[Tech] Configurazione OpenVPN

Artini Alessio AArtini@comune.pontassieve.fi.it
Ven 22 Set 2006 09:40:01 CEST


Ciao a tutti,
   sto cercando di mettere in piedi una VPN tra un server con ip pubblico
ed uno o più pc (connessi ad internet tramite ADSL).
Ho il seguente problema:
La connessione ed autenticazione tra client e server sembra riuscire
correttamente ma dal client se lancio un ping verso indirizzi della mia rete
sembra che non riesca a raggiungere la rete LAN.
Questa è una breve descrizione della rete e dei file di configurazione:
Il server ha doppia interfaccia, una con ip pubblico l'altra con ip privato
(192.168.1.23).
La mia rete LAN è 192.168.1.0, e vorrei che da 192.168.1.2 a 192.168.1.6
fossero eventuali
client connessi tramite VPN.
Tale server funziona come proxy/gateway/firwall per la rete LAN.
Il file di configurazione per la VPN del server è:

server-bridge 192.168.1.1 255.255.255.0 192.168.1.2 192.168.1.6
mode server
push "dhcp-option WINS 192.168.1.27"
push "dhcp-option DNS 192.168.1.27"
client-to-client
cipher DES-EDE3-CBC
local XXX.YYY.ZZZ.TTT (IP PUBBLICO)
max-clients 5
dev tap0
tls-server
dh keys/dh2048.pem
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
port 5000
comp-lzo
verb 4
fragment 4
persist-key
persist-tun
#log-append /var/log/openvpn.log
log /var/log/openvpn.log
ping 10
ping-restart 120
status /var/log/openvpn-status.log


Dal server con ifconfig:
...
tap0      Link encap:Ethernet  HWaddr 00:FF:5F:1A:CB:4B
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1273 errors:0 dropped:0 overruns:0 frame:0
          TX packets:42 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:94702 (92.4 KiB)  TX bytes:1764 (1.7 KiB)
...


Sempre dal server netstat -r:
XXX.YYY.ZZZ.TTT *               255.255.255.240 U         0 0          0
eth0
192.168.1.0     *               255.255.255.0   U         0 0          0
eth1
192.168.1.0     *               255.255.255.0   U         0 0          0
tap0
default         mx-pool215-hdsl 0.0.0.0         UG        0 0          0
eth0

Sul server parte della configurazione di iptable:
iptables -A INPUT -p udp -d XXX.YYY.ZZZ.TTT --dport 5000 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT


Mentre la configurazione del client è:

client
remote XXX.YYY.ZZZ.TTT (IP PUBBLICO) 
dev tap
cipher DES-EDE3-CBC
nobind
port 5000
ns-cert-type server
tls-client
cert c:\\programmi\\openvpn\\config\\client.crt
key c:\\programmi\\openvpn\\config\\client.key
ca c:\\programmi\\openvpn\\config\\ca.crt
explicit-exit-notify 2
ping 10
ping-restart 60
ping-timer-rem
verb 4
persist-tun
comp-lzo
fragment 4
#log-append c:\\programmi\\openvpn\\log\\openvpn.log

Questo è un estratto del file di log del client da cui tento la
Connessione:


... us=7836 Notified TAP-Win32 driver to set a DHCP IP/netmask of
192.168.1.2/255.255.255.0 on interface
{B5F08607-B4B4-497D-A188-4C936004C2C7} [DHCP-serv: 192.168.1.0, lease-time:
31536000]
... us=7888 DHCP option string: 0604c0a8 011b2c04 c0a8011b
... us=11649 Successful ARP Flush on interface [2]
{B5F08607-B4B4-497D-A188-4C936004C2C7}
... us=81290 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
... us=81329 Route: Waiting for TUN/TAP interface to come up...
... us=274103 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
... us=274142 Route: Waiting for TUN/TAP interface to come up...
... us=463693 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
... us=463732 Route: Waiting for TUN/TAP interface to come up...
... us=653001 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
... us=653039 Route: Waiting for TUN/TAP interface to come up...
... us=791728 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
... us=791768 Route: Waiting for TUN/TAP interface to come up...
... us=643585 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
... us=643633 route ADD 192.168.0.0 MASK 255.255.0.0 192.168.1.1
... us=648178 Route addition via IPAPI succeeded
... us=648220 Initialization Sequence Completed

Ci sto diventato pazzo!!!!
Avete qualche indicazione da darmi?


Grazie



Maggiori informazioni sulla lista flug-tech