Re: [LUGOS] VPN client mi ne dovoli pingati lokalnega omrežja!

[Metod Kozelj]

Howdy!

Dejan Trop [Krofek] wrote:

Ne vem, če prav razumem tvojo topologijo mreže. Predpostavljam da je 
takole nekako:

                                             +--VPN-- klient (192.168.0.234)
                                             |
internet ---- fw (212.118.x.x; 192.168.0.4) -+
                                             +--lokalna mreža (192.168.0.X)

Pri računalnikih na lokalni mreži je X poljuben, a različen od 234 ali 4.

Če je to tako, potem imaš probleme z routami na fw mašini:

>5. 'route -n'
>Destination     Gateway         Genmask         Flags Metric Ref    Use	Iface
>192.168.0.234   0.0.0.0         255.255.255.255 UH    0      0        0	ppp0
>212.118.x.x     0.0.0.0         255.255.255.x   U     0      0        0	eth0
>192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0	eth1
>169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0	eth1
>127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0	lo
>0.0.0.0         212.118.94.x    0.0.0.0         UG    0      0        0	eth0
>  
>

Vsi računalniki na lokalni mreži (recimo 192.168.0.42) imajo najbrž 
masko 255.255.255.0. Kar pomeni, da bi radi pošiljali ethernet pakete 
direktno na 192.168.0.234 in ne preko gatewaya (v tvojem primeru je 
192.168.0.4 potrebni gateway za onega VPN klienta).
Ko pingaš računalnik v mreži z VPN klienta, ICMP paketek pride do 
računalnika v mreži, da odgovori, ampak paketek se potem v mreži izgubi, 
saj ga fw ne pobere in strpa v VPN tunel.

Verjetno bi se to dalo čisto lepo pogledati s kakšnim tcpdumpom ...

Najelegantnejša rešitev v tvojem primeru bi bila uporaba proxy arpa 
(poglej recimo "man 8 arp" in "man 7 arp").

Lahko pa seveda na vsek mašinah v mreži postavljaš statične rute ... 
ampak jaz tega ne bi počel :)

-- 
Peace!
  Mkx

---- perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'