Nhờ Thầy Dũng, Thầy Huỳnh và các bạn giúp vấn đề OpenVPN

duongtulang00

Chào Thầy Dũng, Thầy Huỳnh, các anh chị cùng các bạn.
Mình setup xong 1 firewall (shorewall + squid + Openvpn) start thì ok.
VPN client kết nối VPN server thành công nhưng không ping được IP trong mạng Lan.
Nhưng theo file log trên windows thì:

route ADD 192.168.0.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 route ADD 172.16.10.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 route ADD 10.0.10.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 Initialization Sequence Completed

Như thế thì route add thành công trên cả 3 lớp mạng:
192.168.0.0/24 loc
172.16.10.0/24 net
10.0.10.0/24 vpn

Khi kết nối thành công thì ping 172.16.0.250/24 (FW) thành công nhưng ping vào 192.168.0.4 (DC) thì không thành công.

Nhờ Thầy và các bạn hướng dẫn giúp đỡ.
Xin chân thành cám ơn.

**root** · 18-07-2011, 14:18 18-07-2011

Chao Em,

vao Shorewall mo file rules cho phep no ping duoc den dau Em ah

duongtulang00 · 19-07-2011, 10:19 19-07-2011

File rules của em:

ACCEPT all all icmp echo-request
#ACCEPT net all icmp echo-request
#ACCEPT loc net icmp echo-request
#ACCEPT loc fw icmp echo-request

#ACCEPT fw net all -
#ACCEPT fw loc all -
#ACCEPT loc net all -
ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 53,22,25,80,110,443,902,8080
ACCEPT loc fw udp 53
ACCEPT loc net tcp -
REDIRECT loc 3128 tcp www -
DNAT net loc:192.168.0.4:3389 tcp 4444

####################
Nhờ thầy giúp đỡ giúp em. Cám ơn thầy nhiều

**root** · 19-07-2011, 12:19 19-07-2011

hi Em,

Em add them 1 Zone VPN nua Em a, tren Shorewall no co 1 Interface nua do roi tao quyen y chang la duoc Em

duongtulang00 · 20-07-2011, 12:20 20-07-2011

Trích:

Nguyên văn bởi root

hi Em,

Em add them 1 Zone VPN nua Em a, tren Shorewall no co 1 Interface nua do roi tao quyen y chang la duoc Em

Dạ em có tạo rồi Thầy ơi nhưng mà không được.

File Zones:
fw firewall
net ipv4
loc ipv4
vpn ipv4

File interfaces:
net eth1 detect -
loc eth0 detect -
vpn tun+ detect -

File policy
net net DROP
fw all ACCEPT
loc vpn ACCEPT
vpn loc ACCEPT
fw vpn ACCEPT
vpn fw ACCEPT
net all DROP info
all all REJECT info

File Rules
ACCEPT all all icmp echo-request
#ACCEPT net all icmp echo-request
#ACCEPT loc net icmp echo-request
#ACCEPT loc fw icmp echo-request

#ACCEPT fw net all -
#ACCEPT fw loc all -
#ACCEPT loc net all -
ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 53,22,25,80,110,443,902,8080
ACCEPT loc fw udp 53
ACCEPT loc net tcp -
ACCEPT vpn loc tcp -
REDIRECT loc 3128 tcp www -
DNAT net loc:192.168.0.4 tcp 4444

File tunnels
openvpn:tcp:1194 net 0.0.0.0/0

Em cấu hình như thế có đúng không thầy? Em kết nối VPN thành công ping IP ngoài của FW ok nhưng ping IP trong thì không được.
Nhờ Thầy giúp em với.

LM · 26-07-2011, 12:26 26-07-2011

OpenVPN chạy theo kiểu nào? Route hay Bridge ?

duongtulang00 · 27-07-2011, 13:27 27-07-2011

Trích:

Nguyên văn bởi LM

OpenVPN chạy theo kiểu nào? Route hay Bridge ?

Em chưa hiểu về vấn đề này lắm. Xin thầy giúp đỡ?

File server.conf
port 1194
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/tekcom.crt
key /etc/openvpn/keys/tekcom.key
dh /etc/openvpn/keys/dh1024.pem
server 10.0.10.0 255.255.255.0
client-config-dir ccd
push "dhcp-option DNS 192.168.0.4"
push "dhcp-option DNS 192.168.0.3"
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "route 172.16.10.0 255.255.255.0"
client-to-client
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
keepalive 10 120
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3

Nhờ thầy chỉ giúp em. Xin cám ơn thầy nhiều

duongtulang00 · 08-08-2011, 10:8 08-08-2011

Sao không ai giúp em hết vậy? huhuhuhu

**TQuang1989** · 08-08-2011, 10:8 08-08-2011

vào /etc/sysctl.conf chỉnh ip_forward=1
vào /etc/shorewall/rules cấu hình cho vpn ping tới đc local
Ping/ACCEPT vpn loc

duongtulang00 · 13-08-2011, 09:13 13-08-2011

Mô hình em làm như sau:

Em đã giải quyết được vấn đề trên rồi. Nhưng có vấ đề phát sinh là:

VPN ping loc thành công.
VPN remote desktop thành công.
nhưng \\192.168.0.4 thì không được.

Các file config shorewall của em:

rules:

ACCEPT all all icmp echo-request

ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 22,25,80,110,139,389,443,445,901,8080
ACCEPT loc fw udp 53,137,138
ACCEPT loc net tcp -
ACCEPT loc net udp -
#ACCEPT vpn loc tcp -
#ACCEPT vpn loc udp -
ACCEPT loc vpn udp 135,445
ACCEPT loc vpn udp 137:139
ACCEPT loc vpn udp 1024: 137
ACCEPT loc vpn tcp 135,139,445
ACCEPT vpn loc udp 135,445
ACCEPT vpn loc udp 137:139
ACCEPT vpn loc udp 1024: 137
ACCEPT vpn loc tcp 135,139,445
REDIRECT loc 3128 tcp www -

Policy

fw all ACCEPT
loc vpn ACCEPT
vpn loc ACCEPT
net all DROP $LOG
all all REJECT info

Nhờ các các thầy và các anh chị hỗ trợ giúp em