El mar, 27-10-2009 a las 21:42 -0300, Daniel Bareiro escribió: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Hola! > > Estuve haciendo un primer intento de levantar una VPN entre casa y la > oficina. El escenario desde el lado de casa es el siguiente: > ________ > +----------+ +-----------+ +----------+ ____/ \___ > | Servidor |_____| Firewall |_____| Router |_____/ Internet \ > | OpenVPN | | GNU/Linux | | ADSL | \____ ____/ > +----------+ +-----------+ +----------+ \_______/ > > Red local: 10.1.0.0/24 > Red VPN: 10.8.0.0/24 > > En cuanto a la configuración en el firewall con GNU/Linux (usando > Shorewall), solo agregué una regla de DNAT al servidor OpenVPN. Creo que > es lo único que estaría haciendo falta. > > Además de esto, en el router agregué una regla que haga forwarding del > tráfico proveniente de su propia WAN con puerto 1194 a la interfaz que > tiene en el otro extremo que da con el firewall GNU/Linux. > > Hasta acá, levantando un cliente OpenVPN en la oficina pude comprobar > que el túnel queda establecido, pero solo estoy pudiendo llegar al > servidor OpenVPN. El resto de los hosts de mi red local están > inalcanzables. > > La siguiente es una captura con tcpump en el servidor OpenVPN al hacer > un ping desde la oficina a uno de los hosts de casa: > > # tcpdump -i tun0 > tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes > 07:08:17.231084 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 47698, seq 1, length 64 > 07:08:18.233021 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 47698, seq 2, length 64 > 07:08:19.231793 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 47698, seq 3, length 64 > > Parece ser que estuviera faltando la vuelta. > > Entonces, investigando un poco en Internet, probé agregando lo siguiente: > > * Agregar en mi firewall GNU/Linux una regla para que todo el tráfico > que vaya a la red 10.8.0.0/24 sea alcanzado a través de la IP del > servidor OpenVPN: > > # route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.1.0.4 > > * Habilitar forwarding en el servidor OpenVPN: > > # echo 1 > /proc/sys/net/ipv4/ip_forward > > Y volví a hacer la prueba: > > 07:13:17.213590 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 55380, seq 1, length 64 > 07:13:17.213942 IP ns1.freesoftware.org > 10.8.0.6: ICMP echo reply, id 55380, seq 1, length 64 > 07:13:18.215097 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 55380, seq 2, length 64 > 07:13:18.215433 IP ns1.freesoftware.org > 10.8.0.6: ICMP echo reply, id 55380, seq 2, length 64 > 07:13:19.215920 IP 10.8.0.6 > ns1.freesoftware.org: ICMP echo request, id 55380, seq 3, length 64 > 07:13:19.216272 IP ns1.freesoftware.org > 10.8.0.6: ICMP echo reply, id 55380, seq 3, length 64 > > De esta manera ya pude llegar con ping/nmap a los otros hosts de la red. > Pero en pruebas que estuve haciendo hay momentos en que al intentar > loguearme por ssh podía hacerlo y en otros momentos no pudiendo > comprobar que cuando era incapaz de hacerlo tcpdump mostraba un problema > similar al que comentaba más arriba. > > Me da la impresión que sigue existiendo algún problema de ruteo en alguna > parte. Si se les ocurre algo que me pueda iluminar, será bienvenido ;-) > > Gracias anticipadas por responder. > proba con esto http://www.openvpn.net/index.php/open-source/documentation/howto.html#redirect > Saludos, > Daniel > > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.10 (GNU/Linux) > > iEYEARECAAYFAkrnk5gACgkQZpa/GxTmHTdu/gCfUexCAoJK1IZyzdUsAEgeZiiu > VxwAnRLMMy7BpiqqdHsozuQKsAVHeq0j > =QzEF > -----END PGP SIGNATURE----- > >
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente