English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Vấn đề OpenVPN  XML
  [Question]   Vấn đề OpenVPN 08/08/2011 09:27:59 (+0700) | #1 | 244726
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]
Chào các anh chị cùng các bạn.
Mình setup xong 1 firewall (shorewall + squid + Openvpn) start thì ok.
VPN client kết nối VPN server thành công nhưng không ping được IP trong mạng Lan.
Nhưng theo file log trên windows thì:

route ADD 192.168.0.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 route ADD 172.16.10.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 route ADD 10.0.10.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 Initialization Sequence Completed


Như thế thì route add thành công trên cả 3 lớp mạng:
192.168.0.0/24 loc
172.16.10.0/24 net
10.0.10.0/24 vpn


Khi kết nối thành công thì ping 172.16.0.250/24 (FW) và ping 192.168.0.250 thành công nhưng ping vào 192.168.0.4 (DC) thì không thành công nhưng truy cập web sarg 192.168.0.250 thì ok => Mình không biết sao nữa.
net: 172.16.1.250-----Shorewall/Squid/OpenVPN------loc:192.168.0.250


Nhờ các anh chị và bạn hướng dẫn giúp đỡ.
Xin chân thành cám ơn.
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 10/08/2011 12:21:45 (+0700) | #2 | 244840
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]
Có ai không giúp em với
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 10/08/2011 13:06:14 (+0700) | #3 | 244843
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

duongtulang wrote:
Chào các anh chị cùng các bạn.
Mình setup xong 1 firewall (shorewall + squid + Openvpn) start thì ok.
VPN client kết nối VPN server thành công nhưng không ping được IP trong mạng Lan.
Nhưng theo file log trên windows thì:

route ADD 192.168.0.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 route ADD 172.16.10.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 route ADD 10.0.10.0 MASK 255.255.255.0 10.0.10.5
OK!
Fri Jul 15 21:25:53 2011 Initialization Sequence Completed


Như thế thì route add thành công trên cả 3 lớp mạng:
192.168.0.0/24 loc
172.16.10.0/24 net
10.0.10.0/24 vpn


Khi kết nối thành công thì ping 172.16.0.250/24 (FW) và ping 192.168.0.250 thành công nhưng ping vào 192.168.0.4 (DC) thì không thành công nhưng truy cập web sarg 192.168.0.250 thì ok => Mình không biết sao nữa.
net: 172.16.1.250-----Shorewall/Squid/OpenVPN------loc:192.168.0.250


Nhờ các anh chị và bạn hướng dẫn giúp đỡ.
Xin chân thành cám ơn.  


địa chì GW trên con DC 192.168.0.4 có địa chỉ bao nhiêu vậy?

bạn vẽ sơ đồ topology lên đây cho mọi người xem thử coi ? có sơ đồ việc tìm ra nguyên nhân sẽ dễ hơn
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 10/08/2011 13:30:35 (+0700) | #4 | 244845
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
ah vấn đề của bạn mình nghĩ là do trên firewall chưa có rule nên việc ping sẽ không thành công.

bạn thử thêm vào cái này vào file /etc/shorewall/rules

#ACTION SOURCE DEST PROTO DEST PORT(S)
Ping(ACCEPT) loc Net

loc,net là các card mạng tương ứng trên firewall

bạn thử xem sao nha!!!!!!!!!!
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 14:03:16 (+0700) | #5 | 244903
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]

phuongnvt wrote:
ah vấn đề của bạn mình nghĩ là do trên firewall chưa có rule nên việc ping sẽ không thành công.

bạn thử thêm vào cái này vào file /etc/shorewall/rules

#ACTION SOURCE DEST PROTO DEST PORT(S)
Ping(ACCEPT) loc Net

loc,net là các card mạng tương ứng trên firewall

bạn thử xem sao nha!!!!!!!!!! 

File rules của em có dòng

ACCEPT all all icmp echo-request

như thế là ping được hết hả anh
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 15:19:40 (+0700) | #6 | 244908
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

duongtulang wrote:

phuongnvt wrote:
ah vấn đề của bạn mình nghĩ là do trên firewall chưa có rule nên việc ping sẽ không thành công.

bạn thử thêm vào cái này vào file /etc/shorewall/rules

#ACTION SOURCE DEST PROTO DEST PORT(S)
Ping(ACCEPT) loc Net

loc,net là các card mạng tương ứng trên firewall

bạn thử xem sao nha!!!!!!!!!! 

File rules của em có dòng

ACCEPT all all icmp echo-request

như thế là ping được hết hả anh 



- bạn thử thêm vào cái này vào file /etc/shorewall/rules

ACCEPT vpn loc icmp echo-request

- trong file /etc/shorewall/policy thêm cái này xem sao:


all all ACCEPT

bạn làm thử xem rồi post kết quả lên xem smilie


Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 15:28:20 (+0700) | #7 | 244909
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]
Mô hình em làm như sau:




Em đã giải quyết được vấn đề trên rồi. Nhưng có vấ đề phát sinh là:
  • VPN ping loc thành công.
  • VPN remote desktop thành công.
  • nhưng \\192.168.0.4 thì không được.


Các file config shorewall của em:

rules:

ACCEPT all all icmp echo-request
ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 53,22,25,80,110,443,902,8080
ACCEPT loc fw udp 53
ACCEPT loc net tcp -
#ACCEPT loc net tcp 53,22,25,80,110,443,902,8080
ACCEPT loc net udp -
REDIRECT loc 3128 tcp www -

Policy

fw all ACCEPT
net all DROP info
loc vpn ACCEPT
vpn loc ACCEPT
fw vpn ACCEPT
vpn fw ACCEPT
all all REJECT info


Nhờ các anh chị hỗ trợ giúp em

[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 15:39:17 (+0700) | #8 | 244911
[Avatar]
 angel_of_devil
Member
[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Sharing trên môi trường Internet rất nguy hiểm. Trong trường hợp của bạn, để \\192.168.0.4 thành công, phải enable sharing trên máy AD là đương nhiên rồi, nên chỉnh custom list (LAN, VPN clients...) đc phép trong firewall của windows để secure hơn. Có một số port cơ bản phục vụ sharing phải đc mở trên firewall 135, 137, 139, 445
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 16:22:17 (+0700) | #9 | 244915
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
ah mình nghĩ bạn nên ACCEPT thêm port 137 (port UNC ) từ vpn to loc.

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 22:07:02 (+0700) | #10 | 244936
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]

phuongnvt wrote:
ah mình nghĩ bạn nên ACCEPT thêm port 137 (port UNC ) từ vpn to loc.

 


Em thử thêm rules

ACCEPT loc vpn tcp -
ACCEPT loc vpn udp -
ACCEPT vpn loc tcp -
ACCEPT vpn loc udp -

Nhưng vẫn không kết nối được share của AD.

Em không biết nó bị gì nữa. Anh chị thuơng tình giúp đệ với.
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 22:23:02 (+0700) | #11 | 244937
[Avatar]
 angel_of_devil
Member
[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
- Ping, Telnet vào nó xem nào, đồng thời ngó trên FW xem có traffic nào map với IP con AD ko, nhìn xem có bị drop ko, loại trừ dần dần là ra ngay vấn đề mà bạn. Vấn đề ở con fw thôi, chứ thông như thế rồi thì 1 là xem lại config và fw trên con AD, 2 là fw
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 22:58:04 (+0700) | #12 | 244938
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

duongtulang wrote:

phuongnvt wrote:
ah mình nghĩ bạn nên ACCEPT thêm port 137 (port UNC ) từ vpn to loc.

 


Em thử thêm rules

ACCEPT loc vpn tcp -
ACCEPT loc vpn udp -
ACCEPT vpn loc tcp -
ACCEPT vpn loc udp -

Nhưng vẫn không kết nối được share của AD.

Em không biết nó bị gì nữa. Anh chị thuơng tình giúp đệ với. 


bạn thử thêm 2 dòng này vô file policy xem sao:

all vpn ACCEPT
vpn all ACCEPT
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 11/08/2011 23:03:36 (+0700) | #13 | 244939
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

duongtulang wrote:
Mô hình em làm như sau:




Em đã giải quyết được vấn đề trên rồi. Nhưng có vấ đề phát sinh là:
  • VPN ping loc thành công.
  • VPN remote desktop thành công.
  • nhưng \\192.168.0.4 thì không được.


Các file config shorewall của em:

rules:

ACCEPT all all icmp echo-request
ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 53,22,25,80,110,443,902,8080
ACCEPT loc fw udp 53
ACCEPT loc net tcp -
#ACCEPT loc net tcp 53,22,25,80,110,443,902,8080
ACCEPT loc net udp -
REDIRECT loc 3128 tcp www -

Policy

fw all ACCEPT
net all DROP info
loc vpn ACCEPT
vpn loc ACCEPT
fw vpn ACCEPT
vpn fw ACCEPT
all all REJECT info


Nhờ các anh chị hỗ trợ giúp em

 


bạn đem cái dòng net all DROP info trong file policy đặt nó nằm ở phía dưới dòng thử xem
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 12/08/2011 14:45:16 (+0700) | #14 | 244960
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]
Em gởi các anh file cấu hình shorewall của em. Các anh xem giúp em nha.

INTERFACE

#ZONE INTERFACE BROADCAST OPTIONS
net eth1 detect -
loc eth0 detect -
vpn tun+ detect -

ZONE

fw firewall
net ipv4
loc ipv4
vpn ipv4

POLICY

fw all ACCEPT
all vpn ACCEPT
vpn all ACCEPT
all all REJECT info

RULES

ACCEPT all all icmp echo-request

ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 22,25,80,110,139,389,443,445,901,8080
ACCEPT loc fw udp 53,137,138
ACCEPT loc net tcp -
ACCEPT loc net udp -


Em làm theo cách của các anh nhưng vẫn không kết nối file share từ AD.
Em không hiểu hị sao nữa. Nhờ các anh chị giúp em với.

[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 12/08/2011 15:09:00 (+0700) | #15 | 244965
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
sao mình không thấy rules nào cho vpn access local vậy ?

RULES

ACCEPT all all icmp echo-request

ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 22,25,80,110,139,389,443,445,901,8080
ACCEPT loc fw udp 53,137,138
ACCEPT loc net tcp -
ACCEPT loc net udp -

 
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 12/08/2011 16:25:38 (+0700) | #16 | 244972
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]

phuongnvt wrote:
sao mình không thấy rules nào cho vpn access local vậy ?

RULES

ACCEPT all all icmp echo-request

ACCEPT net fw tcp 22,80,443,1194
ACCEPT loc fw tcp 22,25,80,110,139,389,443,445,901,8080
ACCEPT loc fw udp 53,137,138
ACCEPT loc net tcp -
ACCEPT loc net udp -

 
 


Vì trong policy em co rồi
POLICY

fw all ACCEPT
all vpn ACCEPT
vpn all ACCEPT
all all REJECT info

Nhưng em cũng đã thêm rules

ACCEPT vpn loc tcp -
ACCEPT vpn loc udp -

Nhưng vẫn không được
[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 12/08/2011 22:24:20 (+0700) | #17 | 244979
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
version của thằng shorewall bao nhiêu vậy ?
-cách 1: bạn thử dòng này xem (version từ 4.2.0 trở về sau )
SMB(ACCEPT) vpn loc
SMB(ACCEPT) loc vpn

-cách 2 :
SMB(ACCEPT) vpn loc:ip con AD

hoặc

#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT loc vpn udp 135,445
ACCEPT loc vpn udp 137:139
ACCEPT loc vpn udp 1024: 137
ACCEPT loc vpn tcp 135,139,445
ACCEPT vpn loc udp 135,445
ACCEPT vpn loc udp 137:139
ACCEPT vpn loc udp 1024: 137
ACCEPT vpn loc tcp 135,139,445


bạn đã tắt firewall tren Centos chưa vậy ?
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Vấn đề OpenVPN 13/08/2011 09:05:32 (+0700) | #18 | 244993
duongtulang
Member
[Minus]    0    [Plus]
Joined: 30/12/2009 04:08:16
Messages: 30
Offline
[Profile] [PM]

phuongnvt wrote:
version của thằng shorewall bao nhiêu vậy ?
-cách 1: bạn thử dòng này xem (version từ 4.2.0 trở về sau )
SMB(ACCEPT) vpn loc
SMB(ACCEPT) loc vpn

-cách 2 :
SMB(ACCEPT) vpn loc:ip con AD

hoặc

#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT loc vpn udp 135,445
ACCEPT loc vpn udp 137:139
ACCEPT loc vpn udp 1024: 137
ACCEPT loc vpn tcp 135,139,445
ACCEPT vpn loc udp 135,445
ACCEPT vpn loc udp 137:139
ACCEPT vpn loc udp 1024: 137
ACCEPT vpn loc tcp 135,139,445


bạn đã tắt firewall tren Centos chưa vậy ? 



Version Shorewall em đang xài là:
shorewall-4.0.11-2
shorewall-perl-4.0.11-2
shorewall-shell-4.0.11-2

Em đã thêm rule như trên những tình trạng vẫn vậy. Em đã tắt Firewall CentOS từ đầu rồi.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|