Vraag


  • KM Teijgeler
  • Registratie: juli 2010
  • Laatst online: 13-11-2020
Beste Tweakers,

Ik heb onderstaande configuratie:

Open VPN Server
10.16.0.1
TUN interface, geen TAP i.v.m. firewall regels !

Open-WRT Router
WAN op router: willekeurig
Open VPN op router: 10.16.11.253
Router lan ip: 192.168.8.1
Subnet: 192.168.8.0 / 255.255.255.0

PC op lan router: 192.168.8.215 (DHCP)

Wat werkt:
Van pc 192.168.8.215 pingen naar VPN server 10.16.0.1
Van 10.16.11.253 pingen naar pc 192.168.8.215 (Ping -I 10.16.11.253 192.168.8.215)

Wat werkt niet:
Van server 10.16.0.1 pingen naar router op 192.168.8.1
Van server 10.16.0.1 pingen naar pc 192.168.8.215
De server pakt de route via 10.16.11.253 dus dat is goed.
(192.168.8.1 via 10.16.11.253 dev tun0 src 10.16.0.1)

Forwarding van zone VPN naar LAN is actief.

Ik heb het idee dat ik iets met PREROUTING moet gaan doen ?
Bridgen gaat niet aangezien het een TUN adapter is en geen TAP.

Kan iemand mij hiermee helpen ?

Kristian

code:
1
2
3
4
5
6
7
Kernel IP routing table van Open-WRT router
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.101.1    0.0.0.0         UG    20     0        0 wlan-sta
10.16.0.0       10.16.11.253    255.255.0.0     UG    0      0        0 tun0
136.144.208.24  172.16.101.1    255.255.255.255 UGH   0      0        0 wlan-sta
172.16.101.0    0.0.0.0         255.255.255.0   U     20     0        0 wlan-sta
192.168.8.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan


code:
1
2
3
4
5
6
7
8
9
Kernel IP routing table van VPN Server
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         136.144.208.1   0.0.0.0         UG    100    0        0 eth0
10.16.0.0       0.0.0.0         255.255.0.0     U     0      0        0 tun0
10.16.1.0       10.16.1.254     255.255.255.0   UG    0      0        0 tun0
10.16.11.0      10.16.11.253    255.255.255.0   UG    10     0        0 tun0
136.144.208.0   0.0.0.0         255.255.255.0   U     100    0        0 eth0
192.168.0.0     10.16.11.253    255.255.0.0     UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0


http://jumprun.nl/wp-content/uploads/2019/08/Knipsel.png

[Voor 22% gewijzigd door KM Teijgeler op 20-08-2019 21:03]

Alle reacties


  • jeroen3
  • Registratie: mei 2010
  • Laatst online: 19:19
Hoe ziet de table van de VPN server eruit dan? Dat is juist waar het om gaat toch?
Of begrijp ik het verkeerd?

  • KM Teijgeler
  • Registratie: juli 2010
  • Laatst online: 13-11-2020
jeroen3 schreef op maandag 19 augustus 2019 @ 21:06:
Hoe ziet de table van de VPN server eruit dan? Dat is juist waar het om gaat toch?
Of begrijp ik het verkeerd?
Ik heb hem hierboven erbij gezet, maar ik denk dat die wel goed is aangezien het volgende commando onderstaand resultaat geeft:

ip route get 192.168.8.1
192.168.8.1 via 10.16.11.253 dev tun0 src 10.16.0.1

  • Tricq
  • Registratie: oktober 2011
  • Laatst online: 25-11 21:02
Weet je zeker dat de router een ping request oppakt van buiten zijn eigen subnet? Kan best eens dicht staan, hij kent de route namelijk wel.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 27-11 13:22

Hero of Time

Moderator NOS

There is only one Legend

Maak voor jezelf (en ons) even een tekening van het netwerk en zet de IP adressen op de plek waar ze staan. Ik heb wat moeite om het goed te visualiseren omdat je met twee gelijksoortige netwerken werkt (10.16.0.0 en 10.16.11.0). Neem de tun0 interface als een gelijkwaardige interface als de rest, want het gaat om een logische tekening.

Het zal vast niets uitmaken, maar dit valt mij wel op:
code:
1
192.168.0.0     10.16.11.253    255.255.0.0     UG    0      0        0 tun0

Dat is een route op je VPN server. Maar je netwerk is eigenlijk 192.168.8.0 met subnet 255.255.255.0. Is er een reden waarom je het hele /16 netwerk wilt pakken, terwijl je nog een 192.168.122.0/24 netwerk er naast heb draaien?

Kan je ook nog even de routingtabellen in je topicstart tussen code-tags zetten? Dat maakt het een heel stuk leesbaarder. Haal dan uiteraard ook de underline markup eruit. :)

Commandline FTW | Tweakt met mate


  • KM Teijgeler
  • Registratie: juli 2010
  • Laatst online: 13-11-2020
Ik heb nu even het 192.168.0.0 subnet toegevoegd voor het testen.
In de werkelijke situatie ga ik naar 10.16.x.x toe, maar dit gaf voor mij ook even weinig overzicht met het testen.

Begin post is aangepast en is nu duidelijker hoop ik.

Als ik trouwens de DMZ functie op de router aanzet en naar de pc verwijst dan is de pc wel benaderbaar vanaf de server.

[Voor 20% gewijzigd door KM Teijgeler op 20-08-2019 21:07]


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 27-11 13:22

Hero of Time

Moderator NOS

There is only one Legend

Waar je zo te zien tegenaan loopt is de logische verbinding op je router om van het 10.16.11.x netwerk verkeer naar je 192.168.8.0 netwerk te sturen. Zodra verkeer van je server, over de VPN tunnel, op je router aan komt, weet het niet meer wat het er mee moet doen. Dat bewijs je in principe ook met DMZ, want met dat aan wordt verkeer er domweg heen gegooid zonder echt te kijken of dat moet of niet.

Ga maar eens met traceroute kijken tot waar je antwoord krijgt, al heb je dat met de verschillende pings ook al laten zien. Pak wireshark of tcpdump op je computer en kijk of er ICMP verkeer binnenkomt van de server. Indien mogelijk, snif ook op je router om daar de flow te zien.

Commandline FTW | Tweakt met mate

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee