Hulp met routing VPN > LAN

maandag 19 augustus 2019 20:54

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Ik heb onderstaande configuratie:

Open VPN Server
10.16.0.1
TUN interface, geen TAP i.v.m. firewall regels !

Open-WRT Router
WAN op router: willekeurig
Open VPN op router: 10.16.11.253
Router lan ip: 192.168.8.1
Subnet: 192.168.8.0 / 255.255.255.0

PC op lan router: 192.168.8.215 (DHCP)

Wat werkt:
Van pc 192.168.8.215 pingen naar VPN server 10.16.0.1
Van 10.16.11.253 pingen naar pc 192.168.8.215 (Ping -I 10.16.11.253 192.168.8.215)

Wat werkt niet:
Van server 10.16.0.1 pingen naar router op 192.168.8.1
Van server 10.16.0.1 pingen naar pc 192.168.8.215
De server pakt de route via 10.16.11.253 dus dat is goed.
(192.168.8.1 via 10.16.11.253 dev tun0 src 10.16.0.1)

Forwarding van zone VPN naar LAN is actief.

Ik heb het idee dat ik iets met PREROUTING moet gaan doen ?
Bridgen gaat niet aangezien het een TUN adapter is en geen TAP.

Kan iemand mij hiermee helpen ?

Kristian

code:

Kernel IP routing table van Open-WRT router
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.101.1    0.0.0.0         UG    20     0        0 wlan-sta
10.16.0.0       10.16.11.253    255.255.0.0     UG    0      0        0 tun0
136.144.208.24  172.16.101.1    255.255.255.255 UGH   0      0        0 wlan-sta
172.16.101.0    0.0.0.0         255.255.255.0   U     20     0        0 wlan-sta
192.168.8.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan

code:

Kernel IP routing table van VPN Server
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         136.144.208.1   0.0.0.0         UG    100    0        0 eth0
10.16.0.0       0.0.0.0         255.255.0.0     U     0      0        0 tun0
10.16.1.0       10.16.1.254     255.255.255.0   UG    0      0        0 tun0
10.16.11.0      10.16.11.253    255.255.255.0   UG    10     0        0 tun0
136.144.208.0   0.0.0.0         255.255.255.0   U     100    0        0 eth0
192.168.0.0     10.16.11.253    255.255.0.0     UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

Afbeeldingslocatie: http://jumprun.nl/wp-content/uploads/2019/08/Knipsel.png

[ Voor 22% gewijzigd door KM Teijgeler op 20-08-2019 21:03 ]

maandag 19 augustus 2019 21:06

Acties:

0 Henk 'm!

jeroen3

Hoe ziet de table van de VPN server eruit dan? Dat is juist waar het om gaat toch?
Of begrijp ik het verkeerd?

maandag 19 augustus 2019 21:16

Acties:

0 Henk 'm!

KM Teijgeler

Topicstarter

jeroen3 schreef op maandag 19 augustus 2019 @ 21:06:
Hoe ziet de table van de VPN server eruit dan? Dat is juist waar het om gaat toch?
Of begrijp ik het verkeerd?

Ik heb hem hierboven erbij gezet, maar ik denk dat die wel goed is aangezien het volgende commando onderstaand resultaat geeft:

ip route get 192.168.8.1
192.168.8.1 via 10.16.11.253 dev tun0 src 10.16.0.1

dinsdag 20 augustus 2019 08:14

Acties:

0 Henk 'm!

Tricq

Weet je zeker dat de router een ping request oppakt van buiten zijn eigen subnet? Kan best eens dicht staan, hij kent de route namelijk wel.

dinsdag 20 augustus 2019 19:44

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Maak voor jezelf (en ons) even een tekening van het netwerk en zet de IP adressen op de plek waar ze staan. Ik heb wat moeite om het goed te visualiseren omdat je met twee gelijksoortige netwerken werkt (10.16.0.0 en 10.16.11.0). Neem de tun0 interface als een gelijkwaardige interface als de rest, want het gaat om een logische tekening.

Het zal vast niets uitmaken, maar dit valt mij wel op:

code:

1	192.168.0.0 10.16.11.253 255.255.0.0 UG 0 0 0 tun0

Dat is een route op je VPN server. Maar je netwerk is eigenlijk 192.168.8.0 met subnet 255.255.255.0. Is er een reden waarom je het hele /16 netwerk wilt pakken, terwijl je nog een 192.168.122.0/24 netwerk er naast heb draaien?

Kan je ook nog even de routingtabellen in je topicstart tussen code-tags zetten? Dat maakt het een heel stuk leesbaarder. Haal dan uiteraard ook de underline markup eruit.

Commandline FTW | Tweakt met mate

dinsdag 20 augustus 2019 21:05

Acties:

0 Henk 'm!

KM Teijgeler

Topicstarter

Ik heb nu even het 192.168.0.0 subnet toegevoegd voor het testen.
In de werkelijke situatie ga ik naar 10.16.x.x toe, maar dit gaf voor mij ook even weinig overzicht met het testen.

Begin post is aangepast en is nu duidelijker hoop ik.

Als ik trouwens de DMZ functie op de router aanzet en naar de pc verwijst dan is de pc wel benaderbaar vanaf de server.

[ Voor 20% gewijzigd door KM Teijgeler op 20-08-2019 21:07 ]

dinsdag 20 augustus 2019 22:07

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Waar je zo te zien tegenaan loopt is de logische verbinding op je router om van het 10.16.11.x netwerk verkeer naar je 192.168.8.0 netwerk te sturen. Zodra verkeer van je server, over de VPN tunnel, op je router aan komt, weet het niet meer wat het er mee moet doen. Dat bewijs je in principe ook met DMZ, want met dat aan wordt verkeer er domweg heen gegooid zonder echt te kijken of dat moet of niet.

Ga maar eens met traceroute kijken tot waar je antwoord krijgt, al heb je dat met de verschillende pings ook al laten zien. Pak wireshark of tcpdump op je computer en kijk of er ICMP verkeer binnenkomt van de server. Indien mogelijk, snif ook op je router om daar de flow te zien.

Commandline FTW | Tweakt met mate

Vraag

Alle reacties