שלום לכולם,

אני מנסה להתקין OPENVPN אצלנו במשרד ונתקל בבעיה.
מעט לגבי הקונפיגורציה של הרשת במשרד:
הרשת שטוחה (ללא VLANS), עובדת על SUBNET של 192.168.0.0/16. כולם מחוברים החוצה דרך FW של CHECK POINT מדגם NGX65. את כל הגדרות ה-NAT וכו' אנחנו מבצעים ברמת ה-FW. ה-FW מחובר לנתב של CISCO שמנוהל ע"י ספק האינטרנט שלנו.

המחשב שעליו רץ ה-OPENVPN מריץ OPENSUSE 10.3 ובעל כרטיס רשת אחד. הוא מחובר ל-FW כמו כל שאר המחשבים. למחשב יש כתובת פנימית שממופה ב-FW ישירות לכתובת חיצונית שלו, כלומר יש לו כתובת חיצונית ייחודית.

המחשב שממנו אני מנסה להתחבר לשרת מרחוק מריץ WINDOWS XP SP2 ויושב ברשת 192.168.1.0/24 מאחורי נתב 3COM ביתי. אין FW שמופעל על המחשב עם ה-XP.

את ה-OPENVPN הגדרתי בתצורת ROUTED. אני מצליח ליצור חיבור ללא ERRORS, אבל לא מצליח לגשת לשום מחשב ברשת המשרדית, אין לי פינגים לשום מקום.

להלן קובץ ה-CONFIG של השרת:

;local 192.168.1.62
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.0.0"
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

להלן קובץ ה-CONFIG של הלקוח:

client
dev tun
proto udp
remote X.X.X.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "c:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "c:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.crt" # Change the next two lines to match the files in the keys directory. This should be be different for each client.
key "c:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.key" # This file should be kept secret
comp-lzo
verb 3

כמובן שה-X מייצג כתובת IP.

אשמח לכל רעיון.

בתודה מראש,

Sony Ericsson.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

האם מוגדר לך בכל התחנות route לכיוון 10.8.0.0/24 דרך ה IP של שרת ה VPN?

אם לא, איך התעבורה אמורה להגיע אליו ומשם למחשב שלך בבית? היא תלך ישר אל הפיירוול (בעייה זו כמובן לא קיימת כששרת ה VPN יושב על ה default gateway עצמו...)

אם כן, תן פלט של הלוג אצל הלקוח אחרי סיום החיבור, ותן פלט של traceroute ל IP כלשהוא בתוך ה LAN של החברה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה על הפידבק המהיר שימי.

לא, לא מוגדר ROUTE שכזה. זו אכן הבעיה.

איך אני יכול להגדיר ROUTE לכל המחשבים בחברה? האם ניתן לעשות זאת ברמת ה-FW, ואם כן אז איך?

שוב תודה.

SonyEricsson.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

תאורטית כן. אבל אסור לשכוח שצ'קפויינט זה צ'קפויינט. בכל אופן, הכיוון הוא ממשק ה web שלהם ששם אפשר להגדיר route-ים.

בסוף, אתה כנראה תגלה כמוני, שהפתרון הטוב ביותר, הוא לזרוק את הצ'קפויינט לפח, והחיים יפים לאחר מכן

נמאס לכם לזכור סיסמאות? לחצו כאן!

שוב פעם תודה

מבחינת FW ארגוני, במה אתה משתמש? אשמח לקרוא על אלטרנטיבות.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

תן לי משהו שצ'קפויינט יודע לעשות שלינוקס עם Snort לא (כמובן שיש גם את m0n0wall וחברים...)...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה, אני אקרא קצת על הפתרון הזה.

לגבי ה-VPN, הוספתי את ה-ROUTE הבא לוקלית על התחנת עבודה שלי במשרד:

192.168.1.62 255.255.255.0 10.8.0.0

מתחנת העבודה שלי במשרד יש לי פינג ל - 10.8.0.1 וגם מהבית יש לי פינג לזה, אבל עדיין לא למחשב במשרד.

שורת הניתוב בקובץ CONFIG של ה- VPN היא:

10.8.0.1 255.255.0.0 192.168.0.0
יש רעיונות?

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

הפעלת ip forwarding על שרת ה VPN?

echo 1 > /proc/sys/net/ipv4/ip_forward

נמאס לכם לזכור סיסמאות? לחצו כאן!

סביר להניח שזאת הבעיה.

הרצתי את הפקודה שרשמת, לא נתן שום ERROR. כשאני נכנס ל-YAST, הוא לא נותן לי לסמן IP FORWARDING.

חיפשתי קצת בגוגל, והוספתי ב /etc/sysctl/conf את השורה: net.ipv4.ip_forward = 1 ולאחר מכן הרצתי sysctl -p /etc/sysctl.conf וקיבלתי בתור פלט את תוכן הקובץ, ואני עדיין לא מצליח לבצע FORWARD ברמת ה-YAST. הCHECKBOX נשאר אפור. כמובן שהבעיה המקורית של הניתוב עדין עומדת בעינה.

כשאני נכנס לניהול ה-FW, הוא לא מזהה את ה-TUN שיוצר ה-OPENVPN אלא רק את כרטיס הרשת הפיזי. הגדרתי כרטיס רשת נוסף ברמת ה-FW, בשם TUN0 אבל זה לא שינה דבר.

אשמח לרעיונות, ושוב פעם המון תודה על העזרה.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

עזוב אותי מ YAST וכלים גרפיים, אנחנו לא בווינדווס.

הפקודה שאמרתי, אמורה להספיק (לפחות עד האתחול הבא). אתה יכול לוודא שזה עבד על ידי ביצוע cat לאותו קובץ ולראות שחוזר 1.

כשהגעת לניהול פיירוול כבר פספסתי לגמרי. אתה מדבר על הצ'קפויינט או על הלינוקס? אם על הצ'קפויינט, בו אתה לא צריך לגעת (למעט כמובן ה NAT אל המכונה ואפשור התעבורה הרלוונטית...) - אם בלינוקס - תעשה לשנינו טובה, במיוחד אם אתה עובד עם ניהול גרפי - ותבטל את הפיירוול לחלוטין (תוודא שאין שום חוקים ושה POLICY של INPUT/OUTPUT/FORWARD הוא "ACCEPT"). פקודה כדי לוודא: iptables -L

נדמה לי שבתחילת האשכול ביקשתי traceroute (ועדיף משני הכיוונים...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

היי שימי,

התכוונתי ל-FW של הלינוקס.
כרגע ביטלתי אותו לגמרי. כשאני מבצע CAT אכן חוזר 1.

TRACE לשרת VPN בכתובת ה - 10.8.0.1 מהמחשב שלי בבית:

קוד:

Tracing route to 10.8.0.1 over a maximum of 30 hops

  1	19 ms	18 ms	18 ms  10.8.0.1

Trace complete.

.

:VPN מהמחשב בבית לכתובת הפנימית של שרת ה

קוד:

Tracing route to 10.8.0.1 over a maximum of 30 hops

  1	35 ms	67 ms   104 ms  10.8.0.1

Trace complete.

מהשרת במשרד לכתובת ה- 10.8.0.6 של המחשב בבית:

קוד:

traceroute 10.8.0.6
traceroute to 10.8.0.6 (10.8.0.6), 30 hops max, 40 byte packets
 1  10.8.0.6 (10.8.0.6)  30.730 ms   26.712 ms   23.933 ms

מהשרת במשרד לכתובת ה-192.168.0.0 של המחשב בבית

קוד:

traceroute 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  192.168.1.62 (192.168.1.62)(H!)  2875.973 ms (H!)  2871.396 ms (H!)  2868.062 ms

מהשרת במשרד לתחנת עבודה במשרד:

קוד:

traceroute 192.168.100.50
traceroute to 192.168.100.50 (192.168.100.50), 30 hops max, 40 byte packets
 1  XXXXXXXXXXX (192.168.100.50)  0.265 ms   0.261 ms   0.266 ms

כשאני מפעיל את השרת

קוד:

openvpn server.conf
Sun Feb  3 11:33:44 2008 OpenVPN 2.0.9 i686-suse-linux [SSL] [LZO] [EPOLL] built on Jan 22 2008
Sun Feb  3 11:33:44 2008 Diffie-Hellman initialized with 1024 bit key
Sun Feb  3 11:33:44 2008 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Feb  3 11:33:44 2008 TUN/TAP device tun0 opened
Sun Feb  3 11:33:44 2008 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sun Feb  3 11:33:44 2008 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sun Feb  3 11:33:44 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Feb  3 11:33:44 2008 UDPv4 link local (bound): 192.168.1.62:1194
Sun Feb  3 11:33:44 2008 UDPv4 link remote: [undef]
Sun Feb  3 11:33:44 2008 MULTI: multi_init called, r=256 v=256
Sun Feb  3 11:33:44 2008 IFCONFIG POOL: base=10.8.0.4 size=62
Sun Feb  3 11:33:44 2008 IFCONFIG POOL LIST
Sun Feb  3 11:33:44 2008 Test,10.8.0.4
Sun Feb  3 11:33:44 2008 Initialization Sequence Completed

כשאני מפעיל את הלקוח:

קוד:

Sun Feb 03 12:20:05 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2
006
Sun Feb 03 12:20:05 2008 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Sun Feb 03 12:20:05 2008 WARNING: No server certificate verification method has
been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb 03 12:20:05 2008 LZO compression initialized
Sun Feb 03 12:20:05 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Sun Feb 03 12:20:05 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:
0 EL:0 AF:3/1 ]
Sun Feb 03 12:20:05 2008 Local Options hash (VER=V4): '41690919'
Sun Feb 03 12:20:05 2008 Expected Remote Options hash (VER=V4): '530fdded'
Sun Feb 03 12:20:05 2008 UDPv4 link local: [undef]
Sun Feb 03 12:20:05 2008 UDPv4 link remote: X.X.X.X:1194
Sun Feb 03 12:20:06 2008 TLS: Initial packet from X.X.X.X:1194, sid=abbdc8
02 659704c1
Sun Feb 03 12:20:06 2008 VERIFY OK: depth=1, /C=IL/ST=Center/L=Herzliya/O=XXX/OU=IT/CN=Server/emailAddress=XXXXX
Sun Feb 03 12:20:06 2008 VERIFY OK: depth=0, /C=IL/ST=Center/O=XXX/OU=IT/CN
=Server1/emailAddress=XXXXXX
Sun Feb 03 12:20:06 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with
128 bit key
Sun Feb 03 12:20:06 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Sun Feb 03 12:20:06 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with
128 bit key
Sun Feb 03 12:20:06 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Sun Feb 03 12:20:06 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 1024 bit RSA
Sun Feb 03 12:20:06 2008 [Server1] Peer Connection Initiated with X.X.X.X:
1194
Sun Feb 03 12:20:08 2008 SENT CONTROL [Server1]: 'PUSH_REQUEST' (status=1)
Sun Feb 03 12:20:08 2008 PUSH: Received control message: 'PUSH_REPLY,route 192.1
68.0.0 255.255.0.0 10.8.0.1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping
-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Sun Feb 03 12:20:08 2008 OPTIONS IMPORT: timers and/or timeouts modified
Sun Feb 03 12:20:08 2008 OPTIONS IMPORT: --ifconfig/up options modified
Sun Feb 03 12:20:08 2008 OPTIONS IMPORT: route options modified
Sun Feb 03 12:20:08 2008 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options
 modified
Sun Feb 03 12:20:08 2008 TAP-WIN32 device [Local Area Connection 3] opened: \\.\
Global\{482D9010-B504-429E-9FA8-0BC2ECB89EDE}.tap
Sun Feb 03 12:20:08 2008 TAP-Win32 Driver Version 8.4
Sun Feb 03 12:20:08 2008 TAP-Win32 MTU=1500
Sun Feb 03 12:20:08 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.8.0.6/255.255.255.252 on interface {482D9010-B504-429E-9FA8-0BC2ECB89EDE} [DHC
P-serv: 10.8.0.5, lease-time: 31536000]
Sun Feb 03 12:20:08 2008 Successful ARP Flush on interface [3] {482D9010-B504-42
9E-9FA8-0BC2ECB89EDE}
Sun Feb 03 12:20:08 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:08 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:09 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:09 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:10 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:10 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:11 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:11 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:12 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:12 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:14 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:14 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:15 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:15 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:16 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:16 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:17 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:17 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:18 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:18 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:19 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:19 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:20 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:20 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:21 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:21 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:22 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:22 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:23 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:23 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:25 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:25 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:26 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:26 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:27 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:27 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:28 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:28 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:30 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:30 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:31 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:31 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:32 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:32 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:33 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:33 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:34 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:34 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:36 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:36 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:37 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:37 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Feb 03 12:20:37 2008 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun Feb 03 12:20:37 2008 route ADD 192.168.0.0 MASK 255.255.0.0 10.8.0.1
Sun Feb 03 12:20:37 2008 Warning: route gateway is not reachable on any active n
etwork adapters: 10.8.0.1
Sun Feb 03 12:20:37 2008 Route addition via IPAPI failed
Sun Feb 03 12:20:37 2008 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Feb 03 12:20:37 2008 Route addition via IPAPI succeeded
Sun Feb 03 12:20:37 2008 Initialization Sequence Completed With Errors ( see htt
p://openvpn.net/faq.html#dhcpclientserv )

cat /etc/sysctl.conf

קוד:

cat /etc/sysctl.conf
# Disable response to broadcasts.
# You don't want yourself becoming a Smurf amplifier.
net.ipv4.icmp_echo_ignore_broadcasts = 1
# enable route verification on all interfaces
net.ipv4.conf.all.rp_filter = 1
# enable ipV6 forwarding
#net.ipv6.conf.all.forwarding = 1
# increase the number of possible inotify(7) watches
fs.inotify.max_user_watches = 65536
net.ipv4.ip_forward = 1

הוספתי את מה שנראה לי רלוונטי, תגיד אם אתה זקוק לעוד משהו.

בברכה,

SonyEricsson.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

קראתי במספר מקומות שיכול להיות שלקובץ הבא תהיה השפעה: /etc/sysconfig/SuSEfirewall2. כדאי לשנות שם משהו?

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

מסובכים לי פה כל מיני דברים.

האם ייתכן שיש עוד VPN שמגיע לאותה רשת שמחובר באותו זמן? או לחלופין, לקוח VPN של צ'קפויינט שרץ אפילו אם ה VPN לא מחובר (סימן של מפתח צהוב ומכוער בשורת המשימות?) - אם כן - נא לוודא שאין.

ההודעות החוזרות והנשנות על בדיקת ה ROUTE בלקוח מוזרות מאוד אם יש push רק ל route אחד משרת ה VPN (אבל הגיוניות אם מתקיים מה שאמרתי בפיסקה שלעיל)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אכן נמצא שם המפתח המכוער
ביצעתי הסרה מלאה של ה-CP ואיבדתי קישוריות למחשב בבית לאחר האתחול שה-CP דרש. אני אגיע בערב הביתה ואנסה בלעדיו.

העניין הוא שביטלתי את ה-AUTOCONNECT שלו, חשבתי שזה ישלול בעיה ב-CP, מסתבר שלא.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

או קיי, WE ARE BACK :-)

הסרתי את ה-CP לגמרי ושיניתי את הכתובת IP הפנימית של השרת ל-192.168.20.20/16 מפאת אילוצים פנימיים. כמובן שקובץ ה-CONFIG שונה בהתאם.

כרגע אני מצליח להתחבר, לתת פינג מהמחשב בבית לכתובת 192.168.20.20 של השרת אבל לא לשום מחשב אחר ברשת.
להלן פלט הלוג של הלקוח לאחר התחברות:

קוד:

Tue Feb 05 08:59:31 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2
006
Tue Feb 05 08:59:31 2008 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Tue Feb 05 08:59:31 2008 WARNING: No server certificate verification method has
been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 05 08:59:31 2008 LZO compression initialized
Tue Feb 05 08:59:31 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Tue Feb 05 08:59:31 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:
0 EL:0 AF:3/1 ]
Tue Feb 05 08:59:31 2008 Local Options hash (VER=V4): '41690919'
Tue Feb 05 08:59:31 2008 Expected Remote Options hash (VER=V4): '530fdded'
Tue Feb 05 08:59:31 2008 UDPv4 link local: [undef]
Tue Feb 05 08:59:31 2008 UDPv4 link remote: x.x.x.x:1194
Tue Feb 05 08:59:31 2008 TLS: Initial packet from x.x.x.x:1194, sid=ac5927
04 47dae388
Tue Feb 05 08:59:31 2008 VERIFY OK: depth=1, /C=IL/ST=Center/L=Herzliya/O=xxxxxxxx
/OU=IT/CN=Server/emailAddress=xxxxxxxxx
Tue Feb 05 08:59:31 2008 VERIFY OK: depth=0, /C=IL/ST=Center/O=xxxxxx/OU=IT/CN
=Server1/emailAddress=xxxxxxxx
Tue Feb 05 08:59:34 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with
128 bit key
Tue Feb 05 08:59:34 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Tue Feb 05 08:59:34 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with
128 bit key
Tue Feb 05 08:59:34 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Tue Feb 05 08:59:34 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 1024 bit RSA
Tue Feb 05 08:59:34 2008 [Server1] Peer Connection Initiated with x.x.x.x:
1194
Tue Feb 05 08:59:35 2008 SENT CONTROL [Server1]: 'PUSH_REQUEST' (status=1)
Tue Feb 05 08:59:35 2008 PUSH: Received control message: 'PUSH_REPLY,route 192.1
68.0.0 255.255.0.0,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping-restart
120,ifconfig 10.8.0.6 10.8.0.5'
Tue Feb 05 08:59:35 2008 OPTIONS IMPORT: timers and/or timeouts modified
Tue Feb 05 08:59:35 2008 OPTIONS IMPORT: --ifconfig/up options modified
Tue Feb 05 08:59:35 2008 OPTIONS IMPORT: route options modified
Tue Feb 05 08:59:35 2008 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options
 modified
Tue Feb 05 08:59:35 2008 TAP-WIN32 device [Local Area Connection 3] opened: \\.\
Global\{482D9010-B504-429E-9FA8-0BC2ECB89EDE}.tap
Tue Feb 05 08:59:35 2008 TAP-Win32 Driver Version 8.4
Tue Feb 05 08:59:35 2008 TAP-Win32 MTU=1500
Tue Feb 05 08:59:35 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.8.0.6/255.255.255.252 on interface {482D9010-B504-429E-9FA8-0BC2ECB89EDE} [DHC
P-serv: 10.8.0.5, lease-time: 31536000]
Tue Feb 05 08:59:35 2008 Successful ARP Flush on interface [262146] {482D9010-B5
04-429E-9FA8-0BC2ECB89EDE}
Tue Feb 05 08:59:35 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Feb 05 08:59:35 2008 Route: Waiting for TUN/TAP interface to come up...
Tue Feb 05 08:59:36 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Feb 05 08:59:36 2008 Route: Waiting for TUN/TAP interface to come up...
Tue Feb 05 08:59:37 2008 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Feb 05 08:59:37 2008 route ADD 192.168.0.0 MASK 255.255.0.0 10.8.0.5
Tue Feb 05 08:59:37 2008 Route addition via IPAPI succeeded
Tue Feb 05 08:59:37 2008 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Feb 05 08:59:37 2008 Route addition via IPAPI succeeded
Tue Feb 05 08:59:37 2008 Initialization Sequence Completed

חשבתי שזה יהיה רעיון טוב להביא את טבלת הניתוב של המחשבים לאחר החיבור:

מחשב בבית:

קוד:

Interface List
0x1 ........................... MS TCP Loopback interface
0x40002 ...00 ff 48 2d 90 10 ...... TAP-Win32 Adapter V8
0x40003 ...00 11 11 24 fa c4 ...... Intel(R) PRO/100 VE Network Connection
==================================================  =========================
==================================================  =========================
Active Routes:
Network Destination		Netmask		  Gateway	   Interface  Metric
		  0.0.0.0		  0.0.0.0	  192.168.1.1	 192.168.1.2	   20
		 10.8.0.1  255.255.255.255		 10.8.0.5		10.8.0.6	   1
		 10.8.0.4  255.255.255.252		 10.8.0.6		10.8.0.6	   30
		 10.8.0.6  255.255.255.255		127.0.0.1	   127.0.0.1	   30
   10.255.255.255  255.255.255.255		 10.8.0.6		10.8.0.6	   30
		127.0.0.0		255.0.0.0		127.0.0.1	   127.0.0.1	   1
	  192.168.0.0	  255.255.0.0		 10.8.0.5		10.8.0.6	   1
	  192.168.1.0	255.255.255.0	  192.168.1.2	 192.168.1.2	   20
	  192.168.1.2  255.255.255.255		127.0.0.1	   127.0.0.1	   20
	192.168.1.255  255.255.255.255	  192.168.1.2	 192.168.1.2	   20
		224.0.0.0		240.0.0.0		 10.8.0.6		10.8.0.6	   30
		224.0.0.0		240.0.0.0	  192.168.1.2	 192.168.1.2	   20
  255.255.255.255  255.255.255.255		 10.8.0.6		10.8.0.6	   1
  255.255.255.255  255.255.255.255	  192.168.1.2	 192.168.1.2	   1
Default Gateway:	   192.168.1.1

תחנת עבודה במשרד שהוספתי לה ניתוב ידני ואליה אני מנסה להגיע

קוד:

Active Routes:
Network Destination		Netmask		  Gateway	   Interface  Metric
		  0.0.0.0		  0.0.0.0	  192.168.0.1  192.168.100.50	   20
		 10.8.0.0	255.255.255.0	192.168.20.20  192.168.100.50	   1
		127.0.0.0		255.0.0.0		127.0.0.1	   127.0.0.1	   1
	  192.168.0.0	  255.255.0.0   192.168.100.50  192.168.100.50	   20
   192.168.100.50  255.255.255.255		127.0.0.1	   127.0.0.1	   20
  192.168.100.255  255.255.255.255   192.168.100.50  192.168.100.50	   20
		224.0.0.0		240.0.0.0   192.168.100.50  192.168.100.50	   20
  255.255.255.255  255.255.255.255   192.168.100.50  192.168.100.50	   1
  255.255.255.255  255.255.255.255   192.168.100.50			   3	   1
Default Gateway:	   192.168.0.1
==================================================  =========================
Persistent Routes:
  None

השרת:

קוד:

Kernel IP routing table
Destination	 Gateway		 Genmask		 Flags Metric Ref	Use Iface
10.8.0.2		*			   255.255.255.255 UH	0	  0		0 tun0
10.8.0.0		10.8.0.2		255.255.255.0   UG	0	  0		0 tun0
192.168.0.0	 *			   255.255.0.0	 U	 0	  0		0 eth0
loopback		*			   255.0.0.0	   U	 0	  0		0 lo
default		 192.168.0.1	 0.0.0.0		 UG	0	  0		0 eth0

בתודה מראש,
SonyEricsson

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

אכן טוב שהבאת את טבלת הניתוב...

תאמר לי נא ידידי...

האם אני אהיה צודק כשאני אטען שבעצם הרשת שלך בבית וגם הרשת שלך בעבודה, שתיהן 192.168.0.0/16 בעצם?

נמאס לכם לזכור סיסמאות? לחצו כאן!

שלילי, בבית הרשת היא 192.168.1.0/24.

FIRST THEY IGONRE YOU...
THEN THEY LAUGH AT YOU...
THEN THEY FIGHT YOU...
THEN YOU WIN...

MOHANDAS GANDHI

זו עדיין רשת בתוך רשת...

תאורטית אולי אמור לעבוד אבל לא ממש בריא...

תראה שוב טרייס בבקשה... מצד לצד, לא צריך לשרת עצמו. וודא שהפיירוול במכונה שאליה אתה עושה את הטרייס כבוי.

תריץ סניפר על האינטרפייס של ה VPN (ה tun device) בשני הצדדים ותעלה קבצי capture...

נמאס לכם לזכור סיסמאות? לחצו כאן!