Nowe posty

Autor Wątek: Połączenie SSH wewnątrz VPN  (Przeczytany 4653 razy)

Offline Grzegorz.

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 6
    • Zobacz profil
Połączenie SSH wewnątrz VPN
« dnia: 2016-03-29, 12:35:10 »
Witam!

Mam 2 sztuki raspberry pi z Raspbian Jessie (bazuje na Debian Jessie)

1- serwer VPN (10.8.0.1) wystawiony na świat. Klienci zestawiają połączenia
2- klient VPN (10.8.0.6) łączy się do serwera

Problem polega na tym że z klienta mogę podłączyć się po ssh na serwer ale z serwera na klienta już nie.
W logach nie ma żadnych problemów.

Czy to ze adresacja LAN (192.168.0.1) po 2 stronach VPN ma jakies znaczenie ?

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2493
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • Linuxpedia.PL
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #1 dnia: 2016-03-29, 14:21:06 »
Cytuj
Czy to ze adresacja LAN (192.168.0.1) po 2 stronach VPN ma jakies znaczenie ?
Dość zasadnicze znaczenie... Jak są w tej samej adresacji, to system nie ma powodu, żeby korzystać z tunelu do transmisj (bo zakłada, że obie sieci są widoczne "przez switcha"). Dobrym ćwiczeniem przy VPN-ach jest zaprojektowanie ołówkiem na kartce reguł routingu dla każdego hosta w sieci. Wtedy wychodzi, dlaczego dane rozwiązanie działa/nie działa

"Lewa" i "prawa" podsieć muszą być różne i dopiero wtedy reguły routingu pozwolą pchać ruch przez tunel.

Z jednym wyjątkiem: jeżeli VPN to OpenVPN, to obsługuje on "tunel TAP". Możesz wtedy zbridgować oba lany tworząc jedną, dużą sieć "lokalną".
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline Grzegorz.

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 6
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #2 dnia: 2016-03-29, 15:27:09 »
Źle się wyraziłem pisząc "adresacja LAN (192.168.0.1) po 2 stronach"

Raspberry są w innych krajach. Chodziło mi o to że 2 sieci niezależne mają taką samą wewnętrzną adresacje.

Raspberry 1 Niemcy Adresacja LAN z puli 192.168.0.1 VPN adres 10.8.0.1 port VPN wystawiony na zewnatrz.

Raspberry 2 Polska Adresacja LAN z puli 192.168.0.1 VPN adres 10.8.0.6 Brak dostępu z zewnątrz
Po to właśnie robię kanał VPN żeby mieć dostęp do konsoli SSH Raspberry 2 w Polsce łącząc się z Niemiec.

Tak jak pisałem gdy jestem na miejscu w PL łącze się do Raspberry w DE Zależy mi na drugim kierunku ... Będąc w DE chce łączyć się z Raspberry w Polsce.

Edycja oczywiście całość jest na OpenVPN
« Ostatnia zmiana: 2016-03-29, 15:31:20 wysłana przez Grzegorz. »

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2493
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • Linuxpedia.PL
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #3 dnia: 2016-03-29, 18:15:48 »
Łomatko... zrozumiałem to tak:

LAN DE 192.168.0.1/24
Pi1 192.168.0.x ma serwer OpenVPN ze swoim endpointem 10.8.0.1
Na wyjściu sieci LAN w świat masz przekierowanie portu OpenVPN na 192.168.0.x

LAN PL 192.168.0.1/24
Pi2 192.168.0.y ma klienta OpenVPN dostającego adres 10.8.0.6

Problem:
Jest komputer 192.168.0.z w DE i on nie widzi malinki PL
Jest komputer 192.168.0.w w PL i on widzi malinkę DE

Tak?

Dodatkowe info: czy da się połączyć SSH malinka-malinka w obie strony? Czy działa PING w obie strony malinka-malinka?
« Ostatnia zmiana: 2016-03-29, 18:18:05 wysłana przez Paweł Kraszewski »
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline Grzegorz.

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 6
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #4 dnia: 2016-03-29, 23:06:45 »
Dobra ponowienie opisu na maxa  ;)

LAN DE Internet światłowodowy 100/10
Router jest dla mnie dostępny mogę przekierowywać co tylko chce Przekierowane porty są widoczne ze świata.
W sieci lokalnej na adresie 192.168.0.5 jest Raspberry pi który jest serwerem OpenVPN o adresie 10.8.0.1 - przekierowany port 1194 dla OpenVPN na 192.168.0.5

LAN PL Internet LTE PLAY (prędkość różna haha)
Router dla mnie dostępny NIE mogę nic przekierować Specyfika internetu LTE w PLAY to blokada z zewnątrz.
W sieci lokalnej na adresie 192.168.0.4 jest Raspberry pi który jest klientem OpenVPN o adresie 10.8.0.6

Problem:
Po automatycznym połączeniu maliny z PL do maliny DE po VPN (zrobiłem skrypt) mogę połączyć się po SSH (wewnątrz kanału wywołując z konsoli ssh 10.8.0.1) do maliny w DE.

W Raspberry DE wywołując połączenie ssh 10.8.0.6 nie łączy mnie z maliną w PL (logi na malinie w DE pokazują prawidłowe połączenie po VPN)

Po prosu chce podłączyć się z serwera VPN do klienta po SSH

Cytuj
Dodatkowe info: czy da się połączyć SSH malinka-malinka w obie strony? Czy działa PING w obie strony malinka-malinka?

Właśnie tego dotyczy problem - połączenie po ssh wewnątrz kanału VPN  ;)
Pingować nie można z racji ograniczeń internetu w PLAY

Ewentualnie jeśli macie inny pomysł jak mając info o połączeniu na początku wiadomości podłączyć się do maliny w PL po SSH.
« Ostatnia zmiana: 2016-03-29, 23:10:05 wysłana przez Grzegorz. »

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2493
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • Linuxpedia.PL
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #5 dnia: 2016-03-29, 23:33:04 »
Co ma play do pinga w tunelu VPN?

Sam korzystam z OpenVPN "w dwie strony",  więc to na pewno działa. Nie bruździ jakiś firewall na którejś malince? czy ssh -vvv nie pokazuje czegoś nietypowego? Co pokazuje tcpdump/tshark? Jak mówi znajomy hydraulik, "to się musi dać przepchać".
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline Grzegorz.

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 6
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #6 dnia: 2016-06-19, 12:58:51 »
Mam czas żeby wrócić do tematu.

Log automatycznego połączenia VPN z PL do DE:
Sun Jun 19 12:21:30 2016 User5MU/94.254.x.x:21647 TLS: soft reset sec=-349454 bytes=201/0 pkts=2/0
Sun Jun 19 12:21:32 2016 User5MU/94.254.x.x:21647 VERIFY OK: depth=1, C=DE, ST=MU, L=Munchen, O=Mu, CN=Mu CA, name=EasyRSA
Sun Jun 19 12:21:32 2016 User5MU/94.254.x.x:21647 VERIFY OK: depth=0, C=DE, ST=MU, L=Munchen, O=Mu, CN=User5MU, name=EasyRSA
Sun Jun 19 12:21:33 2016 User5MU/94.254.x.x:21647 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Jun 19 12:21:33 2016 User5MU/94.254.x.x:21647 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jun 19 12:21:33 2016 User5MU/94.254.x.x:21647 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key

Status połączenia:
OpenVPN CLIENT LIST
Updated,Sun Jun 19 12:49:45 2016
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
User5MU,94.254.x.x:21647,27456,39136,Wed Jun 15 10:17:13 2016
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,User5MU,94.254.x.x:21647,Sun Jun 19 12:49:22 2016
GLOBAL STATS
Max bcast/mcast queue length,0
END


Debug połączenia ssh:
pi@RPI2MU:~ $ ssh -v 10.8.0.6
OpenSSH_6.7p1 Raspbian-5+deb8u2, OpenSSL 1.0.1t  3 May 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to 10.8.0.6 [10.8.0.6] port 22.


Nie mogę pingować klienta z PL:
pi@RPI2MU:~ $ sudo ping 10.8.0.6
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
^C
--- 10.8.0.6 ping statistics ---
23 packets transmitted, 0 received, 100% packet loss, time 22004ms

Doszedł jeszcze problem taki że nie mam teraz dostępu do klienta i podsieci w PL ale kogoś tam mogę wysłać żeby wpisał kilka poleceń (ale jakich) ??

Pozdr

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2052
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #7 dnia: 2016-06-21, 00:38:31 »
Chodzi o to, że po obu stronach musisz mieć różną podsieci, czyli PL 192.168.0.0/24, DE 192.168.1.0/24. VPN to zwyczajnie wirtualny kabel. Jeśli połączyłbyś fizycznym kablem obie maliny, to jak pisał kolega wyżej. Pakiety z 192.168.0.0/24 do 192.168.0.0/24 poza malinę nie wyjdą, bo hosty nie potrzebują wysyłać pakietów do routera, bo myślą, że przesyłają pakiety w swojej podsieci.

Jeśli robisz tun to 192.168.0.0/24 będzie wychodziło przez 10.8.0.6/32 do 192.168.1.0/24. Dokładniej pakiet zaliczy takie skoki 192.168.0.0 > 10.8.0.6/32 > 10.8.0.1/32 > 192.168.1.0/24. W drugą stronę 192.168.1.0/24 > 10.8.0.1/32 > 10.8.0.6/32 > 192.168.1.0/24.

Offline Grzegorz.

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 6
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #8 dnia: 2016-07-07, 19:10:27 »
Mam kogoś w PL zresetował malinę sytuacja na teraz wygląda tak:

LAN DE 192.168.88.254/24
Pi1 192.168.88.2 ma serwer OpenVPN ze swoim endpointem 10.8.0.1
Na wyjściu sieci LAN w świat mam przekierowanie portu OpenVPN na 192.168.0.2

LAN PL 192.168.0.1/24
Pi2 192.168.0.4 ma klienta OpenVPN dostającego adres 10.8.0.6

Problem:
Jest komputer 192.168.88.2 w DE i on nie widzi malinki PL
Jest komputer 192.168.0.4 w PL i on widzi malinkę DE

Malina z PL łączy się po VPN do maliny w DE (logi podobne jak poprzednio)
Połączenia ssh 10.8.0.6 nadal brak ...

pi@RPI2MU:~ $ sudo ssh -v 10.8.0.6
OpenSSH_6.7p1 Raspbian-5+deb8u2, OpenSSL 1.0.1t  3 May 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to 10.8.0.6 [10.8.0.6] port 22.
debug1: connect to address 10.8.0.6 port 22: Connection timed out
ssh: connect to host 10.8.0.6 port 22: Connection timed out
« Ostatnia zmiana: 2016-07-07, 19:14:41 wysłana przez Grzegorz. »

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2052
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #9 dnia: 2016-07-13, 22:55:20 »
Gdzie masz to przekirowanie (po której stronie). Trasy poprawiłeś?

Offline Grzegorz.

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 6
    • Zobacz profil
Odp: Połączenie SSH wewnątrz VPN
« Odpowiedź #10 dnia: 2016-07-27, 21:21:03 »
Nie rozumiem do końca pytania ...
Jakie przekierowanie ?
Jakie trasy ?

Pozdr