debian vpn vserver routing

#1
Hallo zusammen
ich habe einen rootserver mit openvz und openvpn
darauf mehrere opevnt clients mit eigenen IP
und clients mit vpn ip also 192.168.???.???
alles debian 7 systeme


Funktionieren tut alles(also auch der Zugriff über VPN von extern) bis auf den Ping und die DNS Auflösung auf den VPN clients, sprich ich komme von den Clients nicht direkt nach draußen. eigentlich ja super sicher ;) nur kann ich keine Updates machen
wo hab ich da was vergessen...
 
#4
Sollte nicht erst der Ping gehen?
Ping vom VPN ( host) auf VPN host (gleichzeitgi openvz host) geht
Ping vom VPN host auf Internet geht nicht
Ping vom VPN host ins Internet geht
also hängt es wohl am Routing auf dem Host
aber warum kann ich per VPN dann auf den Vserver zugreifen?
 
#6
sorry
Sollte nicht erst der Ping gehen?
Ping vom VPN (vserver) auf VPN host (gleichzeitgi openvz host) geht
Vollzugriff von anderen Vservern ohne VPN (mit eigener IP) ins Internet geht
Ping vom VPN (vserver) auf Internet geht nicht
Ping vom VPN host ins Internet geht
also hängt es wohl am Routing auf dem Host
aber warum kann ich per VPN dann auf den Vserver zugreifen?
 
Zuletzt bearbeitet:
#7
Eventuell hilft das Debian Client Protokoll beim setup des Tunnels unten ist ein Fehler
xxx.yy.zz.yy ist die IP ses Servers der die Vserver und den VPN Vserver enthält
Code:
Tue Mar 29 12:51:51 2016 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015
Tue Mar 29 12:51:51 2016 library versions: OpenSSL 1.0.1k 8 Jan 2015, LZO 2.08
Tue Mar 29 12:51:51 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Mar 29 12:51:51 2016 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Mar 29 12:51:51 2016 UDPv4 link local: [undef]
Tue Mar 29 12:51:51 2016 UDPv4 link remote: [AF_INET]xxx.yy.zz.yy:1194
Tue Mar 29 12:51:51 2016 TLS: Initial packet from [AF_INET]xxx.yy.zz.yy:1194, sid=4da5e6f9 2603ec44
Tue Mar 29 12:51:51 2016 VERIFY OK: depth=1, C=DE, ST=BY, L=Wald, O=KK-ITSERVICE, OU=none, CN=none, name=xxxxxxx, emailAddress=xxxxx@xxxxx.de
Tue Mar 29 12:51:51 2016 VERIFY OK: depth=0, C=DE, ST=BY, L=Wald, O=KK-ITSERVICE, OU=none, CN=server, name=xxxxxxx, emailAddress=xxxxx@xxxxx.de
Tue Mar 29 12:51:51 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 29 12:51:51 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 29 12:51:51 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 29 12:51:51 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 29 12:51:51 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Mar 29 12:51:51 2016 [server] Peer Connection Initiated with [AF_INET]xxx.yy.zz.yy:1194
Tue Mar 29 12:51:54 2016 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Mar 29 12:51:54 2016 PUSH: Received control message: 'PUSH_REPLY,route  xxx.yy.zz.yy 255.255.255.0,route 192.168.14.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.14.6 192.168.14.5'
Tue Mar 29 12:51:54 2016 OPTIONS IMPORT: timers and/or timeouts modified
Tue Mar 29 12:51:54 2016 OPTIONS IMPORT: --ifconfig/up options modified
Tue Mar 29 12:51:54 2016 OPTIONS IMPORT: route options modified
Tue Mar 29 12:51:54 2016 ROUTE_GATEWAY 192.168.1.5/255.255.255.0 IFACE=eth1 HWADDR=50:46:5d:8d:ec:02
Tue Mar 29 12:51:54 2016 TUN/TAP device tun0 opened
Tue Mar 29 12:51:54 2016 TUN/TAP TX queue length set to 100
Tue Mar 29 12:51:54 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Mar 29 12:51:54 2016 /sbin/ip link set dev tun0 up mtu 1500
Tue Mar 29 12:51:54 2016 /sbin/ip addr add dev tun0 local 192.168.14.6 peer 192.168.14.5
Tue Mar 29 12:51:54 2016 /sbin/ip route add xxx.yy.zz.yy/24 via 192.168.14.5
RTNETLINK answers: Invalid argument
Tue Mar 29 12:51:54 2016 ERROR: Linux route add command failed: external program exited with error status: 2
Tue Mar 29 12:51:54 2016 /sbin/ip route add 192.168.14.0/24 via 192.168.14.5
Tue Mar 29 12:51:54 2016 Initialization Sequence Completed
 
#8
Gelöst:
der NAT Eintrag auf dem Root Server hat gefehlt:
Code:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 12.34.56.78   # <-- Use your OpenVPN server's real external IP here
 

Werbung