Intento hacer un túnel de una VPN SSL (F5, que se ejecuta en mi computadora portátil Debian == client) a través de otra (OpenVPN, que se ejecuta en un Debian Linode == server), pero pierdo todas las redes del cliente (incluidas, por ejemplo, ping) después de que se conecta el F5VPN. No estoy seguro de si esto se debe a mi configuración de OpenVPN o al firewall/iptables de mi servidor, pero sospecho de esto último. Lamentablemente, no tengo conocimientos sobre redes, por lo que agradecería cualquier ayuda que pudiera brindarme.
Necesito SSH de forma remota (fuera de la LAN física) en algunos clústeres de computación con firewall para realizar modelado ambiental (por ejemplo,este). Anteriormente podía hacer esto desde mi computadora portátil Debian usando elF5VPN ordenado por el proveedor del clúster, cuyo cliente se conoce como F5NAP(por "complemento [navegador] de acceso a la red". Sin embargo,política de acceso cambiada(en particular, para requerir un único número de IP registrado), por lo que ya no puedo hacer esto "directamente" (es decir, simplemente ejecutando el F5VPN desde mi computadora portátil). Busco adaptarme a la nueva política (y reanudar el trabajo en mi proyecto) implementando un túnel VPN desde mi cliente/portátil a través de un servidor/jumpbox Debian Linode.Detalles del diseño aquí, pero mi diseño se puede resumir a grandes rasgos con el siguiente arte ASCII:
<-MY CONTROL | AGENCY CONTROL->
| firewall
+----------+ +-----------+ | +---------------+ || +---------+
| laptop + | | linode + | | | remote-access | || | cluster |
| F5NAP + | <--> | OpenVPN | <-|-> | website + | <-||-> | node(s) |
| OpenVPN | | server + | | | F5VPN server | || | |
| client | | security | | | | || | |
+----------+ +-----------+ | +---------------+ || +---------+
(Detalles de implementación aquí. Tenga en cuenta que F5NAP== cliente F5VPN.) La buena noticia es que la siguiente secuencia funciona: Puedo
- iniciar un servidor OpenVPN en mi linode(también conocido como "el servidor")
- iniciar un cliente OpenVPN en mi computadora portátil, después de lo cualwhatismyip.commuestra el número de IP del servidor (que está registrado)
- inicie el cliente F5VPN (unFirefox con F5NAP), y a partir de ahí todavía se ve el número de IP del servidor.
- utilizando el cliente F5VPN, inicie sesión en el sitio web de acceso remoto de la agencia y abra la interfaz de usuario de control de F5VPN (por ejemplo, para iniciar/detener/cerrar sesión).
Las malas noticias (detallesaquí) es que, tan pronto como inicio F5VPN y veo el estado == Conectado en su interfaz de usuario web, mi cliente/computadora portátil pierde la red IP. Originalmente pensé que esto era solo un problema de DNS, pero ni siquiera puedo obtener pingnúmeros de IP, por ejemplo,
me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.
--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms
(El único consuelo aquí es que la falla de la red mata el túnel, lo que hace que mi cliente recupere su red... pero también su acceso al número de IP registrado).
Pensé que este problema se debía a una mala configuración de OpenVPN por mi parte, pero ahora sospecho que necesito modificar miservidor de seguridad(que es iptables, ejecutándose en Debian 7.8) para permitir que mi configuración OpenVPN funcione: consulte una sesión de depuración de la línea de comandos del clienteaquí.
Una complicación más:el F5VPNes propietario y (en mi humilde opinión) no está particularmente bien respaldado ni por F5 (el proveedor) ni por el proveedor del clúster (su cliente, también conocido como "la agencia"). En particular, no sé (pero he preguntado) los números de IP del servidor VPN de la agencia: solo sé el nombre (para el cual DNS me dice el número de IP :-) del sitio web de acceso remoto que debe utilizar para iniciar sesión en F5VPN.