tunel con openvpn y apps varias
Arturo Mardones
katador en gmail.com
Mie Mar 4 18:00:11 CLST 2009
Hola Estimados,
Tengo un problema con un ruteo que no he conseguido interpretar y
ojala me pudieran ayudar.
Estoy implementando una vpn con openvpn como tunel, para probar estoy
instalando un telefono ip en mi notebook para ver como se comporta,
pero sucede, que puedo hacer ping bien a todo menos a la central una
Hipath de siemens, no me responde... cuando uso el programa de
administracion de la central, tampoco me conecta. instale xlite y
tampoco me conecta... pero si puedo acceder a los webservers de los
telefonos para configurarlos, por ssh a algunas maquinas, entre lo que
he probado.
El Mail salio largo, solo espero aportar con la info necesaria.
iptables me registra estas entradas en el log y en realidad no se como
interpretarlas un 100%
cuando uso el telefono IP
IPT FORWARD packet died: IN=tun0 OUT=eth0 SRC=10.8.0.6 DST=192.168.2.2
LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=38723 PROTO=UDP SPT=36020
DPT=3478 LEN=28
IPT FORWARD packet died: IN=tun0 OUT=eth0 SRC=10.8.0.6 DST=192.168.2.2
LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=38743 PROTO=UDP SPT=63262
DPT=3478 LEN=36
cuando uso el programa de administracion
10.8.0.6 cliente tunel y red de openvpn.
192.168.2.4 central.
eth1 tarjeta a red 1.X
eth0 tarjeta a la red 2.X
IPT FORWARD packet died: IN=tun0 OUT=eth0 SRC=10.8.0.6 DST=192.168.2.4
LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1555 DF PROTO=TCP SPT=1106
DPT=7000 WINDOW=64240 RES=0x00 SYN URGP=0
IPT FORWARD packet died: IN=tun0 OUT=eth0 SRC=10.8.0.6 DST=192.168.2.4
LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1557 DF PROTO=TCP SPT=1106
DPT=7000 WINDOW=64240 RES=0x00 SYN URGP=0
Cuando hago ping, no me marca rechazo... no hay retorno...
en cuanto a las reglas tengo las mismas que salen en el manual de
openvpn, aqui les mando un listado.
Gracias por cualquier ayuda!!!!!
:INPUT DROP [510526:76669939]
:FORWARD DROP [0:0]
:OUTPUT DROP [36:2856]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.2.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.2.1 -i lo -j ACCEPT
-A INPUT -s 192.168.1.18 -i lo -j ACCEPT
-A INPUT -i tap0 -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -d 192.168.1.18 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix
"IPT INPUT packet died: " --log-level 7
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tun+ -p icmp -j icmp_packets
-A INPUT -s 10.8.0.0/255.255.255.0 -i lo -j ACCEPT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix
"IPT FORWARD packet died: " --log-level 7
-A FORWARD -i tun+ -j ACCEPT
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -j ACCEPT
-A OUTPUT -s 192.168.1.18 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix
"IPT OUTPUT packet died: " --log-level 7
-A OUTPUT -s 10.8.0.0/255.255.255.0 -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state
--state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m
state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m
state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 113 -j allowed
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -d 194.168.1.255 -i eth1 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -i eth1 -p udp -m udp --dport 1194 -j ACCEPT
COMMIT
# Completed on Tue Mar 3 12:42:41 2009
# Generated by iptables-save v1.3.5 on Tue Mar 3 12:42:41 2009
*mangle
:PREROUTING ACCEPT [695534:96579382]
:INPUT ACCEPT [693800:96426677]
:FORWARD ACCEPT [428:64664]
:OUTPUT ACCEPT [182279:23322515]
:POSTROUTING ACCEPT [182707:23390847]
COMMIT
# Completed on Tue Mar 3 12:42:41 2009
# Generated by iptables-save v1.3.5 on Tue Mar 3 12:42:41 2009
*nat
:PREROUTING ACCEPT [509662:73033885]
:POSTROUTING ACCEPT [99:6395]
:OUTPUT ACCEPT [39770:2868460]
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.18
Saludos,
Arturo.
Más información sobre la lista de distribución Linux