OpenWRT Router als OpenVPN Client - iptables routing/masquerading Problem

08/01/2008 - 01:08 von sh | Report spam
Hallo,

habe dasselbe Problem wie unter
http://groups.google.de/group/at.li...b61be03686

Ich will meinen Netzwerkrouter - eine WRTG54GS - auf dem OpenWRT làuft
als VPN Client verwenden, um damit
transparent eine VPN Verbindung in ein Firmennetzwerk für alle Rechner
bei mir im LAN zur Verfügung zu stellen.

<Mein Netzwerk, 192.168.2.0/24> [OpenWRT mit OpenVPN, intern
192.168.2.1] <- INTERNET -> [openSuSE 10.x, OpenVPN Server] -
Firmennetzwerk 192.168.1.0/24>

VPN làuft über das device tap0 und als Transfernetz wird 10.0.0.0/24
verwendet.


Ich kann von einem PC im Subnet 192.168.2.0/24 weder den OpenVPN
Server
noch das Subnet dahinter (192.168.1.0/24) erreichen. Anmerkung: Der
WRT
dient u.a. auch als Firewall/NAT Router fuer das 192.168.2.0 / 24
Subnet.

Die OpenVPN Verbindung ist korrekt aufgebaut und ich kann vom WRT
(VPNClient)
den OpenVPN Server sowie beide Subnetze dahinter pingen:

/etc $ ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttld timeh.3 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttld timep.4 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttld timeh.7 ms

/etc $ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl%3 timer.6 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl%3 timep.0 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl%3 timei.4 ms


Die Route dem WRT sieht gut aus:
/etc $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref
Use Iface
xxx.xxx.190.44 0.0.0.0 255.255.255.255 UH 0 0
0 ppp0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0
0 tap0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0
0 br0
192.168.1.0 10.0.0.1 255.255.255.0 UG 0 0
0 tap0
0.0.0.0 xxx.xxx.190.44 0.0.0.0 UG 0 0
0 ppp0

Ich kann vom VPNServer auch den Client anpingen:
xxx@vpnserver:~> ping 10.0.0.3
PING 10.0.0.3 (10.0.0.3) 56(84) bytes of data.
64 bytes from 10.0.0.3: icmp_seq=1 ttld times.9 ms


Wie im refernzierten Beitrag vorgeschlagen habe ich bereits die
Eintràge für die FORWARD Chain gemacht:

iptables -A forwarding_rule -i tap+ -o br0 -j ACCEPT
iptables -A forwarding_rule -i br0 -o tap+ -j ACCEPT
iptables -A input_rule -i tap+ -j ACCEPT
iptables -A output_rule -o tap+ -j ACCEPT


Ausgabe meiner iptables...
/etc $ iptables -vnL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all -- * * 0.0.0.0/0
0.0.0.0/0 state INVALID
2188 138K ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
1 40 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp option=!2 flags:0x02/0x02
81 8933 input_rule all -- * * 0.0.0.0/0
0.0.0.0/0
31 2560 input_wan all -- ppp0 * 0.0.0.0/0
0.0.0.0/0
44 4481 LAN_ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0
0.0.0.0/0
0 0 ACCEPT 47 -- * * 0.0.0.0/0
0.0.0.0/0
27 1328 REJECT tcp -- * * 0.0.0.0/0
0.0.0.0/0 reject-with tcp-reset
4 1232 REJECT all -- * * 0.0.0.0/0
0.0.0.0/0 reject-with icmp-port-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all -- * * 0.0.0.0/0
0.0.0.0/0 state INVALID
476 22608 TCPMSS tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
335K 164M ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
624 34480 forwarding_rule all -- * *
0.0.0.0/0 0.0.0.0/0
0 0 forwarding_wan all -- ppp0 *
0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 br0 0.0.0.0/0
0.0.0.0/0
244 11680 ACCEPT all -- br0 ppp0 0.0.0.0/0
0.0.0.0/0

Chain LAN_ACCEPT (1 references)
pkts bytes target prot opt in out source
destination
31 2560 RETURN all -- ppp0 * 0.0.0.0/0
0.0.0.0/0
0 0 RETURN all -- vlan1 * 0.0.0.0/0
0.0.0.0/0
13 1921 ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all -- * * 0.0.0.0/0
0.0.0.0/0 state INVALID
2119 749K ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
132 11008 output_rule all -- * * 0.0.0.0/0
0.0.0.0/0
7 508 ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0
0.0.0.0/0 reject-with tcp-reset
0 0 REJECT all -- * * 0.0.0.0/0
0.0.0.0/0 reject-with icmp-port-unreachable

Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT all -- tap+ br0 0.0.0.0/0
0.0.0.0/0
380 22800 ACCEPT all -- br0 tap+ 0.0.0.0/0
0.0.0.0/0

Chain forwarding_wan (1 references)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0
192.168.2.2 tcp dpt:4662
0 0 ACCEPT udp -- * * 0.0.0.0/0
192.168.2.2 udp dpt:4672

Chain input_rule (1 references)
pkts bytes target prot opt in out source
destination
37 4452 ACCEPT all -- tap+ * 0.0.0.0/0
0.0.0.0/0

Chain input_wan (1 references)
pkts bytes target prot opt in out source
destination

Chain output_rule (1 references)
pkts bytes target prot opt in out source
destination
125 10500 ACCEPT all -- * tap+ 0.0.0.0/0
0.0.0.0/0


Suche mir schon seit einigen Stunden die Finger wund und bin auch
nicht wirklich kein iptables Kenner ;-) ...
Hat irgendjemand eine Idee?
 

Lesen sie die antworten

#1 Wolfgang Karall
08/01/2008 - 07:56 | Warnen spam
On 2008-01-08 00:08:02, sh wrote:
Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT all -- tap+ br0 0.0.0.0/0
0.0.0.0/0
380 22800 ACCEPT all -- br0 tap+ 0.0.0.0/0
0.0.0.0/0



Weiss der VPN-Server um dein 192.168.1.0er Netz, sprich wie sieht dort
die Routing-Tabelle aus? (weil das sieht nach "Antwort gehen ueber
Default Gateway des Servers ins Nirvana" aus)

lg
WK
______________________________________________________________________
Wolfgang Karall mailto: GPG: 0x172CC057
GPGKey fingerprint: F11F 50F8 96B7 C8B5 6D25 AEDE BA1C 0955 172C C057
- Student of Computer Science at the Vienna University of Technology -

Ähnliche fragen