[Spott]

Tekkis probleem OpenVPN VPN to VPN tunneli tööle panekuga
Siin on võrgu kaart: http://spottraining.org/wp-content/uploads/2012/04/oniartallinnprob.png
Kontor 1 asuvad Client 1-1, 1-2, PDC, failiserver ja Gateway 1. (IP: 192.168.0.0/24)

Kontor 2 - asuvad Client 2-1, 2-2 ja Gateway 2 (kohalik IP 192.168.5.0/24)

Gateway 1 ja Gateway 2 vahele panin püsti VPN to VPN tunneli: http://doc.zentyal.org/en/vpn.html#configuration-of-a-vpn-server-for-interconnecting-networks
Probleem - Kontor 2 kliendid ei pääse ligi failiserveri kataloogidele (IP: 192.168.0.7).
Kontor 2 kliendid saavad pingida kõiki kliente 192.168.0.0/24, nad saavad ligi siseveebi lehtedele (k.a intranet 192.168.0.7 serveris, 192.168.0.45 printeri veebiliidesele),nad pääsevad ligi Gateway 1 https ja http lehele, kuid nad ei saa ligi samba jagatud kataloogidele 192.168.0.7 serveris ja samuti nad ei saa ligi https://192.168.0.7 lehele.


Otse Gateway 2 käsurealt (smbclient) - saan ilusti ligi 192.168.0.7 samba kataloogidele.
Kuid mitte client 2-1 või 2-2 arvutist
Nemad saavad veateate:
http://spottraining.org/wp-content/uploads/2012/04/onnet.png
Isegi, kui nad üritavad ühenduda IP-ga.
Linux klientide puhul on aga veateade:
Error NT_STATUS_UNSUCCESSFUL

Gateway 1-s töötab samas ka teine OpenVPN server läptoppide jaoks (Client 3-1) - nendel pole mingit probleemi, kui nad endal OpenVPN kliendi tööle panevad. Nemad saavad ilusti ligi 192.168.0.7 serveri jagatud ressurssidele ja ka kõigele muule.

Getaway 1 ja Getaway 2 - mõlemal on ka paigaldatud tulemüür.
Gateway 1 - 192.168.161.0/24, 192.168.160.0/24, 192.168.5.0/24 IP-d välisvõrkudest - kogu ühendus on lubatud.

Samuti Getaway 2 - 192.168.0.0/24 - sellelt IP vahemikult kogu liiklus välisvõrgust on lubatud.

Ehk minu küsimus - miks ma ei saa kontor 2 klientidest ligi kontor 1 failiserverile?

[Rasmus]

Miks sul on VPN-i jaoks eraldi subnetid?

[Spott]

[afex]

tundub samba probleem olema.
"hosts allow" smb.conf'is ei sisalda 5.0 subnetti?

[Spott]

ei ole - host allow rida pole üldse samba confis sees
Tegu on ruutimis probleemiga.
Nimelt 192.168.0.7 serveri logidest leidsin järgnevad read:
[2012/04/09 14:50:16, 0] libsmb/nmblib.c:send_udp(793)
Packet send failed to 192.168.5.25(137) ERRNO=Network is unreachable
[2012/04/09 14:50:16, 0] nmbd/nmbd_packets.c:reply_netbios_packet(992)
reply_netbios_packet: send_packet to IP 192.168.5.25 port 137 failed

192.168.5.25 on Client 2-1

Täna proovisin siis ka 192.168.0.7 masinast pingida 192.168.5.0/24 masinaid - ja see ei töötanud.
Vaatasin logidest järgi - tavaVPN kliendid - nende puhul ka samba logides on ühendust võtvaks masinaks 192.168.0.1 ehk Cateway 1
Vaatasin Gateway 1 tulemüüri reeglid ja seal on NAT postrouting -o eth1 --source 192.168.161.0/24 MASQUERADE rida olemas.
Seega kõik need IP-lt tulevad teisendatakse Gateway 1 sisevõrgu liidese aadressile.

[Betamax]

Kas sissetulev port 137 on ikka lahti VPNi jaoks?

[Spott]

jep - VPN IP-de pealt ei ole mingit tulemüüri hetkel vahel - kõik läbi lubatud.

[tattoomees]

kas ruuting on ikka õige ? et 192.168.5.0/24 on ruuditud 192.168.0.0?
tracert 192.168.0.7 kuskilt 192.168.5.0 masinast siis näed kus liiklus seisma jääb
ja lisaks ka tracert 192.168.0.0 võrgust 192.168.5.0 masinale.
Lisaks ise olen vaeva näinud ja win masinale tuli presistent ruuting panna sinna teise v6rku.

[afex]

[Spott]

gw1 pealt saab pingida. Mujalt - ei ole saanud testida. Kuid kõigi eelduste kohaselt ei saa.

EDIT: Paistab, et tegu on just selle failiserveri ruutimistabeli probleemiga. Lisasin sinna käsitsi 192.168.5.0/24 ruutimise andmed. Kõikjalt mujalt - täna käisin testimas - pingib ilusti 192.168.5.1 (ainuke masin, ehk Gw2, mis teises kontoris hetkel lives on).
Nädalavahetusel lähen taas kontor2-te, siis on näha, kas see käsitsi ruutimis andmete lisamine aitas või mitte.


EDIT2: Viga oligi 192.168.0.7 failiserveri ruutimistabelis. Kui sinna lisasin 192.168.5.0/24 võrgu andmed, siis hakkas kõik tööle.
Kõikjal mujal 192.168.0.0/24 võrgus oli kõik korras ja sai igalt poolt 192.168.5.0/24 võrgule ligi.

Seega soovitus Zentyal OpenVPN tunnel töötab sisuliselt out-of-the box