Openvpn para cliente / servidor na mesma sub-rede

8

Estou tentando abrir o VPN em uma rede do escritório (192.168.1.0/24) de um cliente sentado em uma rede com a mesma sub-rede (também 192.168.1.0/24). É um servidor linux (ubuntu 9.10) e um cliente windows.

Eu segui este guia de documentação da comunidade ubuntu openvpn e pelo que posso dizer, a conexão básica funciona bem. Claro que recebo vários erros / avisos sobre colisões de endereços IP.

Eu estava tentando seguir este guia sobre 'Dirty NAT NAT para obter uma VPN para trabalhar com clientes também numerados no espaço de endereço privado', mas não obtive sucesso. Embora eu tenha um entendimento teórico de roteamento / mascaramento, tenho relativamente pouca experiência prática e não tenho certeza do que está errado.

Até agora, cheguei ao ponto em que o cliente se conecta ao servidor e recebe um IP 10.22.8.10. No entanto, não consigo executar ping no servidor ip 10.22.8.1 como a documentação sugere que eu deveria.

A configuração do servidor é basicamente idêntica ao guia 1 com as modificações do guia 2 , ou seja, configurando a 'ponte do servidor 10.22.8.1 255.255.255.0 10.22.8.10 10.22.8.120' e a rota 'push' 10.22.0.0 255.255.0.0 10.22.8.1 "' Além disso, adiciono os comandos de configuração da interface de toque ao up.sh.

A configuração do cliente permanece a mesma do guia 1 .

Servidor 'ifconfig tap0' (edit: desculpe se isso parece estranho. No painel de visualização da edição desta publicação, parece bom)

tap0 Encap de link: Ethernet HWaddr ee: ee: a8: 04: 8a: fc inet addr: 10.22.8.1 Bcast: 0.0.0.0 Máscara: 255.255.255.0 inet6 addr: fe80 :: ecee: a8ff: fe04: 8afc / 64 escopo: Link UP BROADCAST EM EXECUÇÃO PROMISC MULTICAST MTU: 1500 Métrica: 1 pacotes RX: 610 erros: 0 eliminados: 0 excedentes: 0 quadro: 0 pacotes TX: 4533 erros: 0 eliminados: 0 excedentes: 0 transportadora: 0 colisões: 0 txqueuelen: 100 Bytes RX: 111341 (111,3 KB) Bytes TX: 650830 (650,8 KB)

A conexão de logon do cliente:

  Mon Mar 01 00:30:13 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009  
    Mon Mar 01 00:30:13 2010 WARNING: No server certificate verification method has been enabled.  See URL-REDACTED for more info.
    Mon Mar 01 00:30:13 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Mar 01 00:30:13 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
    Mon Mar 01 00:30:13 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:13 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:13 2010 LZO compression initialized
    Mon Mar 01 00:30:13 2010 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Mar 01 00:30:13 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Mon Mar 01 00:30:13 2010 Local Options hash (VER=V4): '13a273ba'
    Mon Mar 01 00:30:13 2010 Expected Remote Options hash (VER=V4): '360696c5'
    Mon Mar 01 00:30:13 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Mon Mar 01 00:30:13 2010 UDPv4 link local: [undef]
    Mon Mar 01 00:30:13 2010 UDPv4 link remote: REDACTED:1194
    Mon Mar 01 00:30:13 2010 TLS: Initial packet from REDACTED:1194, sid=11055cf2 cc0d1ea0
    Mon Mar 01 00:30:14 2010 VERIFY OK: depth=1, REDACTED
    Mon Mar 01 00:30:14 2010 VERIFY OK: depth=0, REDACTED
    Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:14 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Mon Mar 01 00:30:14 2010 [server] Peer Connection Initiated with REDACTED:1194
    Mon Mar 01 00:30:17 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Mon Mar 01 00:30:17 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.22.0.0 255.255.0.0 10.22.8.1,route-gateway 10.22.8.1,ping 10,ping-restart 120,ifconfig 10.22.8.10 255.255.255.0'
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route options modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route-related options modified
    Mon Mar 01 00:30:17 2010 ROUTE default_gateway=192.168.1.254
    Mon Mar 01 00:30:17 2010 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{7464875E-98E9-46AF-8F86-69FF32FFB722}.tap
    Mon Mar 01 00:30:17 2010 TAP-Win32 Driver Version 9.6 
    Mon Mar 01 00:30:17 2010 TAP-Win32 MTU=1500
    Mon Mar 01 00:30:17 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.22.8.10/255.255.255.0 on interface {7464875E-98E9-46AF-8F86-69FF32FFB722} [DHCP-serv: 10.22.8.0, lease-time: 31536000]
    Mon Mar 01 00:30:17 2010 Successful ARP Flush on interface [33] {7464875E-98E9-46AF-8F86-69FF32FFB722}
    Mon Mar 01 00:30:22 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
    Mon Mar 01 00:30:22 2010 C:\WINDOWS\system32\route.exe ADD 10.22.0.0 MASK 255.255.0.0 10.22.8.1
    Mon Mar 01 00:30:22 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Mon Mar 01 00:30:22 2010 Route addition via IPAPI succeeded [adaptive]
    Mon Mar 01 00:30:22 2010 Initialization Sequence Completed
    Mon Mar 01 01:30:14 2010 TLS: soft reset sec=0 bytes=648728/0 pkts=3922/0
    Mon Mar 01 01:30:14 2010 VERIFY OK: depth=1, REDACTED
    Mon Mar 01 01:30:14 2010 VERIFY OK: depth=0, REDACTED
    Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 01:30:15 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

A rota do cliente parece estar ok (impressão da rota):

  Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.23     25
        10.22.0.0      255.255.0.0        10.22.8.1       10.22.8.10     30
        10.22.8.0    255.255.255.0         On-link        10.22.8.10    286
       10.22.8.10  255.255.255.255         On-link        10.22.8.10    286
      10.22.8.255  255.255.255.255         On-link        10.22.8.10    286
    ...

No entanto, quando tento chegar ao 10.22.8.1, ele ainda parece querer sair da minha conexão de internet local:

  C:\Windows\system32>tracert 10.22.8.1
    Tracing route to 10.22.8.1 over a maximum of 30 hops
      1     1 ms     1 ms     1 ms  home.gateway [192.168.1.254]
      2  nexthop.qld.iinet.net.au [203.55.228.88]  reports: Destination net unreachable.

Alguém pode me aconselhar sobre o que estou fazendo de errado (ou, alternativamente, se houver uma maneira mais fácil e sustentável de fazer o que eu quero - observe que, conforme a solução nº 1 do guia 2 , renomear qualquer sub-rede não é possível)

fostandy
fonte
Eu acho que essa é uma pergunta muito interessante e não me importaria de tentar replicá-la - embora eu ache que pode ser um pouco problemático para mim criar esse cenário. Com base no seu route print, você está usando algo diferente do XP - Windows Vista ou 7, talvez? Você pode me informar para que eu possa criar a VM apropriada para teste?
fission
@ fission: estou usando o Windows 7. Se você estiver interessado, provavelmente posso experimentá-lo em uma máquina com Windows XP. Deixe-me saber se você quiser mais informações.
Fostandy 8/03

Respostas:

3

O valor da métrica da rota padrão é inferior à rota 10.22.0.0/16 e é roteado para a rota padrão. Na resolução de rotas, se mais de uma rota corresponder ao destino, a rota de menor valor métrico terá precedência.

Envie uma rota padrão por VPN ou métrica inferior para 10.22.0.0/16 (aumente a métrica da rota padrão).

Deve ficar assim:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
      0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.23    1000
    10.22.0.0      255.255.0.0        10.22.8.1       10.22.8.10     30
    10.22.8.0    255.255.255.0         On-link        10.22.8.10    286
   10.22.8.10  255.255.255.255         On-link        10.22.8.10    286
  10.22.8.255  255.255.255.255         On-link        10.22.8.10    286
Konrads
fonte
1

O que você precisa fazer é remover a rota padrão e adicionar uma rota específica apenas ao seu servidor VPN e marcá-la disponível através do seu roteador local.

Então, você deve ter 3 rotas:

vpn.example.com 255.255.255.255 gw 192.168.1.254
192.168.1.0 255.255.255.0 gw 10.22.8.1
0.0.0.0 0.0.0.0 gw 10.22.8.1
Hubert Kario
fonte