El día 13 de abril de 2018, 16:37, Cristian Mitchell
Config de OpenVPN Server:<mitchell69uk@gmail.com> escribió:
>
>
> El 13 de abril de 2018, 14:22, OddieX<oddiex@gmail.com> escribió:
>>
>> El día 13 de abril de 2018, 4:32, Ramses <ramses.sevilla@gmail.com>
>> escribió:
>> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> > <mitchell69uk@gmail.com> escribió:
>> >>El 12 de abril de 2018, 22:17, OddieX<oddiex@gmail.com> escribió:
>> >>
>> >>> Cristian gracias por contestar!
>> >>>
>> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
>> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >>>
>> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema de
>> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
>> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >>> dentro!
>> >>>
>> >>> Por eso es algo muy raro!!!
>> >>>
>> >>>
>> >>>
>> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >>> <mitchell69uk@gmail.com> escribió:
>> >>> >
>> >>> >
>> >>> > El 12 de abril de 2018, 21:06, OddieX<oddiex@gmail.com> escribió:
>> >>> >>
>> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >><cxescalona@gmail.com>
>> >>> >> escribió:
>> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >>mencionas???.
>> >>> >> >
>> >>> >> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>> >>> >> >
>> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >><oddiex@gmail.com>
>> >>> >> > escribió:
>> >>> >> >>
>> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya le
>> >>ha
>> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >>> >> >>
>> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >>"xenbr2"
>> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >>> >> >>
>> >>> >> >> allow-hotplug eno49
>> >>> >> >> iface eno49 inet manual
>> >>> >> >>
>> >>> >> >> auto xenbr2
>> >>> >> >> iface xenbr2 inet static
>> >>> >> >> bridge_ports eno49
>> >>> >> >> bridge_stp off
>> >>> >> >> address 192.168.0.6
>> >>> >> >> netmask 255.255.255.0
>> >>> >> >> gateway 192.168.0.249
>> >>> >> >> dns-nameservers 192.168.0.249
>> >>> >> >>
>> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >>tranquilamente,
>> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y salen
>> >>sin
>> >>> >> >> problemas...
>> >>> >
>> >>> >
>> >>> > hasta donde, red local y/o internet
>> >>> >
>> >>> >>
>> >>> >> >>
>> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >>afuera a
>> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >>con un
>> >>> >
>> >>> > servidor o virtual?
>> >>> > siendo virtual que configuracion ip tiene
>> >>> >
>> >>> >>
>> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >>firewall y
>> >>> no
>> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >>interfaz
>> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >>> >> >>
>> >>> >
>> >>> >
>> >>> > para probar en foema segura desabilita el firewall para las prueba
>> >>> > la vpn la estas armando desde maquina a maquina o de una maquina a
>> >>una
>> >>> > virtual
>> >>> > la maquina remota es local o esta fuera
>> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >>> >
>> >>> >>
>> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o
>> >>hace
>> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >>> >> >>
>> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >>> >> >>
>> >>> >> >
>> >>> >>
>> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >>acceso a
>> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge de
>> >>la
>> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >>> >> acceder!
>> >>> >>
>> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >>> >> varias opciones y nada!
>> >>> >>
>> >>> >
>> >>> > El bridge y el ruteo son capas diferentes
>> >>> >
>> >>> > 192.168.0.6 es la ip del host?
>> >>> > y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
>> >>> > desde un equipo diferente
>> >>> > podes pinguear a la 6 y a la 10?
>> >>> > cual es puerta de enlace de las virtuales
>> >>> >
>> >>> >
>> >>> > --
>> >>> > MrIX
>> >>> > Linux user number 412793.
>> >>> > http://counter.li.org/
>> >>> >
>> >>> > las grandes obras,
>> >>> > las sueñan los santos locos,
>> >>> > las realizan los luchadores natos,
>> >>> > las aprovechan los felices cuerdo,
>> >>> > y las critican los inútiles crónicos,
>> >>> >
>> >>>
>> >>>
>> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >>
>> >>y si no anda proba las sigueinte opciones
>> >>bridge_fd 0 y 5
>> >>bridgeg_maxwait 0 y 5
>> >>
>> >>puede se el tiempo de activacion del bridgeg
>> >
>> > OddieX, TCPDump puede ser tu amigo...
>> >
>> >
>> > Saludos,
>> >
>> > Ramses
>> >
>>
>>
>>
>> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> bridge configurados no funciona!
>>
>>
>> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> bridge no llega!
>>
>> # tcpdump -vvv "dst port 22" -i eno50
>> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> 262144 bytes
>> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> proto TCP (6), length 52)
>> 10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> 0x270c (correct), seq 903102505, win 8192, options [mss
>> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> proto TCP (6), length 52)
>> 10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> 0x270c (correct), seq 903102505, win 8192, options [mss
>> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> 2 packets captured
>> 2 packets received by filter
>> 0 packets dropped by kernel
>>
>>
>>
>> # tcpdump -vvv "dst port 22" -i xenbr2
>> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> size 262144 bytes
>> 0 packets captured
>> 0 packets received by filter
>> 0 packets dropped by kernel
>>
>> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> descubrir cual es el problema!
>>
>> Gracias por la ayuda!
>>
>
> Como tenes configurado el openvpn?
> recien acabo de resolver un problema muy pareciodo con ipsec en un equipo
> propietario
> y el problema era de unas tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>
dev tun
persist-key
persist-tun
port 1194
proto udp
keepalive 10 120
comp-lzo
ping-restart 0
client-to-client
keepalive 10 120
server 10.21.0.0 255.255.0.0
ifconfig 10.21.0.1 255.255.0.0
# Chequeo de usuarios contra el ldap
script-security 2
plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
username-as-common-name
auth-user-pass-verify auth/auth.pl via-env
# Certificados
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh4096.pem
explicit-exit-notify 1
tls-crypt /etc/openvpn/keys/ta.key
auth SHA512 # This needs to be in client.ovpn too though.
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES- 256-CBC-SHA256
ncp-ciphers AES-256-GCM:AES-256-CBC
# Asignacion de IP y rutas
client-config-dir /etc/openvpn/ccd
# Logging options.
ifconfig-pool-persist ipp.txt
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
Config de OpenVPN cliente (Sin los certificados):
dev tun
persist-key
persist-tun
proto udp
float
route-method exe
route-delay 2
resolv-retry infinite
nobind
remote-cert-tls server
auth SHA512
verb 3
remote 200.XXX.XXX.XXX 1192
comp-lzo
Pero sabes que el problema me parece que es en shorewall? El tema es
que le meti a todo info y no esta bloqueando nada! Pero me sigue
pareciendo raro, porque resulta ser que si saco el bridge, puedo
acceder a la eth0 por ejemplo, con el bridge no...