| Autor |
Sõnum |
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Tekkis probleem OpenVPN VPN to VPN tunneli tööle panekuga
Siin on võrgu kaart: http://spottraining.org/wp-content/uploads/2012/04/oniartallinnprob.png
Kontor 1 asuvad Client 1-1, 1-2, PDC, failiserver ja Gateway 1. (IP: 192.168.0.0/24)
Kontor 2 - asuvad Client 2-1, 2-2 ja Gateway 2 (kohalik IP 192.168.5.0/24)
Gateway 1 ja Gateway 2 vahele panin püsti VPN to VPN tunneli: http://doc.zentyal.org/en/vpn.html#configuration-of-a-vpn-server-for-interconnecting-networks
Probleem - Kontor 2 kliendid ei pääse ligi failiserveri kataloogidele (IP: 192.168.0.7).
Kontor 2 kliendid saavad pingida kõiki kliente 192.168.0.0/24, nad saavad ligi siseveebi lehtedele (k.a intranet 192.168.0.7 serveris, 192.168.0.45 printeri veebiliidesele),nad pääsevad ligi Gateway 1 https ja http lehele, kuid nad ei saa ligi samba jagatud kataloogidele 192.168.0.7 serveris ja samuti nad ei saa ligi https://192.168.0.7 lehele.
Otse Gateway 2 käsurealt (smbclient) - saan ilusti ligi 192.168.0.7 samba kataloogidele.
Kuid mitte client 2-1 või 2-2 arvutist
Nemad saavad veateate:
http://spottraining.org/wp-content/uploads/2012/04/onnet.png
Isegi, kui nad üritavad ühenduda IP-ga.
Linux klientide puhul on aga veateade:
Error NT_STATUS_UNSUCCESSFUL
Gateway 1-s töötab samas ka teine OpenVPN server läptoppide jaoks (Client 3-1) - nendel pole mingit probleemi. Nemad saavad ilusti ligi 192.168.0.7 serveri jagatud ressurssidele ja ka kõigele muule, kui oma OpenVPN kliendi tööle panevad.
Getaway 1 ja Getaway 2 - mõlemal on ka paigaldatud tulemüür.
Gateway 1 - 192.168.161.0/24, 192.168.160.0/24, 192.168.5.0/24 IP-d välisvõrkudest - kogu ühendus on lubatud.
Samuti Getaway 2 - 192.168.0.0/24 - sellelt IP vahemikult kogu liiklus välisvõrgust on lubatud.
Ehk minu küsimus - miks ma ei saa kontor 2 klientidest ligi kontor 1 failiserverile?
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
Viimati muutis spott 13.04.2012, 16:22; muudetud 1 kord
|
|
|
   |
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
kui ping läbi läheb siis korjab kusagil tulemüür asja ära..
telneti smb porti vaata mis sealt vastatakse.
kas smb.confis on lubatud ka teised subnetid?
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
eile õtul käisin ka samba confi ja logi läbi. Confis pole piiratud, mis subnetid ligi pääsevad. Kuid logist leidsin huvitava asja:
[2012/04/09 14:50:16, 0] libsmb/nmblib.c:send_udp(793)
Packet send failed to 192.168.5.25(137) ERRNO=Network is unreachable
[2012/04/09 14:50:16, 0] nmbd/nmbd_packets.c:reply_netbios_packet(992)
reply_netbios_packet: send_packet to IP 192.168.5.25 port 137 failed
IP 192.168.5.25 on siis Client 2-1
Ehk - Gateway 1-s on kuidagi vaja määrata 192.168.5.0/24 võrgu andmed, et sealt kaudu ka side tagasi jõuaks.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
kui õieti mäletan siis by default samba bindib ennast ühte võrku
teiseks paistab olevat ka ruutingu probleem...
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
ei ole - host allow rida pole üldse samba confis sees
Tegu on ruutimis probleemiga.
Nimelt 192.168.0.7 serveri logidest leidsin järgnevad read:
[2012/04/09 14:50:16, 0] libsmb/nmblib.c:send_udp(793)
Packet send failed to 192.168.5.25(137) ERRNO=Network is unreachable
[2012/04/09 14:50:16, 0] nmbd/nmbd_packets.c:reply_netbios_packet(992)
reply_netbios_packet: send_packet to IP 192.168.5.25 port 137 failed
192.168.5.25 on Client 2-1
Täna proovisin siis ka 192.168.0.7 masinast pingida 192.168.5.0/24 masinaid - ja see ei töödanud.
Vaatasin logidest järgi - tavaVPN kliendid - nende puhul ka samba logides on ühendust võtvaks masinaks 192.168.0.1 ehk Cateway 1
Vaatasin Gateway 1 tulemüüri reeglid ja seal on NAT postrouting -o eth1 --source 192.168.161.0/24 MASQUERADE rida olemas.
Seega kõik need IP-lt tulevad teisendatakse Gateway 1 sisevõrgu liidese aadressile.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
hakkan homme katsetama.
Jama on selles, et Gateway1 ssh pordi muutmisega ei saa nüüd kuskilt ssh-ga ligi :/
Sõidan homme kohale ja ajan ssh uuesti tööle - siis saan igalt poolt mujalt ka ligi ja katsetada.
EDIT:
Viga oli 192.168.0.7 failiserveri ruutimistabelis. Kui sinna lisasin 192.168.5.0/24 võrgu andmed, siis hakkas kõik tööle.
Kõikjal mujal 192.168.0.0/24 võrgus oli kõik korras ja sai igalt poolt 192.168.5.0/24 võrgule ligi.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
|
|
