このスレッドは解決済です(未解決に戻す場合はこちら)
済 OpenVPN(ブリッジ接続)でクライアントへのPING不可 このメッセージに返信する
日時: 2008/10/22 00:18
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。
掲題の件、本ページ並びに他参考書籍の
設定法を参考にCentOS 5.2に導入・運用
しているのですが、VPNサーバと
(ブリッジ接続なので理論上は)
同セグメントにあるVPNクライアントから
VPNサーバの内側のLANクライアントへ
PINGが通りません・・・。VPNサーバまでは
OKなのですが・・・。(;_;)
ファイアーウォール、SELinux等は無効に
してあるか必要なポートは開けてあります。
何か考えられる原因等御座いましたら、
ご教授の程、宜しくお願い致します。
宜しくお願い致します。
以上

日時: 2008/10/22 11:36
名前: stranger
URL: http://ja.528p.com/
名前: stranger
URL: http://ja.528p.com/
>こんばんは、お世話になります。
>
>掲題の件、本ページ並びに他参考書籍の
>設定法を参考にCentOS 5.2に導入・運用
>しているのですが、VPNサーバと
>(ブリッジ接続なので理論上は)
>同セグメントにあるVPNクライアントから
>VPNサーバの内側のLANクライアントへ
>PINGが通りません・・・。VPNサーバまでは
>OKなのですが・・・。(;_;)
>
>ファイアーウォール、SELinux等は無効に
>してあるか必要なポートは開けてあります。
>
>何か考えられる原因等御座いましたら、
>ご教授の程、宜しくお願い致します。
>
>宜しくお願い致します。
>
>以上
VPNのことは詳しくありませんが、ここのサイトに従えば
IPアドレスを変換するのに、iptablesでFORWARD設定が必要なのでないか?
それとも勝手に変換してくれるのだろうか?
設定はあなたしかわからないので・・・

日時: 2008/10/24 00:02
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。
strangerさん>
レス有難う御座います。
上記の件ですが、一応本ページの手順に従って
/etc/openvpn/openvpn-startupに下記一文を
記載しております。
iptables -I FORWARD -i tap+ -d 192.168.x.x/24 -j ACCEPT
しかし以前として対象クライアントへのPING疎通は出来ません。
引き続き何か考えられる原因等御座いましたら、
宜しくお願い致します。
宜しくお願い致します。
以上

日時: 2008/10/23 00:23
名前: stranger
URL: http://ja.528p.com/
名前: stranger
URL: http://ja.528p.com/
>こんばんは、お世話になります。
>
>strangerさん>
>レス有難う御座います。
>
>上記の件ですが、一応本ページの手順に従って
>/etc/openvpn/openvpn-startupに下記一文を
>記載しております。
>
>iptables -I FORWARD -i tun+ -d 192.168.x.x/24 -j ACCEPT
>
>しかし以前として対象クライアントへのPING疎通は出来ません。
>
>引き続き何か考えられる原因等御座いましたら、
>宜しくお願い致します。
>
>宜しくお願い致します。
>
>以上
/etc/openvpn/openvpn-startupは
「サーバー側で、VPNインタフェース用ファイアウォールを設定する。」の中で呼び出されていますが
ファイアウォールを設定しない場合、どこで呼び出すのでしょう
iptablesコマンドで確認しましたか?
iptables -L -n -v

日時: 2008/10/24 00:03
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。
strangerさん>
上記の件、確認したところ下記のようになっているので
iptablesの設定には問題無いかと・・・。(^^;)
49686 34M ACCEPT all -- br0 * 0.0.0.0/0 192.168.x.x/24
0 0 ACCEPT all -- tap+ * 0.0.0.0/0 0.0.0.0/0
尚、br0はブリッジインターフェースです。とすると
後はブリッジ設定自体がうまく行ってないのだろうか・・・?
宜しくお願い致します。
以上

日時: 2008/10/24 06:06
名前: stranger
URL: http://ja.528p.com/
名前: stranger
URL: http://ja.528p.com/
他のサイトの情報
ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.100.1 P-t-P:172.16.100.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0 KiB) TX bytes:0 (0 KiB)
iptables -nL -v
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- tun+ * 0.0.0.0/0 192.168.1.0/24
0 0 ACCEPT all -- * tun+ 0.0.0.0/0 0.0.0.0/0

日時: 2008/10/25 00:10
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。
strangerさん>
情報有難う御座います。がしかし、戴いた情報は
通常のルーティング接続の場合の事例のようですね
・・・。(^^;)
あれからサイトをいろいろ検索して/etc/openvpn/openvpn-startup
の記載を下記のようにしてみましたが状況変わりません・・・。(;_;)
# VPNサーバーからの送信を許可※必須
iptables -I OUTPUT -o tap0 -j ACCEPT
iptables -I OUTPUT -o br0 -j ACCEPT
iptables -I FORWARD -o tap0 -j ACCEPT
iptables -I FORWARD -o br0 -j ACCEPT
# VPNクライアントからVPNサーバーへのアクセスを許可する場合
iptables -I INPUT -i tap0 -j ACCEPT
iptables -I INPUT -i br0 -j ACCEPT
# VPNクライアントからLANへのアクセスを許可する場合
# (例としてVPNクライアントから192.168.x.x/24へのアクセスを許可する場合)
# ※192.168.1.0/24側のファイアウォール等でVPNクライアント(192.168.x.x/24)からのアクセスを許可すること
iptables -I FORWARD -i tap0 -d 192.168.x.x/24 -j ACCEPT
iptables -I FORWARD -i br0 -d 192.168.x.x/24 -j ACCEPT
宜しくお願い致します。
以上

日時: 2008/10/25 06:34
名前: stranger
URL:
名前: stranger
URL:
>こんばんは、お世話になります。
>
>strangerさん>
>情報有難う御座います。がしかし、戴いた情報は
>通常のルーティング接続の場合の事例のようですね
>・・・。(^^;)
>
>あれからサイトをいろいろ検索して/etc/openvpn/openvpn-startup
>の記載を下記のようにしてみましたが状況変わりません・・・。(;_;)
>
># VPNサーバーからの送信を許可※必須
>iptables -I OUTPUT -o tap0 -j ACCEPT
>iptables -I OUTPUT -o br0 -j ACCEPT
>iptables -I FORWARD -o tap0 -j ACCEPT
>iptables -I FORWARD -o br0 -j ACCEPT
>
># VPNクライアントからVPNサーバーへのアクセスを許可する場合
>iptables -I INPUT -i tap0 -j ACCEPT
>iptables -I INPUT -i br0 -j ACCEPT
>
># VPNクライアントからLANへのアクセスを許可する場合
># (例としてVPNクライアントから192.168.x.x/24へのアクセスを許可する場合)
># ※192.168.1.0/24側のファイアウォール等でVPNクライアント(192.168.x.x/24)からのアクセスを許可すること
>iptables -I FORWARD -i tap0 -d 192.168.x.x/24 -j ACCEPT
>iptables -I FORWARD -i br0 -d 192.168.x.x/24 -j ACCEPT
>
>宜しくお願い致します。
>
>以上
私は「本ページの手順にしたがって」とあるのでそう答えたまでで
自分なりの手法で構築したなら、自分なりに解決して下さい
※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。