Procuro encapsular uma VPN SSL (F5, rodando em meu laptop debian== client) através de outra (OpenVPN, rodando em um debian linode== server), mas perco toda a rede do cliente (incluindo, por exemplo, ping) após a conexão do F5VPN. Não tenho certeza se isso se deve à minha configuração do OpenVPN ou ao firewall/iptables do meu servidor, mas suspeito do último. Infelizmente, não tenho conhecimento sobre redes, então agradeceria qualquer ajuda que você pudesse fornecer.
Preciso fazer SSH remotamente (fora da LAN física) em alguns clusters de computação com firewall para fazer modelagem ambiental (por exemplo,esse). Anteriormente eu poderia fazer isso no meu laptop debian usando oF5VPN exigido pelo provedor de cluster, cujo cliente é conhecido como F5NAP(para "plugin de acesso à rede [navegador]". No entanto,política de acesso alterada(principalmente para exigir um único IP# registrado), então não posso mais fazer isso "diretamente" (ou seja, apenas executando o F5VPN no meu laptop). Procuro me adaptar à nova política (e retomar o trabalho no meu projeto) implementando um túnel VPN do meu cliente/laptop através de um servidor/jumpbox debian linode.Detalhes do projeto aqui, mas meu design pode ser resumido aproximadamente com a seguinte arte ASCII:
<-MY CONTROL | AGENCY CONTROL->
| firewall
+----------+ +-----------+ | +---------------+ || +---------+
| laptop + | | linode + | | | remote-access | || | cluster |
| F5NAP + | <--> | OpenVPN | <-|-> | website + | <-||-> | node(s) |
| OpenVPN | | server + | | | F5VPN server | || | |
| client | | security | | | | || | |
+----------+ +-----------+ | +---------------+ || +---------+
(Detalhes de implementação aqui. Observe que F5NAP==cliente F5VPN.) A boa notícia é que a seguinte sequência funciona: Posso
- iniciar um servidor OpenVPN no meu linode(também conhecido como "o servidor")
- iniciar um cliente OpenVPN no meu laptop, após o qualwhatismyip.commostra o IP# do servidor (que está registrado)
- inicie o cliente F5VPN (umFirefox com F5NAP), e a partir disso ainda ver o IP# do servidor.
- usando o cliente F5VPN, faça login no site de acesso remoto da agência e abra a interface de controle do F5VPN (por exemplo, para iniciar/parar/sair).
As más notícias (detalhesaqui) é, assim que eu inicio o F5VPN e vejo status==Conectado em sua UI da web, meu cliente/laptop perde a rede IP. Originalmente, pensei que isso era apenas um problema de DNS, mas não consigo nem mesmo pingIP#s, por exemplo,
me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.
--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms
(O único consolo aqui é que a falha da rede mata o túnel, o que faz com que meu cliente recupere sua rede... mas também seu acesso ao IP# registrado.)
Eu pensei que esse problema era devido a uma configuração incorreta do OpenVPN de minha parte, mas agora suspeito que preciso ajustar meufirewall do servidor(que está iptablesrodando no Debian 7.8) para permitir que minha configuração OpenVPN funcione: veja uma sessão de depuração de linha de comando do clienteaqui.
Mais uma complicação:o F5VPNé proprietário e não (IMHO) particularmente bem suportado pela F5 (o fornecedor) ou pelo provedor do cluster (seu cliente, também conhecido como "a agência"). Particularmente, não sei (mas perguntei) o(s) IP#(s) do servidor VPN da agência: só sei o nome (para o qual o DNS me informa o IP# :-) do site de acesso remoto que eu precisa usar para fazer login no F5VPN.