Openvpn varias redes - clientes a servidor hace ping, servidor a cliente no

Imagen de al-serv

Forums: 

Buenas!

Bueno con el titulo ya lo digo todo! jejej

borrado por no solucionado

mmm a veces los problemas de

mmm a veces los problemas de ping son solo porque está levantado el firewall,
intenta iptables -F en los clientes... mmm o deberías poner el servicio en todos los niveles de ejecución
después de la configuración con chkconfig network on
espero te ayude!

Mira en mi experiencia y como

Mira en mi experiencia y como comentan ya aqui lo mas tipico es que en los servidores este habilitado el Firewall, puedes hacer dos cosas

1.- para probar da de baja todas las reglas (Cuidado con esto solo para probar)
2.- Agregar reglas que permitan el trafico al puerto UDP 1194 y a las interfaces tunX o tapX

Saludos

Dante

Re:

Imagen de al-serv

hola

gracias por vuestra rapida respuesta!

a ver, ahora estoy con mi portatil con fedora, firewall completamente deshabilitado y me hace pings a la 192.168.5.x pero desde la red 192.168.5.x no puedo hacer pings a la ip de mi portatil 192.168.1.x . Desde mi portatil tengo sol un router normal y corriente. en el servidor tengo todo en ACCEPT e incluso tengo la siguiente regla

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

Para empezar a descartar.. los ficheros de configuración del openvpn los veis bien?? solo tengo que centrarme con el firewall del servidor que esta con iptables?? los pings hacia la 192.168.1.x que es mi portatil lo hago desde el propio servidor de openvpn o desde otra maquina de la misma red y por ejemplo desde una maquina de windows pone que el tiempo se ha agotado... por si os sirve de pista...

Un apunte que quiero hacer es que si a mi portatil le asigna la 10.134.0.18 , desde el servidor y desde las maquinas de la red 192.168.5.x si que puedo hacer ping a esa ip pero no a la ip 192.168.1.x y claro si cada vez que conecta cambia la ip del rango 10.134.0.x pues es un lió porque si capto impresoras o algun recurso compartido por ip cada vez funcionara distinto y por eso me interesa que funcione de 192.168.5.x a la 192.168.1.x de cualquier maquina ya que conecto desde una maquina centos instalada en cada sede hacia el servidor y las maquinas que hay detras de esa maquina pueden verse todas entre si y con 1 sola conexión se ven todas las maquinas....

agradezco mucho vuestra colaboración... estoy un poquito desesperado!

Haces nat de todas las

Haces nat de todas las conexiones de la LAN del servidor hacia la VPN?

Otra cosa q podrias probar es quitar las reglas arriba y probar algo como:
iptables -A INPUT -s 10.0.134.0/24 -j ACCEPT
iptables -A FORWARD -s 10.0.134.0/24 -j ACCEPT

Aunque pienso que las que has puesto estan correctas;

Re:

Imagen de al-serv

Gracias por responder!

he probado la regla que me has comentado y hace lo mismo, lo que no he acabado de entender es lo del nat? que regla de Iptables seria para permitir eso que me comentas... es más...

Tienes un ejemplo de firewall, como por ejemplo el tuyo que sepas que si funciona openvpn?? así lo probaría momentáneamente en mis servidores y a ver si es de iptables mi problema... si tienes ponlo aqui que lo probaría ok!

Gracias y espero impaciente tu respuesta!

Has comentado que en las

Has comentado que en las sucursales con centos realizas nat (supongo que para todo el trafico de salida), En la sucursal del servidor, deberias hacer lo mismo, algo como esto:

iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -o tun0 -j MASQUERADE

Aunque esta regla no seria necesaria para que funcionara, si te podria solucionar algunos problemas en las tablas de enrutameintos.

Supongo que en la sucursal del servidor vpn, la puerta de enlace de todos los equipos, sera la ip de este servidor?

Otra cosa que deberias comprobar si los equipos de la red 192.168.5.x hacen ping a la red 10.0.134.x ?

Tambien nos ayudaria bastante ver las reglas iptables que tienes en el servidor? Como se decia anteriormente, parece un problema de reglas iptables.

Re:

Imagen de al-serv

He probado lo que me comentas de poner esa regla y hace lo mismo, efectivamente cada PC tiene como puerta de enlace la ip del servidor

No se si sera del iptables pero igualmente deveria, desde la maquina servidor de openvpn tendria que hacer pings o acceder a las otras redes de los clientes sim problemas no??

Lo que me preguntas si el servidor o los pc de la red 192.168.5.x hacen pings hacia la 10.134.0.x , efectivamente, si que hacen pings pero como cada vez que se conecta le da una ip diferente del rango 10.134.0.x me interesa que funcione hacia las ip privadas de cada red ( 10.10.11.x, etc... desde 192.168.5.x )

te pongo las reglas del firewall a ver si ves alguna cosa!

# Inicio vaciando las reglas
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z

##Creamos variables
INTIF="eth1" #Red Local - Puerta enlace de los equipos
EXTIF="eth0" #Internet
VPN="ppp+" #VPN Windows
TUN="tun+" #OPENVPN
PRIVATE="192.168.5.0/24"

##Habilitamos NAT
iptables -t nat -I POSTROUTING -o $EXTIF -s 192.168.5.0/24 -j MASQUERADE
iptables -t nat -I POSTROUTING -o $TUN -j MASQUERADE

#openVPN
# Permitir paquetes entrantes a OpenVPN
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

# Permitir paquete del dispositivo TUN/TAP.
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

# Enmascarar la subred local
iptables -t nat -A POSTROUTING -s $PRIVATE -o $EXTIF -j MASQUERADE

#FIN OPENVPN

Lo demas son redirecciones de puertos sin importancia... si veis alguna cosa... ya me comentareis! espero vuestra respuesta!

Perdona x tardar tanto en

Perdona x tardar tanto en responder.

creo que ya se donde esta el error, esta en la configuracion de los clientes. en cada cliente debes poner:
push "route 172.26.1.0 255.255.0.0 " en el server de la red 172.26.1.x
y
push "route 192.168.1.0 255.255.255.0 " en el server de la red 192.168.1.x

Desesperante

Imagen de al-serv

Que va! lo he puesto en cada cliente lo que me has comentado y desde el servidor principal no hay manera de que pueda hacerles ping a mis clientes!!! en el servidor principal también tengo que añadir esa linea??

no es necesario en el

no es necesario en el servidor, esta linea le dice al servidor cuando se conecta el cliente, que red esta conectada al cliente.

iptables -t nat -A POSTROUTING -s $PRIVATE -o $EXTIF -j MASQUERADE
iptables -t nat -I POSTROUTING -o $EXTIF -s 192.168.5.0/24 -j MASQUERADE

Estas lineas son lo mismo, quita una.

Esto si es raro, de que a tus clientes, no le puedas hacer ping. Supongo que no podras hacer ping a la ip's 192.168.1.x y 172.26.1.x pero si a la red 10.134.0.x

Quita si quieres la linea
"iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -o tun0 -j MASQUERADE"
que parece q no es un problema que se solucione con el nat

Cuando cambies la configuracion, reinicia todos los servicios vpn, incluido el del servidor.

Páginas