Openvpn: clientes conectados al servidor = firewall; pero no puedo acceder a la base de datos en LAN
Tengo 5 vlan:
vlan 2: 192.168.12.0/24
vlan 3: 192.168.13.0/24
vlan 4: 192.168.14.0/24
vlan 5: 192.168.15.0/24
vlan 6: 192.168.100.0/24Todos son LAN y se han conectado al Switch Cisco 3650 Layer3. Switch Layer3 está conectado al Firewall (CentOS 6.2 instaló Squid y Shorewall 4);
El firewall tiene eth0: 172.16.1.101 conectado al módem: 172.16.1.1; eth1: 192.168.99.99 conectarse al conmutador de capa 3: 192.168.99.100 sin puerto de conmutador.
El cliente VPN se conecta y tiene clase de IP: 192.168.10.0/24. Ahora todo el tráfico de LAN a Internet es normal, no hay problema.
Cuando los clientes usan openvpn, se conectan al servidor exitosamente pero no pueden hacer ping ni acceder a ninguna computadora en la LAN. ¿Qué he hecho mal?
Respuesta1
Podría ser tanto un problema de enrutamiento como de firewall. En primer lugar, debe comprobar si puede hacer ping al servidor/firewall desde el cliente vpn. Compruebe si puede hacer ping a la dirección de eth1 y tun1.
Si esta verificación falla, probablemente le falte una ruta. Quizás openVPN no obligue al cliente a establecer rutas para la subred interna.
En el cliente, suponiendo que sea Linux, debe ejecutarlo route -ny verificar si tiene una puerta de enlace para su LAN remota.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
...
192.168.99.0 192.168.10.## 255.255.255.0 UG 0 0 0 tun1
...
192.168.10.## debe ser la dirección de la interfaz tun1 en el servidor/firewall.
Si la ruta está allí, debería poder hacer ping al menos a la dirección de interfaz tun1.
Para una depuración más rápida, puede desactivar Shorewall, por cierto, debe verificar las reglas de su firewall, debe habilitar el reenvío desde la interfaz vpn tun a lan y viceversa.
Usar IPTables debería ser algo como:
# iptables -A FORWARD -i tun+ -o eth1 -j ACCEPT
# iptables -A FORWARD -i eth1 -o tun+ -j ACCEPT
tun+ significa "cualquier tun", debes usar tu dispositivo tun real, compruébalo con ifconfig.