Consulta sobre OpenVPN
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hola!
Estuve haciendo un primer intento de levantar una VPN entre casa y la
oficina. El escenario desde el lado de casa es el siguiente:
________
+----------+ +-----------+ +----------+ ____/ \___
| Servidor |_____| Firewall |_____| Router |_____/ Internet \
| OpenVPN | | GNU/Linux | | ADSL | \____ ____/
+----------+ +-----------+ +----------+ \_______/
Red local: 10.1.0.0/24
Red VPN: 10.8.0.0/24
En cuanto a la configuración en el firewall con GNU/Linux (usando
Shorewall), solo agregué una regla de DNAT al servidor OpenVPN. Creo que
es lo único que estaría haciendo falta.
Además de esto, en el router agregué una regla que haga forwarding del
tráfico proveniente de su propia WAN con puerto 1194 a la interfaz que
tiene en el otro extremo que da con el firewall GNU/Linux.
Hasta acá, levantando un cliente OpenVPN en la oficina pude comprobar
que el túnel queda establecido, pero solo estoy pudiendo llegar al
servidor OpenVPN. El resto de los hosts de mi red local están
inalcanzables.
La siguiente es una captura con tcpump en el servidor OpenVPN al hacer
un ping desde la oficina a uno de los hosts de casa:
# tcpdump -i tun0
tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
07:08:17.231084 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 47698, seq 1, length 64
07:08:18.233021 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 47698, seq 2, length 64
07:08:19.231793 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 47698, seq 3, length 64
Parece ser que estuviera faltando la vuelta.
Entonces, investigando un poco en Internet, probé agregando lo siguiente:
* Agregar en mi firewall GNU/Linux una regla para que todo el tráfico
que vaya a la red 10.8.0.0/24 sea alcanzado a través de la IP del
servidor OpenVPN:
# route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.1.0.4
* Habilitar forwarding en el servidor OpenVPN:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Y volví a hacer la prueba:
07:13:17.213590 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 55380, seq 1, length 64
07:13:17.213942 IP ns1.freesoftware.org > 10.8.0.6: ICMP echo reply, id 55380, seq 1, length 64
07:13:18.215097 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 55380, seq 2, length 64
07:13:18.215433 IP ns1.freesoftware.org > 10.8.0.6: ICMP echo reply, id 55380, seq 2, length 64
07:13:19.215920 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 55380, seq 3, length 64
07:13:19.216272 IP ns1.freesoftware.org > 10.8.0.6: ICMP echo reply, id 55380, seq 3, length 64
De esta manera ya pude llegar con ping/nmap a los otros hosts de la red.
Pero en pruebas que estuve haciendo hay momentos en que al intentar
loguearme por ssh podía hacerlo y en otros momentos no pudiendo
comprobar que cuando era incapaz de hacerlo tcpdump mostraba un problema
similar al que comentaba más arriba.
Me da la impresión que sigue existiendo algún problema de ruteo en alguna
parte. Si se les ocurre algo que me pueda iluminar, será bienvenido ;-)
Gracias anticipadas por responder.
Saludos,
Daniel
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
iEYEARECAAYFAkrnk5gACgkQZpa/GxTmHTdu/gCfUexCAoJK1IZyzdUsAEgeZiiu
VxwAnRLMMy7BpiqqdHsozuQKsAVHeq0j
=QzEF
-----END PGP SIGNATURE-----
Reply to: