[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema extraño con una eth con un bridge y ruteos



El día 19 de abril de 2018, 22:25, Cristian Mitchell
<mitchell69uk@gmail.com> escribió:
>
>
> El 19 de abril de 2018, 20:52, OddieX<oddiex@gmail.com> escribió:
>>
>> El día 13 de abril de 2018, 16:37, Cristian Mitchell
>> <mitchell69uk@gmail.com> escribió:
>> >
>> >
>> > El 13 de abril de 2018, 14:22, OddieX<oddiex@gmail.com> escribió:
>> >>
>> >> El día 13 de abril de 2018, 4:32, Ramses <ramses.sevilla@gmail.com>
>> >> escribió:
>> >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> >> > <mitchell69uk@gmail.com> escribió:
>> >> >>El 12 de abril de 2018, 22:17, OddieX<oddiex@gmail.com> escribió:
>> >> >>
>> >> >>> Cristian gracias por contestar!
>> >> >>>
>> >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos
>> >> >>> a
>> >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >> >>>
>> >> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema
>> >> >>> de
>> >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED
>> >> >>> CON
>> >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >> >>> dentro!
>> >> >>>
>> >> >>> Por eso es algo muy raro!!!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >> >>> <mitchell69uk@gmail.com> escribió:
>> >> >>> >
>> >> >>> >
>> >> >>> > El 12 de abril de 2018, 21:06, OddieX<oddiex@gmail.com> escribió:
>> >> >>> >>
>> >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >> >><cxescalona@gmail.com>
>> >> >>> >> escribió:
>> >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >> >>mencionas???.
>> >> >>> >> >
>> >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en
>> >> >>> >> > openvpn.
>> >> >>> >> >
>> >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >> >><oddiex@gmail.com>
>> >> >>> >> > escribió:
>> >> >>> >> >>
>> >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya
>> >> >>> >> >> le
>> >> >>ha
>> >> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >> >>> >> >>
>> >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >> >>"xenbr2"
>> >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >> >>> >> >>
>> >> >>> >> >> allow-hotplug eno49
>> >> >>> >> >> iface eno49 inet manual
>> >> >>> >> >>
>> >> >>> >> >> auto xenbr2
>> >> >>> >> >> iface xenbr2 inet static
>> >> >>> >> >>         bridge_ports eno49
>> >> >>> >> >>         bridge_stp off
>> >> >>> >> >>         address 192.168.0.6
>> >> >>> >> >>         netmask 255.255.255.0
>> >> >>> >> >>         gateway 192.168.0.249
>> >> >>> >> >>         dns-nameservers 192.168.0.249
>> >> >>> >> >>
>> >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >> >>tranquilamente,
>> >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y
>> >> >>> >> >> salen
>> >> >>sin
>> >> >>> >> >> problemas...
>> >> >>> >
>> >> >>> >
>> >> >>> > hasta donde, red local y/o internet
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >>
>> >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >> >>afuera a
>> >> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >> >>con un
>> >> >>> >
>> >> >>> > servidor o virtual?
>> >> >>> > siendo virtual que configuracion ip tiene
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >> >>firewall y
>> >> >>> no
>> >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >> >>interfaz
>> >> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >> >>> >> >>
>> >> >>> >
>> >> >>> >
>> >> >>> > para probar en foema segura desabilita el firewall para las
>> >> >>> > prueba
>> >> >>> > la vpn la estas armando desde maquina a maquina o de una maquina
>> >> >>> > a
>> >> >>una
>> >> >>> > virtual
>> >> >>> > la maquina remota es local o esta fuera
>> >> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo,
>> >> >>> >> >> o
>> >> >>hace
>> >> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en
>> >> >>> >> >> 3
>> >> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >> >>> >> >>
>> >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >> >>> >> >>
>> >> >>> >> >
>> >> >>> >>
>> >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >> >>acceso a
>> >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge
>> >> >>> >> de
>> >> >>la
>> >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >> >>> >> acceder!
>> >> >>> >>
>> >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >> >>> >> varias opciones y nada!
>> >> >>> >>
>> >> >>> >
>> >> >>> > El bridge y el ruteo son capas diferentes
>> >> >>> >
>> >> >>> > 192.168.0.6 es la ip del host?
>> >> >>> > y supongo que cualquier virtual tiene una ip tipo ej
>> >> >>> > (192.168.0.10)
>> >> >>> > desde un equipo diferente
>> >> >>> > podes pinguear a la 6 y a la 10?
>> >> >>> > cual es puerta de enlace de las virtuales
>> >> >>> >
>> >> >>> >
>> >> >>> > --
>> >> >>> > MrIX
>> >> >>> > Linux user number 412793.
>> >> >>> > http://counter.li.org/
>> >> >>> >
>> >> >>> > las grandes obras,
>> >> >>> > las sueñan los santos locos,
>> >> >>> > las realizan los luchadores natos,
>> >> >>> > las aprovechan los felices cuerdo,
>> >> >>> > y las critican los inútiles crónicos,
>> >> >>> >
>> >> >>>
>> >> >>>
>> >> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >> >>
>> >> >>y si no anda proba las sigueinte opciones
>> >> >>bridge_fd 0 y 5
>> >> >>bridgeg_maxwait 0 y 5
>> >> >>
>> >> >>puede se el tiempo de activacion del bridgeg
>> >> >
>> >> > OddieX, TCPDump puede ser tu amigo...
>> >> >
>> >> >
>> >> > Saludos,
>> >> >
>> >> > Ramses
>> >> >
>> >>
>> >>
>> >>
>> >> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> >> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> >> bridge configurados no funciona!
>> >>
>> >>
>> >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> >> bridge no llega!
>> >>
>> >> # tcpdump -vvv "dst port 22" -i eno50
>> >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> >> 262144 bytes
>> >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 2 packets captured
>> >> 2 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >>
>> >>
>> >> # tcpdump -vvv "dst port 22" -i xenbr2
>> >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> >> size 262144 bytes
>> >> 0 packets captured
>> >> 0 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> >> descubrir cual es el problema!
>> >>
>> >> Gracias por la ayuda!
>> >>
>> >
>> > Como tenes configurado el openvpn?
>> > recien acabo de resolver un problema muy pareciodo con  ipsec en un
>> > equipo
>> > propietario
>> > y el problema era de unas tablas de ruteo
>> >
>> > --
>> > MrIX
>> > Linux user number 412793.
>> > http://counter.li.org/
>> >
>> > las grandes obras,
>> > las sueñan los santos locos,
>> > las realizan los luchadores natos,
>> > las aprovechan los felices cuerdo,
>> > y las critican los inútiles crónicos,
>> >
>>
>>
>> Config de OpenVPN Server:
>>
>> dev tun
>> persist-key
>> persist-tun
>> port 1194
>> proto udp
>> keepalive 10 120
>> comp-lzo
>> ping-restart 0
>> client-to-client
>> keepalive 10 120
>> server 10.21.0.0 255.255.0.0
>> ifconfig 10.21.0.1 255.255.0.0
>>
>> # Chequeo de usuarios contra el ldap
>> script-security 2
>> plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
>> username-as-common-name
>> auth-user-pass-verify auth/auth.pl via-env
>>
>>
>> # Certificados
>> ca /etc/openvpn/keys/ca.crt
>> cert /etc/openvpn/keys/server.crt
>> key /etc/openvpn/keys/server.key
>> dh /etc/openvpn/keys/dh4096.pem
>>
>>
>> explicit-exit-notify 1
>>
>> tls-crypt /etc/openvpn/keys/ta.key
>> auth SHA512    # This needs to be in client.ovpn too though.
>> tls-version-min 1.2
>> tls-cipher
>> TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
>> ncp-ciphers AES-256-GCM:AES-256-CBC
>>
>> # Asignacion de IP y rutas
>> client-config-dir /etc/openvpn/ccd
>>
>> # Logging options.
>> ifconfig-pool-persist ipp.txt
>> status /var/log/openvpn/openvpn-status.log
>> log /var/log/openvpn/openvpn.log
>> verb 4
>>
>>
>>
>> Config de OpenVPN cliente (Sin los certificados):
>>
>> dev tun
>> persist-key
>> persist-tun
>> proto udp
>> float
>> route-method exe
>> route-delay 2
>> resolv-retry infinite
>> nobind
>> remote-cert-tls server
>> auth SHA512
>> verb 3
>> remote 200.XXX.XXX.XXX 1192
>> comp-lzo
>>
>>
>> Pero sabes que el problema me parece que es en shorewall? El tema es
>> que le meti a todo info y no esta bloqueando nada! Pero me sigue
>> pareciendo raro, porque resulta ser que si saco el bridge, puedo
>> acceder a la eth0 por ejemplo, con el bridge no...
>
>
> Oddiex no respndas a mi privado por favor
>
> la respuesta es si a que cualquier coneccion  cuando se levanta y tienen
> acceso a otra red levanta tablas de ruteo
>
> ahora proba lo siguiente
>
> con cada una de las dos configuraciones del bridge y cada una con la vpn
> corrindo y no
>
> ip -r
>
> y vemos que pasa en cada una de las configuraciones
> lo que te puede estar pasando es la prioridad de las tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


Sry se me chispoteo...

Las rutas estan bien, de echo tengo varias subredes y todas andan joya
y llego a todos los hosts de la red, menos a los que tienen echo un
bridge en su interfaz...

10.10.1.0/24 dev eth3 proto kernel scope link src 10.10.1.249
10.21.0.0/16 via 10.21.0.2 dev tun0
10.21.0.2 dev tun0 proto kernel scope link src 10.21.0.1
172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.0.253
192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.249
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.3.0/24 via 192.168.0.15 dev eth2
192.168.4.0/24 via 192.168.0.15 dev eth2
192.168.5.0/24 via 192.168.0.15 dev eth2
192.168.6.0/24 via 192.168.0.15 dev eth2
192.168.7.0/24 via 192.168.0.15 dev eth2
192.168.8.0/24 via 192.168.0.15 dev eth2
192.168.9.0/24 via 192.168.0.15 dev eth2
192.168.10.0/24 via 192.168.0.10 dev eth2
192.168.254.0/24 via 192.168.0.15 dev eth2


Reply to: