Sziasztok!
Ha már így feléledt a lista, akkor bedobnék egy problémát, amivel most küzdök.
Adott egy teljesen jól működő OpenVPN szerver Leap 15.5-ön. (IP: 192.168.5.3)
Alapból a hozzá csatlakozó felhasználók (ez csak én vagyok jelenleg) látják a teljes hálózatot.
Ehhez engedélyeztem az ip továbbítást és az openvpn szerver konfig vonatkozó része így néz ki:
server 10.8.5.0 255.255.255.0
ifconfig-pool-persist /var/run/openvpn/ipp.txt
push "route 192.168.5.0 255.255.255.0"
Felvettem egy tűzfal szabályt:
ipv4 -t nat -A POSTROUTING -s 10.8.5.0/24 -o eth0 -j MASQUERADE
Mint írtam, a vpn így teljesen jól működik.
Viszont felmerült az igény, hogy külső felhasználók hozzáférjenek a belső hálózaton futó samba fájlszerveren (IP: 192.168.5.5) megosztott mappákhoz.
Ezt én úgy gondoltam megoldani, hogy beállítok egyedi felhasználói hozzáférést az OpenVP szerveren és onnan csak a samba irányába engedem tovább az adott felhasználókat.
Ehhez felvettem az opnvpn szerver konfigba egy új virtuális IP tartományt és megadtam a felhasználói konfig fájlok helyét:
route 10.8.55.0 255.255.255.0
client-config-dir kulso
A kulso mappában létrehoztam egy konfig fájlt a felhasználónak az alábbi tartalommal:
ifconfig-push 10.8.55.1 10.8.55.2
iroute 10.8.55.0 255.255.255.0
Majd hozzáadtam egy tűzfalszabályt:
ipv4 filter FORWARD 0 -i tun0 -s 10.8.55.0/24 -d 192.168.5.5 -j ACCEPT
A felhasználó és az openvpn szerver között hibátlanul létrejön a kapcsolat, a felhasználó gépe megkapja a 10.8.55.1 ip címet.
Ennek ellenére a felhasználó nem éri el a fájlszervert (192.168.5.5)
A tűzfal logban nem látszik, hogy a tun0 csatolón megjelenne eldobott forgalom.
Íme a szerver routing táblája:
# ip -4 route show
default via 192.168.5.254 dev eth0
10.8.5.0/24 via 10.8.5.2 dev tun0
10.8.5.2 dev tun0 proto kernel scope link src 10.8.5.1
10.8.55.0/24 via 10.8.5.2 dev tun0
192.168.5.0/24 dev eth0 proto kernel scope link src 192.168.5.3
Teljesen tanácstalan vagyok, hogy vajon mit szúrtam el vagy néztem be?
Minden ötletet szívesen fogadok.
Köszi:
--
.~.
/V\
/( )\ Zsiráf
^^ ^^