Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: romans on November 09, 2012, 08:55:32 am
-
решил разобраться с zentyal 3, импонирует простота настройки. собственно интересует VPN, pptp осилил, решил покорить OPENVPN, наконец понял откуда сертификаты берутся....
настроил, настроил впн, в итоге работает, но не понимаю как пустить трафик из сети впн клиента в мою локальную сеть
сервер zentyal внешний ip 192.168.1.104, шлюз 1.1, dhcp
внутренний (eth1) 10.1.1.83, впн 192.168.160.1
пинг и соответсвенно все, идет до сервера от впн клиента на 192.168.160.0/24, на 192.168.1.0/24, а из сети адресов 10.1.1.0 только на 10.1.1.83, а хочется и на 10.1.1.5 и на 10.1.1.17......
в админке прописать статический маршрут сеть 10.1.1.0/32 и шлюз 192.168.160.1 не получается - маршрут не достижим
подскажите что сделать?
-
Вопрос не раз обсуждался. Для начала добавить сеть 10.1.1.0/24 в Advertised networks. Затем прописать правило в Filtering rules from external networks to internal networks, разрешающее сети 192.168.160.0/24 ходить в сеть 10.1.1.0/24, так как VPN сеть для Zentyal считается внешней.
-
спасибо за помощь.... сеть 10.1.1.0 сидит в свойствах впн сервера - openVPN-eth1-10.1.1.0-24
что прописать в файрволле? есть вроде предопределенные параметры но они кракозябрами написаны...
прописал в Filtering rules from external networks to internal networks 2 правила:
1 10.1.1.0/32 192.168.160.0/24 all 1-10000(порты)
2 10.1.1.0/32 192.168.160.0/24 all 1-10000
но ни пинга ни доступа
попробовал открыть фтп, но тоже эффекта нет 192.168.160.0/32 10.1.1.0/32 FTP --
-
10.1.1.0/32 - 32разрядный префикс указывает на единичную машину в сети, для указания сети класса С необходимо указывать 24разрядный префикс. То бишь, 10.1.1.0/24
-
во-общем сделал правфила фильтрации
192.168.160.0/24 Any 1x -- (порты с 1 по 10000)
192.168.160.0/24 Any FTP --
192.168.160.0/24 Any ÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂñÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂþÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂÃÂù
при попытке создать правило any-any мне сообщили что есть предопределенное правило АААААААААААААААА1 (примерно), его и добавил, думаю правило где много АААААА примерно соответсвует портам 1 -10000, в нужном мне диапазоне
дополнительно добавил 21 порт, для теста
сохранился - пинга во внутреннюю сеть нет, перезагрузился пинга во внутреннюю сеть нет
может еще что распотрошить?
-
Ну тут извини. У меня нет такого словаря, который перевел бы это... А если без шуток, то желательно Zentyal ставить с английской локализацией, а уж потом выбирать русский язык, если таковой необходим
-
пойду дисковод присоединять....
-
переустановил на английский, настроил впн, клиенты подключаются, во внутреннюю сеть доступа нет (10.1.1.0, кроме своего Ip), во внешнюю (192.168.1.0) тоже нет, а был до переустановки
теперь в Advertised networks не было сети автоматически, я добавил 10.1.1.0
сеть eth0 по dhcp 10.1.1.83
eth1 stat 192.168.1.104
правила файрвола такие:
ACCEPT 10.1.1.0/24 Any Any все на 160
ACCEPT 192.168.160.0/24 Any Any все на 10
теперь все пишутся буквы корректно
маршрутизация на клиенте
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.103 20
10.1.1.0 255.255.255.0 192.168.160.1 192.168.160.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.2.0 255.255.255.0 192.168.2.103 192.168.2.103 20
192.168.2.103 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.2.255 255.255.255.255 192.168.2.103 192.168.2.103 20
192.168.160.0 255.255.255.0 192.168.160.2 192.168.160.2 30
192.168.160.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.160.255 255.255.255.255 192.168.160.2 192.168.160.2 30
224.0.0.0 240.0.0.0 192.168.2.103 192.168.2.103 20
224.0.0.0 240.0.0.0 192.168.160.2 192.168.160.2 30
255.255.255.255 255.255.255.255 192.168.2.103 192.168.2.103 1
255.255.255.255 255.255.255.255 192.168.160.2 192.168.160.2 1
Основной шлюз: 192.168.2.1
во внутр сеть доступа нет, добавил в Advertised networks сеть 192.168.1.0/24, появился доступ в сеть , например на 192.168.1.100
потом проверил действия правил файрвола, собственно cменил на DENY сначала 10.1.1.0/24 - пинг как шел та и шел, потом запретил 192.168.160.0/24, эффекта есть - кончился пинг на сеть 192.168.1.0
вывод файрвол в сет 10.1.1.0 не рулит
а рулит добавление сети в Advertised networks, если не добавлять сеть 10.1.1.0, то не пингуется адрес 10.1.1.83(зентиал)
почему не идет трафик во внутреннюю сеть дальше?
опять я потерялся в направлении что делать....
-
Нарисуйте схему сети, с указанием какие интерфейсы внешние, какие внутренние... тут я уже запутался...
-
вот схема со стороны сервера Zentyal
-
Ого! Как все замудрено... Zentyal в демилитаризованной зоне у роутера?
В Advertised networks прописать сеть 10.1.1.0/24. Создать правило Filtering rules from external networks to internal networks такое как я описывал выше:
Decision: Accept
Source: 192.168.160.0/24
Destination: 10.1.1.0/24
Service: Any
Description: OpenVPN
-
добавил в файрволе такое правило 192.168.160.0/24 на 10.1.1.0/24 а до этого было 192.168.160.0/24 на any
доступа по прежнему нет.
роутер не в dmz.
-
если у клиента в сети 10.1.1.0 прописать шлюзом адрес зентиала 10.1.1.83 то весь трафик отлично бегает
получается на зентиале нужно добавить статический маршрут?
-
Если нужно из сети подключаться к клиенту OpenVPN, то маршрут нужен. От клиента в сеть доступ-то есть?
-
mravil подсказал с маршрутизацией. в моем случае, zentyal не шлюз, и мне нужно добавлять в ручную маршруты. мне
требовалось добавить маршруты на шлюзе route add -p 192.168.2.0 mask 255.255.255.0 10.1.1.83, на своем компе route add -p 192.168.2.0 mask 255.255.255.0 10.1.1.83 и route add -p 192.168.160.0 mask 255.255.255.0 10.1.1.83 для доступа к сети впн клиента
-
Может кто-то подскажет как настроить маршрут на Windows Server 2008 (ip 192.168.1.1), который установлен дефолтным шлюзом на рабочих станциях, таким образом чтобы все запросы на соединение с сетью VPN (192.168.160.0/24) перенаправлялись к Zentyal (192.168.1.100)