[lk] VPN kétirányú kapcsolat
HTA
Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső hálózatból
visszafelé is elérjek.
A felépítés valami ilyesmi:
196.168.0.66: Otthoni gép
10.8.0.31: Otthoni gép VPN címe
192.168.0.1: Otthoni router
90.80.70.60: Otthoni külső IP
.
. Internet
.
80.90.100.200: Céges külső IP
10.8.0.1: Céges túzfal/VPN server
Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
10.8.0.2: Céges belső server (DHCP is)
Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
route:
0.0.0.0 10.8.0.1 0.0.0.0 UG 0
0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0
0 0 eth0
10.8.0.144: Céges gép a belső hálózaton
Kérdés:
Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
otthoni gépre rálátni?
Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de visszafelé
semmilyen válasz nem érkezik (ping).
Megpróbáltam úgy is, hogy az otthoni hálózat helyett mobillal
kapcsolódtam be VPN-el (ezzel kiküszöbölve a router-t), de úgy sem
működik :(
--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus
_______________________________________________________
linux-kezdo lista - linux...@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux-kezdo
Kiss Gabor
On 1/27/21 6:05 PM, HTA wrote:
> Sziasztok!
>
> Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső hálózatból
> visszafelé is elérjek.
> A felépítés valami ilyesmi:
>
> 196.168.0.66: Otthoni gép
> 10.8.0.31: Otthoni gép VPN címe
> 192.168.0.1: Otthoni router
> 90.80.70.60: Otthoni külső IP
> .
> . Internet
> .
> 80.90.100.200: Céges külső IP
> 10.8.0.1: Céges túzfal/VPN server
> Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
> 10.8.0.2: Céges belső server (DHCP is)
> Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
> route:
> 0.0.0.0 10.8.0.1 0.0.0.0 UG 0
> 0 0 eth0
> 10.8.0.0 0.0.0.0 255.255.255.0 U 0
> 0 0 eth0
> 10.8.0.144: Céges gép a belső hálózaton
>
(Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
lenne a prefix hossza is. Egy esetben tudjuk, a belső szervernél:
10.8.0.2/24.
Tegyük fel, hogy egységesen /16 mindenhol!)
> Kérdés:
> Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
> otthoni gépre rálátni?
> Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de visszafelé
> semmilyen válasz nem érkezik (ping).
Mit jelent az, hogy "jól működik befelé"?
Konkrétan milyen hálózati aktivitást tudsz végezni? Honnan, hova?
Hogy válaszoljak is valamit, ne csak kérdezzek...
A 10.8.0.2 azt hiszi a 10.8.0.31 címről, hogy
egyazon hálózaton van vele, ezért amikor hozzád akar küldeni valamit,
először ARP-vel ki akarja találni a 10.8.0.31 MAC címét.
Ehhez az kell, hogy a router proxy ARP-t végezzen, azaz hazudja azt,
hogy az övé a 10.8.0.31 cím.
Ezt kellene legelébb is ellenőrizned.
A 10.8.0.2-n indíts egy pinget a 10.8.0.31-re, és közben nézd meg az
ARP táblát. ("arp -n")
Akkor vagyunk jók, ha a 10.8.0.31-hez ugyanaz a MAC address tartozik,
mint a 10.8.0.1-hez.
Ennek függvényében lépünk tovább a hibakeresésben. Pl. ha nincs
proxy ARP, akkor be kell írni egy statikus entry-t a 10.8.0.2 routing
táblájába.
Csak este leszek újra on-line, ne türelmetlenkedj! addig gondoskodj
róla, hogy mindenhol legyen tcpdump program! :)
Egy tanács: a VPN klienseknek én egy szebb címtartományt osztanék, ami
leírható egyetlen routing bejegyzéssel. Ezt most nem tudom egyszerűen
elmagyarázni, de mondok egy példát:
10.8.0.32 - 10.8.0.63 (azaz 10.8.0.32/27)
Egyébként miért spóroltok ennyire a prefix-szel? A 10.0.0.0/8-ból
miért csak egy picinyke /24-t használtok.
kissg
Kiss Gabor
On 1/28/21 6:23 AM, Kiss Gabor wrote:
>> 10.8.0.0 0.0.0.0 255.255.255.0 U 0
>> 0 0 eth0
>> 10.8.0.144: Céges gép a belső hálózaton
>>
>
> (Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
> lenne a prefix hossza is. Egy esetben tudjuk, a belső szervernél:
> 10.8.0.2/24.
> Tegyük fel, hogy egységesen /16 mindenhol!)
Mármint /24 mindenhol. :)
HTA
Azért emeltem ki külön a "Tűzfal/VPN" server-t, mert az nem általam van
kezelve, hanem az irodaház általános tűzfala.
A nekünk kiosztott tartomány a 10.8.0.0/24, és a VPN kliensek is ezt
kapják (illetve egy másik is él, ami 10.8.0.254.0/24, de azt még nem
próbáltam ki).
A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
Egyébként a válaszom a tartomány maszkra az, hogy mindenhol "/24" értendő.
Kiss Gabor
On 1/28/21 6:01 PM, HTA wrote:
> A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
> server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
> Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
> hogy működjön a lenti igényem?
Erre a kérdésre majd akkor tudok válaszolni, ha elvégezted a mérést,
amit kértem.
kissg
--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing in e-mail?
HTA
kezelve, hanem az irodaház általános tűzfala.
A nekünk kiosztott tartomány a 10.8.0.0/24, és a VPN kliensek is ezt
kapják (illetve egy másik is él, ami 10.8.0.254.0/24, de azt még nem
próbáltam ki).
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
U.i.: Bocsi, de az előbb rossz címre ment :(
2021. 01. 28. 6:23 keltezéssel, Kiss Gabor írta:
>
--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus
_______________________________________________________