VPN Route spørgsmål

peque
Antal: 852
Tilmeldt:
20-04-2005
User is offline
VPN Route spørgsmål

Hey Gruppe.
Jeg sidder og leger med en ide omkring et OpenVPN setup.

Jeg har en Router sat op med et 192.168.10.1/24 netværk ( skal agere et hostingcenter på et testplan )
På Ip 192.168.10.10 Har jeg en Linux server (MySQL og OpenVPN-server)
på IP 192.168.10.20 har jeg en Windows Maskine

På Min Linux maskine har jeg installeret OpenVPN som kører i et range af 10.38.100.1/24
Den skal agere OpenVPN server hvor klienter logger på - og dette fungerer reelt som det skal.

Når jeg logger ind fra min Klient(I dette tilfælde OpenVPN) har jeg givet mig adressen 10.38.100.5
Jeg kan fra min klient pinge 192.168.10.10(og 10.38.100.1) - men ikke 192.168.10.20 eller 192.168.10.1.
Jeg kan pinge mine klienter på 10.38.100.0/24 netværket. Jeg kan logge 192.168.10.10 via SSH og pinge 192.168.10.0 netværket
Fra min OpenVPN klient cfg :

proto tcp-client
remote 1.2.3.4 10094
dev tun
tls-client
ca fw/ca.crt
cert fw/test.crt
key fw/test.key
keepalive 10 120
cipher AES-256-CBC
auth SHA1
pull
remote-cert-tls server
tls-auth fw/ta.key
key-direction 1
comp-lzo
persist-key
persist-tun
verb 3
route 10.38.100.0 255.255.255.0 10.38.100.1
route 192.168.10.0 255.255.255.0 10.38.100.1

Jeg kan ikke fra ip 192.168.10.20 - pinge mine klienter på 10.38.100.0/24 netværket - jeg kan kun kun pinge 10.38.100.1 opg 192.168.10.10 og 1
Min Windows Route via route print:
10.38.100.0 255.255.255.0 192.168.10.10 36
Har jeg tilføjet manuelt
Hvad mangler jeg i denne omgang for at kune forbinde imellem 192.168.10.0 over til 10.38.100.0 netværket
og hvor går det galt her - siden jeg fra min klient ikke har adgang til andre maskiner på netværket (192.168.10.0) end openVPN serveren som kan svare fra både 10.38.100.1 og 192.168.10.10
Er det overhovedet noget jeg kan sende med ud til klienterne. Da det reelt KUN er enkelte klienter (10.38.100.5-10) der skal have adgang

Min Servers Cfg:

#######################################################
# Server Params
mode server
tls-server
proto tcp
dev tun
port 10094

# no-bind
# Certificates
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/TEST-SRV02.crt
key /etc/openvpn/easy-rsa/keys/TEST-SRV02.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key
key-direction 0
cipher AES-256-CBC
auth SHA1

# Rewoke certificate
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem

# IP Setup
server  10.38.100.0 255.255.255.0
push "route 10.38.100.0 255.255.255.0"
client-config-dir /etc/openvpn/client

# Extra Params
client-to-client
topology subnet
keepalive 10 120
comp-lzo
persist-key
persist-tun
user nobody
group nogroup
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3

Jeg håber det er forklaret OK


frogmaster
frogmaster's picture
Antal: 3281
Tilmeldt:
20-05-2010
User is offline
Jeg håber det er

#0: Jeg håber det er forklaret OK

Det minder mig lidt om et mensa spørgsmål ;)
Må jeg foreslå du prøver at give adgang til begge xxx.xxx.xxx.0/24 ranges til en start, og når det fungere, så ændre i konfigureringen således du begrænser adgangen til accepterede IP adresser.


peque
Antal: 852
Tilmeldt:
20-04-2005
User is offline
Hej igen Frogmaster - tja

Hej igen

Frogmaster - tja det vilel absolut være en ide - Men syntes ikke det vil fungere og derfor spørger jeg .

Min OpenVPN server har følgende netværk:
eth0 192.168.10.10 - Fysisk Adapter
eth1 172.16.99.99 - Intern Netværk ( Hyper-V Private Switch)
tun1 10.38.100.1 - OpenVPN Server

Hvordan kan jeg sætte min route - således jeg kan komme på det 172.16.99.0 netværk
Mit bud ville være
172.16.99.0 255.255.255.0 10.38.100.1
Men jeg kommer ikke igennem til de andre maskin er på 172.16.99.0/24 netværket ?
Så hvor er det lige jeg mister dette overblik


frogmaster
frogmaster's picture
Antal: 3281
Tilmeldt:
20-05-2010
User is offline
Hej igen Peque#2: eth1

Hej igen Peque

#2: eth1 172.16.99.99 - Intern Netværk ( Hyper-V Private Switch)

Er det virtuelle netværk 172.16.99.0/24 udelukkende installeret på virtuelle maskiner på hosten?

Så vidt jeg husker, vil det kun fungere, hvis det er tilfældet, men ikke på andre maskiner på det fysiske netværk.

Jeg er ikke sikker på om det er relevant, men prøv at læse dette her: https://redmondmag.com/articles/2014/07/24/private...


peque
Antal: 852
Tilmeldt:
20-04-2005
User is offline
HeyJamen Det er oprettet i

Hey
Jamen Det er oprettet i Hyper-V - hvor der er lavet en Internal Switch ( Ikke private) -> Som i deres beskrivelser er et internt net imellem - Hosts og VM's
https://docs.microsoft.com/en-us/windows-server/vi...

Hyper-V host har 172.16.99.1/24
OpenVPN server har 172.16.99.99/24
Windows har 172.16.99.98/24

Alle 3 maskiner kan pinge imellem hinanden fra lokalmaskinen.
Mit spørgsmål er så hvordan jeg kommer derover - for jeg kan godt pinge 172.16.99.99 ( selvom jeg kommer fra 10.38.100.5)
For vil da mene det burde kunne lade sig gøre - på en eller anden måde.
Jeg frygter bare lidt at jeg er løbet tør idet - efter alt for mange forgæves forsøg.

P


frogmaster
frogmaster's picture
Antal: 3281
Tilmeldt:
20-05-2010
User is offline
For vil da mene det

#4: For vil da mene det burde kunne lade sig gøre - på en eller anden måde

Jeg ved ikke hvorfor det ikke virker, men du kan måske finde en løsning fra rette sted. Microsoft og Spiceworks har nogle fora:

https://social.technet.microsoft.com/Forums/ie/en-...
https://community.spiceworks.com/topic/250034-hype...

Har du forsøgt at deaktivere eventuel Firewall og antivirus?

Jeg bruger VMWare og ikke Hyper-V, og jeg har ingen opdateret erfaring med Hyper-V, men du kan jo forsøge med VMWare Workstation, for at se om det fungerer bedre.


peque
Antal: 852
Tilmeldt:
20-04-2005
User is offline
Huh - ja det er en

Huh - ja det er en mulighed.
Jeg har i første omgang nu vlagt at forwarde nogle TCP porte således jeg kan komme ind til den anden windows Maskine.
Men nej har ikke den gyldne løsning ellers