[lk] VPN kétirányú kapcsolat

1 view
Skip to first unread message

HTA

unread,
Jan 27, 2021, 11:45:51 PMJan 27
to
Sziasztok!

Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső hálózatból
visszafelé is elérjek.
A felépítés valami ilyesmi:

196.168.0.66: Otthoni gép
    10.8.0.31: Otthoni gép VPN címe
192.168.0.1: Otthoni router
90.80.70.60: Otthoni külső IP
.
. Internet
.
80.90.100.200: Céges külső IP
10.8.0.1: Céges túzfal/VPN server
    Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
10.8.0.2: Céges belső server (DHCP is)
    Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
    route:
        0.0.0.0         10.8.0.1        0.0.0.0         UG    0
0        0 eth0
        10.8.0.0        0.0.0.0         255.255.255.0   U     0
0        0 eth0
10.8.0.144: Céges gép a belső hálózaton

Kérdés:
Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
otthoni gépre rálátni?
Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de visszafelé
semmilyen válasz nem érkezik (ping).

Megpróbáltam úgy is, hogy az otthoni hálózat helyett mobillal
kapcsolódtam be VPN-el (ezzel kiküszöbölve a router-t), de úgy sem
működik :(

--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus

_______________________________________________________
linux-kezdo lista - linux...@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux-kezdo

Kiss Gabor

unread,
Jan 28, 2021, 12:24:14 AMJan 28
to

On 1/27/21 6:05 PM, HTA wrote:
> Sziasztok!
>
> Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső hálózatból
> visszafelé is elérjek.
> A felépítés valami ilyesmi:
>
> 196.168.0.66: Otthoni gép
>     10.8.0.31: Otthoni gép VPN címe
> 192.168.0.1: Otthoni router
> 90.80.70.60: Otthoni külső IP
> .
> . Internet
> .
> 80.90.100.200: Céges külső IP
> 10.8.0.1: Céges túzfal/VPN server
>     Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
> 10.8.0.2: Céges belső server (DHCP is)
>     Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
>     route:
>         0.0.0.0         10.8.0.1        0.0.0.0         UG    0
> 0        0 eth0
>         10.8.0.0        0.0.0.0         255.255.255.0   U     0
> 0        0 eth0
> 10.8.0.144: Céges gép a belső hálózaton
>

(Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
lenne a prefix hossza is. Egy esetben tudjuk, a belső szervernél:
10.8.0.2/24.
Tegyük fel, hogy egységesen /16 mindenhol!)

> Kérdés:
> Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
> otthoni gépre rálátni?
> Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de visszafelé
> semmilyen válasz nem érkezik (ping).

Mit jelent az, hogy "jól működik befelé"?
Konkrétan milyen hálózati aktivitást tudsz végezni? Honnan, hova?

Hogy válaszoljak is valamit, ne csak kérdezzek...

A 10.8.0.2 azt hiszi a 10.8.0.31 címről, hogy
egyazon hálózaton van vele, ezért amikor hozzád akar küldeni valamit,
először ARP-vel ki akarja találni a 10.8.0.31 MAC címét.
Ehhez az kell, hogy a router proxy ARP-t végezzen, azaz hazudja azt,
hogy az övé a 10.8.0.31 cím.
Ezt kellene legelébb is ellenőrizned.
A 10.8.0.2-n indíts egy pinget a 10.8.0.31-re, és közben nézd meg az
ARP táblát. ("arp -n")
Akkor vagyunk jók, ha a 10.8.0.31-hez ugyanaz a MAC address tartozik,
mint a 10.8.0.1-hez.
Ennek függvényében lépünk tovább a hibakeresésben. Pl. ha nincs
proxy ARP, akkor be kell írni egy statikus entry-t a 10.8.0.2 routing
táblájába.

Csak este leszek újra on-line, ne türelmetlenkedj! addig gondoskodj
róla, hogy mindenhol legyen tcpdump program! :)

Egy tanács: a VPN klienseknek én egy szebb címtartományt osztanék, ami
leírható egyetlen routing bejegyzéssel. Ezt most nem tudom egyszerűen
elmagyarázni, de mondok egy példát:
10.8.0.32 - 10.8.0.63 (azaz 10.8.0.32/27)

Egyébként miért spóroltok ennyire a prefix-szel? A 10.0.0.0/8-ból
miért csak egy picinyke /24-t használtok.

kissg

Kiss Gabor

unread,
Jan 28, 2021, 1:02:10 AMJan 28
to

On 1/28/21 6:23 AM, Kiss Gabor wrote:

>>          10.8.0.0        0.0.0.0         255.255.255.0   U     0
>> 0        0 eth0
>> 10.8.0.144: Céges gép a belső hálózaton
>>
>
> (Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
> lenne a prefix hossza is. Egy esetben tudjuk, a belső szervernél:
> 10.8.0.2/24.
> Tegyük fel, hogy egységesen /16 mindenhol!)

Mármint /24 mindenhol. :)

HTA

unread,
Jan 28, 2021, 12:20:58 PMJan 28
to
Köszi a választ, de néhány dolog megváltoztathatalan :(
Azért emeltem ki külön a "Tűzfal/VPN" server-t, mert az nem általam van
kezelve, hanem az irodaház általános tűzfala.
A nekünk kiosztott tartomány a 10.8.0.0/24, és a VPN kliensek is ezt
kapják (illetve egy másik is él, ami 10.8.0.254.0/24, de azt még nem
próbáltam ki).
A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
Egyébként a válaszom a tartomány maszkra az, hogy mindenhol "/24" értendő.

Kiss Gabor

unread,
Jan 28, 2021, 12:44:25 PMJan 28
to

On 1/28/21 6:01 PM, HTA wrote:

> A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
> server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
> Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
> hogy működjön a lenti igényem?

Erre a kérdésre majd akkor tudok válaszolni, ha elvégezted a mérést,
amit kértem.

kissg
--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing in e-mail?

HTA

unread,
Jan 28, 2021, 3:18:45 PMJan 28
to
Köszi a választ, de néhány dolog megváltoztathatalan
Azért emeltem ki külön a "Tűzfal/VPN" server-t, mert az nem általam van
kezelve, hanem az irodaház általános tűzfala.
A nekünk kiosztott tartomány a 10.8.0.0/24, és a VPN kliensek is ezt
kapják (illetve egy másik is él, ami 10.8.0.254.0/24, de azt még nem
próbáltam ki).
A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
Egyébként a válaszom a tartomány maszkra az, hogy mindenhol "/24" értendő.

U.i.: Bocsi, de az előbb rossz címre ment :(

2021. 01. 28. 6:23 keltezéssel, Kiss Gabor írta:
>

--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus

_______________________________________________________

Reply all
Reply to author
Forward
0 new messages