Doorrouteren van vpn - Linux en overige clients

zaterdag 30 januari 2010 09:27

Acties:

0 Henk 'm!

Assumption is the mother.....

Topicstarter

Hoi

Ik heb hier thuis als router/gateway een Linux machine draaien met daarachter een 24ports Gbit switch.
Deze routeert al het verkeer van mijn lan de wan kant op.
Nu heb ik op de linux server een vpn connectie opgezet naar mijn werk.
Vanaf hier kan ik uiteraard alle machines pingen.

Echter mijn lan kant (dus achter de switch) kan het hele vlan net niet bereiken.
Ik denk dat dit uiteraard komt omdat ik geen route heb vanaf de lan naar de vlan.
Maar ik kom er even niet uit hoe ik dit voor elkaar krijg

Relevante gegevens:
ifconfig linux server

code:

eth0      Link encap:Ethernet  HWaddr 00:30:48:73:AF:D4  
          inet addr:84.30.208.109  Bcast:255.255.255.255  Mask:255.255.254.0
          inet6 addr: fe80::230:48ff:fe73:afd4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:53063184 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20379019 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3796587325 (3.5 GiB)  TX bytes:2642515234 (2.4 GiB)
          Base address:0x9c00 Memory:f2800000-f2820000 


eth1      Link encap:Ethernet  HWaddr 00:30:48:73:AF:D5  
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::230:48ff:fe73:afd5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:118303908 errors:2 dropped:22569 overruns:0 frame:1
          TX packets:184933320 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2644532737 (2.4 GiB)  TX bytes:2459983940 (2.2 GiB)
          Base address:0xa000 Memory:f2820000-f2840000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:934282 errors:0 dropped:0 overruns:0 frame:0
          TX packets:934282 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:201899989 (192.5 MiB)  TX bytes:201899989 (192.5 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1417403 errors:0 dropped:0 overruns:0 frame:0
          TX packets:710632 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:1787338092 (1.6 GiB)  TX bytes:37605450 (35.8 MiB)

route linux server

code:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
84.30.208.0     0.0.0.0         255.255.254.0   U     0      0        0 eth0
0.0.0.0         84.30.208.1     0.0.0.0         UG    0      0        0 eth0

Welke route moet ik nu toevoegen om vanaf mijn lan kant (eth1) naar de vpn (tun0) te komen?

KPN - Vodafone Ziggo Partner

zaterdag 30 januari 2010 09:41

Acties:

0 Henk 'm!

blaataaps

Heb je de betreffende iptables-regels ook toegevoegd?

edit:
Overbodige spatie uit de topictitel gehaald

[ Voor 35% gewijzigd door blaataaps op 30-01-2010 09:42 ]

zaterdag 30 januari 2010 10:53

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

Topicstarter

welke bedoel je dan ? in de forward chain ?

KPN - Vodafone Ziggo Partner

zaterdag 30 januari 2010 12:20

Acties:

0 Henk 'm!

blaataaps

Niet in de forward chain, in de POSTROUTING chain van de nat-table. Ik denk dat je met tcpdump wel kunt zien wat het probleem is. Verkeer vanaf jouw lokale netwerk wordt, gezien de routes, netjes gerouteerd via het vpn (aangezien internet "delen" wel werkt, zal ip_forward wel goed staan). Verkeer van jouw lan naar machines in het vpn behouden, als er geen iptables tussenzit, hun eigen source-ip. Machines in het vpn zullen het retourverkeer dus terugsturen naar dit source-ip, maar dat is niet bereikbaar voor ze (aangenomen dat de machine waarnaar je het vpn opzet niet de default route is voor al die machines). Je moet voor uitgaand verkeer op tun0 dus hetzelfde doen als voor uitgaand verkeer op eth0, SNAT (of MASQUERADE eventueel) met iptables.

zaterdag 30 januari 2010 12:43

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Ik heb eenzelfde setup hier thuis staan, met een drietal openvpn's. Aan de lan kant, dus op mijn desktop, is helemaal niets veranderd, op de server zelf wordt alles gedeelt met 1 iptables regel:

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A POSTROUTING -t nat -s $net -j MASQUERADE

Waarbij dat net mijn lokale iprange is. Voor de rest ziet je routing en ifconfig er prima uit, dus het zou gewoon moeten werken met deze ene regel.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

zaterdag 30 januari 2010 18:13

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Wat Kees zegt ik zou alleen nog wel specifieke MASQUERADING rules er bij zetten.

/sbin/iptables -A POSTROUTING -t nat -s $net -o tun0 -j MASQUERADE
/sbin/iptables -A POSTROUTING -t nat -s $net -o eth0 -j MASQUERADE