Shit, jeg er helt skeløjet efter at have brugt det meste af dagen på at prøve at få en VPN-gateway til at opføre sig ordentligt, og jeg mangler stadig at få den til at route trafik korrekt fra ydersiden til hosts på indersiden 😵💫
-
-
@pmakholm Det eneste, jeg har af firewall kørende på gatewayen er iptables, hvor der bliver tilføjet et par “forward accept” regler mellem de virtuelle ip'er og subnettet på indersiden, når klienter opretter en forbindelse: En regel hvor virtuel ip er source og subnet destination og en regel, hvor det er omvendt.
@pmakholm Hm, når jeg prøver at ssh'e til 10.135.0.3, som er gatewayens interne ip, og jeg lytter på det interface med tcpdump, ser jeg pakker med “10.10.10.1.58571 > 10.135.87.234.ssh”. 10.135.87.234 virker sært, synes jeg.
-
Hvis jeg kender en Strongswan-troldkarl (M/K), kunne jeg godt bruge lidt hjælp.
Klienter (udenfor) får en virtuel IP fra et 10.10.10.0/24 subnet, og subnettet på indersiden er 10.135.0.0/16. Lige nu kan klienterne ikke få hul igennem til hosts på indersiden.
Skal jeg lave trylletricks med iptables for at klienter kan snakke med hosts?
Hm, jeg har gravet mere i det.
Jeg opretter en VPN-forbindelse til gatewayen og får ip 10.10.10.1, og så kan jeg pinge gatewayens interne IP (10.135.0.3), og når jeg bruger tcpdump på det eksterne interface, ser jeg pakkerne. Når jeg pinger en anden host, ser jeg dem også, men det kan jeg i tcpdump på den anden host.
Når jeg så prøver at ssh’e til gatewayens interne ip, ser jeg dette:
"IP 10.10.10.1.58785 > 10.135.87.234.ssh”
Hvad pokker går 10.135.87.234 ud på?
-
Hm, jeg har gravet mere i det.
Jeg opretter en VPN-forbindelse til gatewayen og får ip 10.10.10.1, og så kan jeg pinge gatewayens interne IP (10.135.0.3), og når jeg bruger tcpdump på det eksterne interface, ser jeg pakkerne. Når jeg pinger en anden host, ser jeg dem også, men det kan jeg i tcpdump på den anden host.
Når jeg så prøver at ssh’e til gatewayens interne ip, ser jeg dette:
"IP 10.10.10.1.58785 > 10.135.87.234.ssh”
Hvad pokker går 10.135.87.234 ud på?
Ooooog nu gik der en prås op for Rasmus!
10.135.87.234 er den interne ip på VPN'en ved den udbyder, jeg er ved at flytte væk fra, og jeg havde i min lokale ~/.ssh/config flg. stående:
Host 10.135.* !10.135.87.234
ProxyJump 10.135.87.234Når jeg opdaterer det til:
Host 10.135.* !10.135.0.3
ProxyJump 10.135.0.3Så virker det hele!
-
Ooooog nu gik der en prås op for Rasmus!
10.135.87.234 er den interne ip på VPN'en ved den udbyder, jeg er ved at flytte væk fra, og jeg havde i min lokale ~/.ssh/config flg. stående:
Host 10.135.* !10.135.87.234
ProxyJump 10.135.87.234Når jeg opdaterer det til:
Host 10.135.* !10.135.0.3
ProxyJump 10.135.0.3Så virker det hele!
-
Ooooog nu gik der en prås op for Rasmus!
10.135.87.234 er den interne ip på VPN'en ved den udbyder, jeg er ved at flytte væk fra, og jeg havde i min lokale ~/.ssh/config flg. stående:
Host 10.135.* !10.135.87.234
ProxyJump 10.135.87.234Når jeg opdaterer det til:
Host 10.135.* !10.135.0.3
ProxyJump 10.135.0.3Så virker det hele!
@nerdd nogle gange hjælper det bare at skrive det. Så får hjernen vendt det igen. Fedt at du fik det løst!
-
-
@nerdd nogle gange hjælper det bare at skrive det. Så får hjernen vendt det igen. Fedt at du fik det løst!
@infonauten Det hjælper også at kigge på ip’en, jeg bruger, når jeg ssh'er til den gamle VPN
Det er ubeskriveligt fedt. Nu kan jeg komme videre med at flytte resten af kundens setup.
