAT jest włączony na obu routerach ale jakoby tunel VPN jest bez NAT'u o ile dobrze rozumuję

i serwery widzą się po adresach 10.4.0.1 - 10.4.0.2

na komputerze com_A1 wynik ipconfig wygląda tak:

Karta Ethernet Połączenie lokalne:

Sufiks DNS konkretnego połączenia :
Adres IPv4. . . . . . . . . . . . : 192.168.2.104
Maska podsieci. . . . . . . . . . : 255.255.255.0
Brama domyślna. . . . . . . . . . : 192.168.2.1

wydałem polecenie route jak sugerowałeś

C:\Windows\system32>route add 192.168.1.0 mask 255.255.255.0 192.168.2.100
OK!


ale bez efektu ping do 192.168.1.100 nie działa, zdalny pulpit nie działa, tracert do 192.168.1.100 nic nie znajduje w żadnym przeskoku
PawelS pawel(at)wbcd(dot)pl
2017-11-21 21:45:04 UTC
Permalink
Post by markpunk
Post by Piotr Lechowicz
Post by markpunk
mam dwie sieci A i B
w sieci A mam server Server_A (192.168.2.100) i komputery com_A1 do com_A5
w sieci B mam server Server_B (192.168.1.100) i komputery com_B1 do com_B2
sieć A to adresy 192.168.2.x a siec B to 192.168.1.x
server A jest serverem OpenVPN a server B clientem OpenVPN
adresacja jest server_A 10.4.0.1 server_B 10.4.0.2
oba komputery widzą się doskonale działają pingi, zdalny pulpit etc
chciałbym to tak ustawić żeby komputery z Sieci A miały dostęp do server_B
proszę mi to wyłożyć łopatologicznie step-by-step bo nie do końca chyba ogarniam temat
próbowałem dodać route
route add 10.4.0.0 MASK 255.255.255.0 192.168.2.100
... route add NETWORK MASK NETMASK GATEWAY,
A że tak głupio zapytam, pomiędzy jakimi sieciami ma to być trasa ?
Powyższe polecenie utworzy trasę do sieci 10.4.0.0/??
poprzez GATEWAY o adresie 192.168.2.100, a z powyższego wynika,
że 192.168.2.0/24 oraz 192.168.1.0/24 to adresecja sieci
pomiędzy którymi ma być zestawiona trasa.
Post by markpunk
Post by Piotr Lechowicz
Post by markpunk
ale niestety nie zadziałało
Nie napisałeś jaka jest brama domyślna w sieciach A i B i czy w połączeniach A<->B używasz NAT.
Jeżeli nie używasz NAT, to twoje route add jest niepotrzebne, bo serwery widzą sieć 10.4.0.0/cośtam bezpośrednio, a komputery jej widzieć nie muszą.
route add 192.168.1.0 mask 255.255.255.0 10.4.0.2
route add 192.168.2.0 mask 255.255.255.0 10.4.0.1
i to powinno wystarczyć.
route add 192.168.1.0 mask 255.255.255.0 192.168.2.100
Jeżeli dostęp ma być tylko do serwera, a nie do całej sieci, to przytnij/przepuść odpowiednio ruch na firewallu.
Piotr
Dzięki za odpowiedź, bramą do internetu jest w każdej sieci jest router
w sieci A na adresie 192.168.2.1 i w sieci B 192.168.1.1
NAT jest włączony na obu routerach ale jakoby tunel VPN jest bez NAT'u o ile dobrze rozumuję
i serwery widzą się po adresach 10.4.0.1 - 10.4.0.2
Adres IPv4. . . . . . . . . . . . : 192.168.2.104
Maska podsieci. . . . . . . . . . : 255.255.255.0
Brama domyślna. . . . . . . . . . : 192.168.2.1
wydałem polecenie route jak sugerowałeś
C:\Windows\system32>route add 192.168.1.0 mask 255.255.255.0 192.168.2.100
OK!
ale bez efektu ping do 192.168.1.100 nie działa, zdalny pulpit nie działa, tracert do 192.168.1.100 nic nie znajduje w żadnym przeskoku
Narysuj sobie schemat swojej sieci, inaczej metodą prób i błędów
nie wystarczy Ci czasu na rozwiązanie problemu.
Powyższy opis jest trochę mało czytelny,
jest adresacja lokalna: 192.168.2.0/24, 192.168.1.0/24,
jest adresacja zewnętrzna: 10.4.0.2/??, 10.4.0.1/??,\
Gdzie tu jest podana adresacja OpenVPN ?
Czy może te adresy 10.4.0.[12] to są już OpenVPN ?
Natomiast adresy Zewnętrzne (Publiczne) zostały pominięte ?
W przeciwnym razie do czego ma służyć OpenVPN ?
markpunk
2017-11-22 11:18:56 UTC
Permalink
Post by PawelS pawel(at)wbcd(dot)pl
Post by markpunk
Post by Piotr Lechowicz
Post by markpunk
próbowałem dodać route
route add 10.4.0.0 MASK 255.255.255.0 192.168.2.100
... route add NETWORK MASK NETMASK GATEWAY,
A że tak głupio zapytam, pomiędzy jakimi sieciami ma to być trasa ?
Powyższe polecenie utworzy trasę do sieci 10.4.0.0/??
poprzez GATEWAY o adresie 192.168.2.100, a z powyższego wynika,
że 192.168.2.0/24 oraz 192.168.1.0/24 to adresecja sieci
pomiędzy którymi ma być zestawiona trasa.
tak zgadza się trasa ma być pomiędzy tymi sieciami 192.168.2.0/24 oraz 192.168.1.0/24
Post by PawelS pawel(at)wbcd(dot)pl
Post by markpunk
Post by Piotr Lechowicz
Post by markpunk
ale niestety nie zadziałało
Nie napisałeś jaka jest brama domyślna w sieciach A i B i czy w połączeniach A<->B używasz NAT.
Jeżeli nie używasz NAT, to twoje route add jest niepotrzebne, bo serwery widzą sieć 10.4.0.0/cośtam bezpośrednio, a komputery jej widzieć nie muszą.
route add 192.168.1.0 mask 255.255.255.0 10.4.0.2
route add 192.168.2.0 mask 255.255.255.0 10.4.0.1
i to powinno wystarczyć.
route add 192.168.1.0 mask 255.255.255.0 192.168.2.100
Jeżeli dostęp ma być tylko do serwera, a nie do całej sieci, to przytnij/przepuść odpowiednio ruch na firewallu.
Piotr
Dzięki za odpowiedź, bramą do internetu jest w każdej sieci jest router
w sieci A na adresie 192.168.2.1 i w sieci B 192.168.1.1
NAT jest włączony na obu routerach ale jakoby tunel VPN jest bez NAT'u o ile dobrze rozumuję
i serwery widzą się po adresach 10.4.0.1 - 10.4.0.2
Adres IPv4. . . . . . . . . . . . : 192.168.2.104
Maska podsieci. . . . . . . . . . : 255.255.255.0
Brama domyślna. . . . . . . . . . : 192.168.2.1
wydałem polecenie route jak sugerowałeś
C:\Windows\system32>route add 192.168.1.0 mask 255.255.255.0 192.168.2.100
OK!
ale bez efektu ping do 192.168.1.100 nie działa, zdalny pulpit nie działa, tracert do 192.168.1.100 nic nie znajduje w żadnym przeskoku
Narysuj sobie schemat swojej sieci, inaczej metodą prób i błędów
nie wystarczy Ci czasu na rozwiązanie problemu.
Powyższy opis jest trochę mało czytelny,
jest adresacja lokalna: 192.168.2.0/24, 192.168.1.0/24,
jest adresacja zewnętrzna: 10.4.0.2/??, 10.4.0.1/??,\
Gdzie tu jest podana adresacja OpenVPN ?
no przeciez podałem że adresacja 10.4.0.1 i 2 to jest adresacja OpenVPN
Post by PawelS pawel(at)wbcd(dot)pl
Czy może te adresy 10.4.0.[12] to są już OpenVPN ?
Natomiast adresy Zewnętrzne (Publiczne) zostały pominięte ?
zostały pominięte bo są dynamicznie nadawane przez operatora (ORANGE)
Post by PawelS pawel(at)wbcd(dot)pl
W przeciwnym razie do czego ma służyć OpenVPN ?
openVPN służy do ustanowienia tunelu poprzez internet i to działa, pomiędzy tymi serwerami A i B

natomiast chciałbym żeby dodatkowo komputery z sieci A widziały server B
elmer radi radisson
2017-11-23 11:27:21 UTC
Permalink
Post by markpunk
ale bez efektu ping do 192.168.1.100 nie działa, zdalny pulpit nie działa, tracert do 192.168.1.100 nic nie znajduje w żadnym przeskoku
Zainteresuj się parametrem "iroute", on wskazuje OpenVPN, jaki ruch
powinien kierować do tunelu, w przypadku polaczen lan-to-lan.

http://backreference.org/2009/11/15/openvpn-and-iroute/
--
memento lorem ipsum
markpunk
2017-12-05 17:28:22 UTC
Permalink
Post by elmer radi radisson
Post by markpunk
ale bez efektu ping do 192.168.1.100 nie działa, zdalny pulpit nie działa, tracert do 192.168.1.100 nic nie znajduje w żadnym przeskoku
Zainteresuj się parametrem "iroute", on wskazuje OpenVPN, jaki ruch
powinien kierować do tunelu, w przypadku polaczen lan-to-lan.
http://backreference.org/2009/11/15/openvpn-and-iroute/
przeczytałem, nie zrozumiałem (nadal nie działa)

gdy dodaję to iroute to w logach jest ze niepoprawny parametr

jeśli ktoś ma tak skonfigurowane działające połączenie to proszę o wrzucenie tu działających konfigów (oczywiście z zamaskowanym ip)
elmer radi radisson
2017-12-06 10:59:45 UTC
Permalink
Post by markpunk
przeczytałem, nie zrozumiałem (nadal nie działa)
gdy dodaję to iroute to w logach jest ze niepoprawny parametr
Czy zrobiles to w wydzielonym konfigu dla konkretnego klienta?

Zgodnie z wczesniej linkowanym opisem "the right place to insert this
information on the server is in the client config directory."

vide przyklady w konfigu openvpn:

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
# configuration files (see man page for more info).

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
# iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN. This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.
--
memento lorem ipsum
elmer radi radisson
2017-12-06 11:10:33 UTC
Permalink
btw, odnosnie lopatologii, tu masz calkiem pomocny przyklad jak to sie
robi na openwrt, a kluczowe elementy konfigu sa akurat uniwersalne

http://rpc.one.pl/index.php/lista-artykulow/34-openwrt/105-laczenie-dwoch-podsieci-za-pomoca-openvpn-w-openwrt
--
memento lorem ipsum
markpunk
2017-12-08 19:03:01 UTC
Permalink
Post by elmer radi radisson
btw, odnosnie lopatologii, tu masz calkiem pomocny przyklad jak to sie
robi na openwrt, a kluczowe elementy konfigu sa akurat uniwersalne
http://rpc.one.pl/index.php/lista-artykulow/34-openwrt/105-laczenie-dwoch-podsieci-za-pomoca-openvpn-w-openwrt
wyglądało obiecująco ale nadal coś robię źle

w tej chwili mam taką konfigurację:

#################################################
#
# ServerA.ovpn
#
#################################################


local 192.168.2.100
port 1194
proto tcp

dev tun

ca ca.crt
cert vpn_server_xxxxxx.dyndns.org.crt
key vpn_server_techsam.xxxxxx.org.key # This file should be kept secret

dh dh4096.pem

;topology subnet

server 10.4.0.0 255.255.255.0

;ifconfig-pool-persist ipp.txt


push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"

client-config-dir ccd
route 192.168.1.128 255.255.255.0

;client-to-client


keepalive 10 120

cipher AES-256-CBC
comp-lzo

;max-clients 100

persist-key
persist-tun

status openvpn-status.log

verb 3

############################################
log z serverA
###########################################
Fri Dec 08 19:40:34 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Fri Dec 08 19:40:34 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Dec 08 19:40:34 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Fri Dec 08 19:40:34 2017 Diffie-Hellman initialized with 4096 bit key
Fri Dec 08 19:40:34 2017 interactive service msg_channel=0
Fri Dec 08 19:40:34 2017 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 I=5 HWADDR=08:2e:5f:31:db:95
Fri Dec 08 19:40:34 2017 open_tun
Fri Dec 08 19:40:34 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{A5E4EFEB-8712-4C5F-8098-438947698A48}.tap
Fri Dec 08 19:40:34 2017 TAP-Windows Driver Version 9.21
Fri Dec 08 19:40:34 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.4.0.1/255.255.255.252 on interface {A5E4EFEB-8712-4C5F-8098-438947698A48} [DHCP-serv: 10.4.0.2, lease-time: 31536000]
Fri Dec 08 19:40:34 2017 Sleeping for 10 seconds...
Fri Dec 08 19:40:44 2017 Successful ARP Flush on interface [9] {A5E4EFEB-8712-4C5F-8098-438947698A48}
Fri Dec 08 19:40:44 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Dec 08 19:40:44 2017 C:\Windows\system32\route.exe ADD 192.168.1.128 MASK 255.255.255.0 10.4.0.2
Fri Dec 08 19:40:44 2017 Warning: address 192.168.1.128 is not a network address in relation to netmask 255.255.255.0
Fri Dec 08 19:40:44 2017 ROUTE: route addition failed using CreateIpForwardEntry: Parametr jest niepoprawny. [status=87 if_index=9]
Fri Dec 08 19:40:44 2017 Route addition via IPAPI failed [adaptive]
Fri Dec 08 19:40:44 2017 Route addition fallback to route.exe
Fri Dec 08 19:40:44 2017 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Fri Dec 08 19:40:44 2017 C:\Windows\system32\route.exe ADD 10.4.0.0 MASK 255.255.255.0 10.4.0.2
Fri Dec 08 19:40:44 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Fri Dec 08 19:40:44 2017 Route addition via IPAPI succeeded [adaptive]
Fri Dec 08 19:40:44 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Dec 08 19:40:44 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 08 19:40:44 2017 Listening for incoming TCP connection on [AF_INET]192.168.2.100:1194
Fri Dec 08 19:40:44 2017 TCPv4_SERVER link local (bound): [AF_INET]192.168.2.100:1194
Fri Dec 08 19:40:44 2017 TCPv4_SERVER link remote: [AF_UNSPEC]
Fri Dec 08 19:40:44 2017 MULTI: multi_init called, r=256 v=256
Fri Dec 08 19:40:44 2017 IFCONFIG POOL: base=10.4.0.4 size=62, ipv6=0
Fri Dec 08 19:40:44 2017 MULTI: TCP INIT maxclients=60 maxevents=64
Fri Dec 08 19:40:44 2017 Initialization Sequence Completed

#####################################
ccd client config
####################################
ifconfig-push 10.4.0.5 10.4.0.6
iroute 192.168.1.0 255.255.255.0
iroute 192.168.2.0 255.255.255.0

##################################
ccd client log
##############################
Options error: option 'ifconfig-push' cannot be used in this context (C:\Program Files\OpenVPN\config\ccd\vpn_client_xxxxx.dyndns.org.ovpn)
Use --help for more information.



##############################################
# #
# ServerB config #
# #
##############################################


client

dev tun

proto tcp


remote xxxxx.dyndns.org 1194


nobind

persist-key
persist-tun

ca ca.crt
cert vpn_client_xxxxxx.dyndns.org.crt
key vpn_client_xxxxxx.dyndns.org.key

remote-cert-tls server


cipher AES-256-CBC

comp-lzo

verb 3

#####################################################
serverB log
####################################################
Fri Dec 08 19:57:43 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Fri Dec 08 19:57:43 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Dec 08 19:57:43 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Fri Dec 08 19:57:43 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]aaa.bbb.ccc.ddd:1194
Fri Dec 08 19:57:43 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 08 19:57:43 2017 Attempting to establish TCP connection with [AF_INET]aaa.bbb.ccc.ddd:1194 [nonblock]
Fri Dec 08 19:59:43 2017 TCP: connect to [AF_INET]aaa.bbb.ccc.ddd:1194 failed: Unknown error
Fri Dec 08 19:59:43 2017 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Fri Dec 08 19:59:43 2017 Restart pause, 5 second(s)
Fri Dec 08 19:59:49 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]aaa.bbb.ccc.ddd:1194
Fri Dec 08 19:59:49 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 08 19:59:49 2017 Attempting to establish TCP connection with [AF_INET]aaa.bbb.ccc.ddd:1194 [nonblock]
elmer radi radisson
2017-12-13 09:58:23 UTC
Permalink
Post by markpunk
wyglądało obiecująco ale nadal coś robię źle
Skoro juz sa logi (prawidlowo), wypadaloby sie zainteresowac bledami ;)
Post by markpunk
Fri Dec 08 19:40:44 2017 C:\Windows\system32\route.exe ADD 192.168.1.128 MASK 255.255.255.0 10.4.0.2
Fri Dec 08 19:40:44 2017 Warning: address 192.168.1.128 is not a network address in relation to netmask 255.255.255.0
Fri Dec 08 19:40:44 2017 ROUTE: route addition failed using CreateIpForwardEntry: Parametr jest niepoprawny. [status=87 if_index=9]
Fri Dec 08 19:40:44 2017 Route addition via IPAPI failed [adaptive]
Skad pomysl na 192.168.1.128? Proponuje zmienic po prostu na 192.168.1.0

Tak swoja droga, skoro serwer stoi na Windows, zakladam ze odpaliles ip
forwarding/routing?
--
memento lorem ipsum
markpunk
2017-12-13 21:35:34 UTC
Permalink
Post by elmer radi radisson
Post by markpunk
wyglądało obiecująco ale nadal coś robię źle
Skoro juz sa logi (prawidlowo), wypadaloby sie zainteresowac bledami ;)
Post by markpunk
Fri Dec 08 19:40:44 2017 C:\Windows\system32\route.exe ADD 192.168.1.128 MASK 255.255.255.0 10.4.0.2
Fri Dec 08 19:40:44 2017 Warning: address 192.168.1.128 is not a network address in relation to netmask 255.255.255.0
Fri Dec 08 19:40:44 2017 ROUTE: route addition failed using CreateIpForwardEntry: Parametr jest niepoprawny. [status=87 if_index=9]
Fri Dec 08 19:40:44 2017 Route addition via IPAPI failed [adaptive]
Skad pomysl na 192.168.1.128? Proponuje zmienic po prostu na 192.168.1.0
to był jakiś wypadek przy pracy
Post by elmer radi radisson
Tak swoja droga, skoro serwer stoi na Windows, zakladam ze odpaliles ip
forwarding/routing?
nie bardzo rozumiem, rozwiń myśl proszę



generalnie robię postępy:

wyedytowałem w rejestrze wpis (zarówno na serverze jak i kliencie)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Double click the IPEnableRouter entry and set the Value data field to ‘1’



następnie w server.ovpn dodałem następujące routy:
route 192.168.1.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"

client-to-client


w konfigu klienta w ccd dodałem jedynie:
iroute 192.168.1.0 255.255.255.0



i teraz tak z punktu widzenia servera wszystko jest zajebiście
pinguje klienta, łączę sie remote desktopem etc

z podsieci servera po dodaniu odpowiedniego route add jestem w stanie połaczyć z klientem za pomocą RDP ale nie jestem w stanie go pingowac

i analogicznie ze strony klienta jestem w stanie połaczyć się za pomocą RDP z serverem ale nie jestem w stanie go pingować ani na adresie 192.168.2.100 ani 10.4.0.1


route print z servera wygląda tak:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.100 25
10.4.0.0 255.255.255.0 On-link 10.4.0.1 291
10.4.0.1 255.255.255.255 On-link 10.4.0.1 291
10.4.0.255 255.255.255.255 On-link 10.4.0.1 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 10.4.0.2 10.4.0.1 35
192.168.2.0 255.255.255.0 On-link 192.168.2.100 281
192.168.2.100 255.255.255.255 On-link 192.168.2.100 281
192.168.2.255 255.255.255.255 On-link 192.168.2.100 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.4.0.1 291
224.0.0.0 240.0.0.0 On-link 192.168.2.100 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.4.0.1 291
255.255.255.255 255.255.255.255 On-link 192.168.2.100 281
===========================================================================



a z klienta tak:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.100 35
10.4.0.0 255.255.255.0 On-link 10.4.0.2 291
10.4.0.2 255.255.255.255 On-link 10.4.0.2 291
10.4.0.255 255.255.255.255 On-link 10.4.0.2 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.100 291
192.168.1.100 255.255.255.255 On-link 192.168.1.100 291
192.168.1.255 255.255.255.255 On-link 192.168.1.100 291
192.168.2.0 255.255.255.0 10.4.0.1 10.4.0.2 35
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.4.0.2 291
224.0.0.0 240.0.0.0 On-link 192.168.1.100 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.4.0.2 291
255.255.255.255 255.255.255.255 On-link 192.168.1.100 291
===========================================================================





dlaczego nie chodzą pingi i dlaczego nie widze na kliencie trasy do 10.4.0.0 przez 10.4.0.1 ?
elmer radi radisson
2017-12-14 11:09:37 UTC
Permalink
Post by markpunk
to był jakiś wypadek przy pracy
rozumiem ze juz naprawiony?
Post by markpunk
nie bardzo rozumiem, rozwiń myśl proszę
wyedytowałem w rejestrze wpis (zarówno na serverze jak i kliencie)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
No to jest wlasnie to co mialem na mysli. wlaczenie przekazywania
pakietow miedzy interfejsami czyli zrobienie z urzadzenia routera.
Inaczej ruch by nie przeplywal.
Post by markpunk
dlaczego nie chodzą pingi i dlaczego nie widze na kliencie trasy do 10.4.0.0 przez 10.4.0.1 ?
Przeciez to jest ta sama wspolna podsiec, trase masz widoczna na
lokalnym interfejsie i widac to w podanej tablicy.

A komputery z sieci A w ogole maja podana trase do sieci do ktorej sie
maja dostac, przez adres bramy na "serwerze"? Bo ja widze tu dziwny
miszmasz, ze "serwery" to nie sa bramy, tylko jakies kompy lezace sobie
rownolegle w sieci z tymi kompami i same majace bramy domyslne przez
inne urzadzenie. Co to jest, jakis LAB, czy po prostu masz jakas odnoge
z laczem laczacym te dwa serwery?
--
memento lorem ipsum
markpunk
2017-12-14 13:10:17 UTC
Permalink
Post by elmer radi radisson
Post by markpunk
to był jakiś wypadek przy pracy
rozumiem ze juz naprawiony?
Post by markpunk
nie bardzo rozumiem, rozwiń myśl proszę
wyedytowałem w rejestrze wpis (zarówno na serverze jak i kliencie)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
No to jest wlasnie to co mialem na mysli. wlaczenie przekazywania
pakietow miedzy interfejsami czyli zrobienie z urzadzenia routera.
Inaczej ruch by nie przeplywal.
Post by markpunk
dlaczego nie chodzą pingi i dlaczego nie widze na kliencie trasy do 10.4.0.0 przez 10.4.0.1 ?
Przeciez to jest ta sama wspolna podsiec, trase masz widoczna na
lokalnym interfejsie i widac to w podanej tablicy.
A komputery z sieci A w ogole maja podana trase do sieci do ktorej sie
maja dostac, przez adres bramy na "serwerze"? Bo ja widze tu dziwny
miszmasz, ze "serwery" to nie sa bramy, tylko jakies kompy lezace sobie
rownolegle w sieci z tymi kompami i same majace bramy domyslne przez
inne urzadzenie. Co to jest, jakis LAB, czy po prostu masz jakas odnoge
z laczem laczacym te dwa serwery?
"servery" stoją za ruterami Orange'a, które są bramami i serverami DHCP

czyli generalnie mam małą sieć w lokalizacji A (jeden serwer plików i SQL) i stacje robocze do pracy z programem magazynowym stojącym na tym serwerze

do neta wszystko wychodzi przez router Orange


dokładnie to samo w drugiej lokalizacji

i teraz tak zestawiłem tunel pomiędzy tymi serverami, więc one teoretycznie się łączą ale nie chodza mi tam pingi tzn z serveraA (server.ovpn) mogę pingować ServerB (client.ovpn) (zarówno po adresie 10.4.0.2, jak i 192.168.1.100) ale w drugą stronę już nie
elmer radi radisson
2017-12-14 11:45:13 UTC
Permalink
aha, na czas testow najlepiej powylaczaj firewalle.
jak cos zacznie Ci dzialac a po wlaczeniu fw nie, to bedziesz po prostu
musial dostukac odpowiednie wyjatki, czy ostatecznie powylaczac w ogole
fw na zaufanych interfejsach.
markpunk
2017-12-14 13:11:10 UTC
Permalink
Post by elmer radi radisson
aha, na czas testow najlepiej powylaczaj firewalle.
jak cos zacznie Ci dzialac a po wlaczeniu fw nie, to bedziesz po prostu
musial dostukac odpowiednie wyjatki, czy ostatecznie powylaczac w ogole
fw na zaufanych interfejsach.
i tu nie bardzo wiem jak na win10 to zrobić by wyłączyć firewalla na tym interfejsie OpenVPN
elmer radi radisson
2017-12-15 14:04:02 UTC
Permalink
Post by markpunk
i tu nie bardzo wiem jak na win10 to zrobić by wyłączyć firewalla na tym interfejsie OpenVPN
Biorac pod uwage ze W10 to w ogole kraina czarow, a Windows chyba od 7
traktuje interfejs OpenVPN jako siec nieznana /da sie to obejsc -
poguglaj/ to moze prosciej, szybciej i pewniej byloby kupic ze dwa
jakies tanie routery tp-linka za 50 pare PLN, wrzucic tam gargoyle i
zrobic z nich routery do takiego taniego VPN. Tym bardziej ze
pociagniesz aktualizacje ktore z W10 zrobia w istocie jakies W-11
i cos - jak to potrafi sie dziac w takiej sytuacji - przestanie dzialac.
A skoro piszesz o programach magazynowych, no to chyba warto sobie
zapewnic kapke pewniejsze dzialanie.
--
memento lorem ipsum
Loading...