Problema extraño con una eth con un bridge y ruteos

classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

Problema extraño con una eth con un bridge y ruteos

OddieX
Estimados, tengo un problema muy extraño y quizas alguien ya le ha
pasado y pueda decirme como solucionarlo:

Tengo un Debian Stretch donde instale xen 4.8.
Una de las placas de red le hice un bridge y me quedo como "xenbr2"
Esta es la cfg que use en /etc/network/interfaces:

allow-hotplug eno49
iface eno49 inet manual

auto xenbr2
iface xenbr2 inet static
        bridge_ports eno49
        bridge_stp off
        address 192.168.0.6
        netmask 255.255.255.0
        gateway 192.168.0.249
        dns-nameservers 192.168.0.249

Me funciona todo barbaro, desde la LAN puedo acceder tranquilamente,
el br funciona y tengo corriendo varias maquinas dentro y salen sin
problemas...

El problema en cuestion, es que me conecto al OpenVPN desde afuera a
un servidor que esta en la LAN, y no llego a esa interfaz! Ni con un
ping, ni ssh, ni ningun servicio!!! Mire en los logs del firewall y no
es problema del firewall! Pero si saco el bridge y pongo la interfaz
normal con IP si puedo llegar desde la VPN!

Alguien sabe si el bridge modifica algo en la tabla de ruteo, o hace
alguna cosa extraña que me provoque este problema? Me pasa en 3
maquinas distintas con diferentes versiones de Debian!

Desde ya les agradezco toda ayuda que me puedan brindar!

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Paynalton
Desde la lan local si tienes acceso a esa interfaz que mencionas???.

Si es así es cuestión de habillitar el enrutamiento en openvpn.

El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX <[hidden email]> escribió:
Estimados, tengo un problema muy extraño y quizas alguien ya le ha
pasado y pueda decirme como solucionarlo:

Tengo un Debian Stretch donde instale xen 4.8.
Una de las placas de red le hice un bridge y me quedo como "xenbr2"
Esta es la cfg que use en /etc/network/interfaces:

allow-hotplug eno49
iface eno49 inet manual

auto xenbr2
iface xenbr2 inet static
        bridge_ports eno49
        bridge_stp off
        address 192.168.0.6
        netmask 255.255.255.0
        gateway 192.168.0.249
        dns-nameservers 192.168.0.249

Me funciona todo barbaro, desde la LAN puedo acceder tranquilamente,
el br funciona y tengo corriendo varias maquinas dentro y salen sin
problemas...

El problema en cuestion, es que me conecto al OpenVPN desde afuera a
un servidor que esta en la LAN, y no llego a esa interfaz! Ni con un
ping, ni ssh, ni ningun servicio!!! Mire en los logs del firewall y no
es problema del firewall! Pero si saco el bridge y pongo la interfaz
normal con IP si puedo llegar desde la VPN!

Alguien sabe si el bridge modifica algo en la tabla de ruteo, o hace
alguna cosa extraña que me provoque este problema? Me pasa en 3
maquinas distintas con diferentes versiones de Debian!

Desde ya les agradezco toda ayuda que me puedan brindar!

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

OddieX
El día 12 de abril de 2018, 21:03, Paynalton <[hidden email]> escribió:

> Desde la lan local si tienes acceso a esa interfaz que mencionas???.
>
> Si es así es cuestión de habillitar el enrutamiento en openvpn.
>
> El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX <[hidden email]>
> escribió:
>>
>> Estimados, tengo un problema muy extraño y quizas alguien ya le ha
>> pasado y pueda decirme como solucionarlo:
>>
>> Tengo un Debian Stretch donde instale xen 4.8.
>> Una de las placas de red le hice un bridge y me quedo como "xenbr2"
>> Esta es la cfg que use en /etc/network/interfaces:
>>
>> allow-hotplug eno49
>> iface eno49 inet manual
>>
>> auto xenbr2
>> iface xenbr2 inet static
>>         bridge_ports eno49
>>         bridge_stp off
>>         address 192.168.0.6
>>         netmask 255.255.255.0
>>         gateway 192.168.0.249
>>         dns-nameservers 192.168.0.249
>>
>> Me funciona todo barbaro, desde la LAN puedo acceder tranquilamente,
>> el br funciona y tengo corriendo varias maquinas dentro y salen sin
>> problemas...
>>
>> El problema en cuestion, es que me conecto al OpenVPN desde afuera a
>> un servidor que esta en la LAN, y no llego a esa interfaz! Ni con un
>> ping, ni ssh, ni ningun servicio!!! Mire en los logs del firewall y no
>> es problema del firewall! Pero si saco el bridge y pongo la interfaz
>> normal con IP si puedo llegar desde la VPN!
>>
>> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o hace
>> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> maquinas distintas con diferentes versiones de Debian!
>>
>> Desde ya les agradezco toda ayuda que me puedan brindar!
>>
>

Desde la LAN local si tengo acceso, desde el OpenVPN no tengo acceso a
esta interfaz, pero si a las demas... Si deshabilito el Bridge de la
interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
acceder!

Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
varias opciones y nada!

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Cristian Mitchell


El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
El día 12 de abril de 2018, 21:03, Paynalton <[hidden email]> escribió:
> Desde la lan local si tienes acceso a esa interfaz que mencionas???.
>
> Si es así es cuestión de habillitar el enrutamiento en openvpn.
>
> El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX <[hidden email]>
> escribió:
>>
>> Estimados, tengo un problema muy extraño y quizas alguien ya le ha
>> pasado y pueda decirme como solucionarlo:
>>
>> Tengo un Debian Stretch donde instale xen 4.8.
>> Una de las placas de red le hice un bridge y me quedo como "xenbr2"
>> Esta es la cfg que use en /etc/network/interfaces:
>>
>> allow-hotplug eno49
>> iface eno49 inet manual
>>
>> auto xenbr2
>> iface xenbr2 inet static
>>         bridge_ports eno49
>>         bridge_stp off
>>         address 192.168.0.6
>>         netmask 255.255.255.0
>>         gateway 192.168.0.249
>>         dns-nameservers 192.168.0.249
>>
>> Me funciona todo barbaro, desde la LAN puedo acceder tranquilamente,
>> el br funciona y tengo corriendo varias maquinas dentro y salen sin
>> problemas...

hasta donde, red local y/o internet
 
>>
>> El problema en cuestion, es que me conecto al OpenVPN desde afuera a
>> un servidor que esta en la LAN, y no llego a esa interfaz! Ni con un
servidor o virtual?
siendo virtual que configuracion ip tiene
 
>> ping, ni ssh, ni ningun servicio!!! Mire en los logs del firewall y no
>> es problema del firewall! Pero si saco el bridge y pongo la interfaz
>> normal con IP si puedo llegar desde la VPN!
>>

para probar en foema segura desabilita el firewall para las prueba
la vpn la estas armando desde maquina a maquina o de una maquina a una virtual
la maquina remota es local o esta fuera
si esta fuera el router donde redirecciona los puertos de la VPN
 
>> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o hace
>> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> maquinas distintas con diferentes versiones de Debian!
>>
>> Desde ya les agradezco toda ayuda que me puedan brindar!
>>
>

Desde la LAN local si tengo acceso, desde el OpenVPN no tengo acceso a
esta interfaz, pero si a las demas... Si deshabilito el Bridge de la
interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
acceder!

Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
varias opciones y nada!


El bridge y el ruteo son capas diferentes

192.168.0.6 es la ip del host?
y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
desde un equipo diferente
podes pinguear a la 6 y a la 10?
cual es puerta de enlace de las virtuales


--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

OddieX
Cristian gracias por contestar!

Te cuento, el servidor al que no llego es el Host con XEN, que
contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
los que SI LLEGO SIN PROBLEMAS! Pero al Host no...

La VPN la establezco contra otro equipo de la misma RED que es el
firewall de Bastion y el GW de toda la red, pero en el firewall le
meti info a todo y vi como me tira todo ACCEPT, descarto problema de
firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
llegar, pero si puedo llegar a las maquinas virtuales que tengo
dentro!

Por eso es algo muy raro!!!



El día 12 de abril de 2018, 21:37, Cristian Mitchell
<[hidden email]> escribió:

>
>
> El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>>
>> El día 12 de abril de 2018, 21:03, Paynalton <[hidden email]>
>> escribió:
>> > Desde la lan local si tienes acceso a esa interfaz que mencionas???.
>> >
>> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>> >
>> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX <[hidden email]>
>> > escribió:
>> >>
>> >> Estimados, tengo un problema muy extraño y quizas alguien ya le ha
>> >> pasado y pueda decirme como solucionarlo:
>> >>
>> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> Una de las placas de red le hice un bridge y me quedo como "xenbr2"
>> >> Esta es la cfg que use en /etc/network/interfaces:
>> >>
>> >> allow-hotplug eno49
>> >> iface eno49 inet manual
>> >>
>> >> auto xenbr2
>> >> iface xenbr2 inet static
>> >>         bridge_ports eno49
>> >>         bridge_stp off
>> >>         address 192.168.0.6
>> >>         netmask 255.255.255.0
>> >>         gateway 192.168.0.249
>> >>         dns-nameservers 192.168.0.249
>> >>
>> >> Me funciona todo barbaro, desde la LAN puedo acceder tranquilamente,
>> >> el br funciona y tengo corriendo varias maquinas dentro y salen sin
>> >> problemas...
>
>
> hasta donde, red local y/o internet
>
>>
>> >>
>> >> El problema en cuestion, es que me conecto al OpenVPN desde afuera a
>> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni con un
>
> servidor o virtual?
> siendo virtual que configuracion ip tiene
>
>>
>> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del firewall y no
>> >> es problema del firewall! Pero si saco el bridge y pongo la interfaz
>> >> normal con IP si puedo llegar desde la VPN!
>> >>
>
>
> para probar en foema segura desabilita el firewall para las prueba
> la vpn la estas armando desde maquina a maquina o de una maquina a una
> virtual
> la maquina remota es local o esta fuera
> si esta fuera el router donde redirecciona los puertos de la VPN
>
>>
>> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o hace
>> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> >> maquinas distintas con diferentes versiones de Debian!
>> >>
>> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >>
>> >
>>
>> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo acceso a
>> esta interfaz, pero si a las demas... Si deshabilito el Bridge de la
>> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> acceder!
>>
>> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> varias opciones y nada!
>>
>
> El bridge y el ruteo son capas diferentes
>
> 192.168.0.6 es la ip del host?
> y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
> desde un equipo diferente
> podes pinguear a la 6 y a la 10?
> cual es puerta de enlace de las virtuales
>
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Cristian Mitchell


El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
Cristian gracias por contestar!

Te cuento, el servidor al que no llego es el Host con XEN, que
contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
los que SI LLEGO SIN PROBLEMAS! Pero al Host no...

La VPN la establezco contra otro equipo de la misma RED que es el
firewall de Bastion y el GW de toda la red, pero en el firewall le
meti info a todo y vi como me tira todo ACCEPT, descarto problema de
firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
llegar, pero si puedo llegar a las maquinas virtuales que tengo
dentro!

Por eso es algo muy raro!!!



El día 12 de abril de 2018, 21:37, Cristian Mitchell
<[hidden email]> escribió:
>
>
> El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>>
>> El día 12 de abril de 2018, 21:03, Paynalton <[hidden email]>
>> escribió:
>> > Desde la lan local si tienes acceso a esa interfaz que mencionas???.
>> >
>> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>> >
>> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX <[hidden email]>
>> > escribió:
>> >>
>> >> Estimados, tengo un problema muy extraño y quizas alguien ya le ha
>> >> pasado y pueda decirme como solucionarlo:
>> >>
>> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> Una de las placas de red le hice un bridge y me quedo como "xenbr2"
>> >> Esta es la cfg que use en /etc/network/interfaces:
>> >>
>> >> allow-hotplug eno49
>> >> iface eno49 inet manual
>> >>
>> >> auto xenbr2
>> >> iface xenbr2 inet static
>> >>         bridge_ports eno49
>> >>         bridge_stp off
>> >>         address 192.168.0.6
>> >>         netmask 255.255.255.0
>> >>         gateway 192.168.0.249
>> >>         dns-nameservers 192.168.0.249
>> >>
>> >> Me funciona todo barbaro, desde la LAN puedo acceder tranquilamente,
>> >> el br funciona y tengo corriendo varias maquinas dentro y salen sin
>> >> problemas...
>
>
> hasta donde, red local y/o internet
>
>>
>> >>
>> >> El problema en cuestion, es que me conecto al OpenVPN desde afuera a
>> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni con un
>
> servidor o virtual?
> siendo virtual que configuracion ip tiene
>
>>
>> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del firewall y no
>> >> es problema del firewall! Pero si saco el bridge y pongo la interfaz
>> >> normal con IP si puedo llegar desde la VPN!
>> >>
>
>
> para probar en foema segura desabilita el firewall para las prueba
> la vpn la estas armando desde maquina a maquina o de una maquina a una
> virtual
> la maquina remota es local o esta fuera
> si esta fuera el router donde redirecciona los puertos de la VPN
>
>>
>> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o hace
>> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> >> maquinas distintas con diferentes versiones de Debian!
>> >>
>> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >>
>> >
>>
>> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo acceso a
>> esta interfaz, pero si a las demas... Si deshabilito el Bridge de la
>> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> acceder!
>>
>> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> varias opciones y nada!
>>
>
> El bridge y el ruteo son capas diferentes
>
> 192.168.0.6 es la ip del host?
> y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
> desde un equipo diferente
> podes pinguear a la 6 y a la 10?
> cual es puerta de enlace de las virtuales
>
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


pinguea desde las virtuales e intentea conectarte con ssh

y si no anda proba las sigueinte opciones
bridge_fd 0 y 5
bridgeg_maxwait 0 y 5

puede se el tiempo de activacion del bridgeg




--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Ramses II
El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell <[hidden email]> escribió:

>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>
>> Cristian gracias por contestar!
>>
>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>>
>> La VPN la establezco contra otro equipo de la misma RED que es el
>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> meti info a todo y vi como me tira todo ACCEPT, descarto problema de
>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> dentro!
>>
>> Por eso es algo muy raro!!!
>>
>>
>>
>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> <[hidden email]> escribió:
>> >
>> >
>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>> >>
>> >> El día 12 de abril de 2018, 21:03, Paynalton
><[hidden email]>
>> >> escribió:
>> >> > Desde la lan local si tienes acceso a esa interfaz que
>mencionas???.
>> >> >
>> >> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>> >> >
>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
><[hidden email]>
>> >> > escribió:
>> >> >>
>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya le
>ha
>> >> >> pasado y pueda decirme como solucionarlo:
>> >> >>
>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> >> Una de las placas de red le hice un bridge y me quedo como
>"xenbr2"
>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >> >>
>> >> >> allow-hotplug eno49
>> >> >> iface eno49 inet manual
>> >> >>
>> >> >> auto xenbr2
>> >> >> iface xenbr2 inet static
>> >> >>         bridge_ports eno49
>> >> >>         bridge_stp off
>> >> >>         address 192.168.0.6
>> >> >>         netmask 255.255.255.0
>> >> >>         gateway 192.168.0.249
>> >> >>         dns-nameservers 192.168.0.249
>> >> >>
>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>tranquilamente,
>> >> >> el br funciona y tengo corriendo varias maquinas dentro y salen
>sin
>> >> >> problemas...
>> >
>> >
>> > hasta donde, red local y/o internet
>> >
>> >>
>> >> >>
>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>afuera a
>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>con un
>> >
>> > servidor o virtual?
>> > siendo virtual que configuracion ip tiene
>> >
>> >>
>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>firewall y
>> no
>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>interfaz
>> >> >> normal con IP si puedo llegar desde la VPN!
>> >> >>
>> >
>> >
>> > para probar en foema segura desabilita el firewall para las prueba
>> > la vpn la estas armando desde maquina a maquina o de una maquina a
>una
>> > virtual
>> > la maquina remota es local o esta fuera
>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >
>> >>
>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o
>hace
>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >> >>
>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >> >>
>> >> >
>> >>
>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>acceso a
>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge de
>la
>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >> acceder!
>> >>
>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >> varias opciones y nada!
>> >>
>> >
>> > El bridge y el ruteo son capas diferentes
>> >
>> > 192.168.0.6 es la ip del host?
>> > y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
>> > desde un equipo diferente
>> > podes pinguear a la 6 y a la 10?
>> > cual es puerta de enlace de las virtuales
>> >
>> >
>> > --
>> > MrIX
>> > Linux user number 412793.
>> > http://counter.li.org/
>> >
>> > las grandes obras,
>> > las sueñan los santos locos,
>> > las realizan los luchadores natos,
>> > las aprovechan los felices cuerdo,
>> > y las critican los inútiles crónicos,
>> >
>>
>>
>pinguea desde las virtuales e intentea conectarte con ssh
>
>y si no anda proba las sigueinte opciones
>bridge_fd 0 y 5
>bridgeg_maxwait 0 y 5
>
>puede se el tiempo de activacion del bridgeg

OddieX, TCPDump puede ser tu amigo...


Saludos,

Ramses

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

OddieX
El día 13 de abril de 2018, 4:32, Ramses <[hidden email]> escribió:

> El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell <[hidden email]> escribió:
>>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>>
>>> Cristian gracias por contestar!
>>>
>>> Te cuento, el servidor al que no llego es el Host con XEN, que
>>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
>>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>>>
>>> La VPN la establezco contra otro equipo de la misma RED que es el
>>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>>> meti info a todo y vi como me tira todo ACCEPT, descarto problema de
>>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
>>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>>> dentro!
>>>
>>> Por eso es algo muy raro!!!
>>>
>>>
>>>
>>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>>> <[hidden email]> escribió:
>>> >
>>> >
>>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>>> >>
>>> >> El día 12 de abril de 2018, 21:03, Paynalton
>><[hidden email]>
>>> >> escribió:
>>> >> > Desde la lan local si tienes acceso a esa interfaz que
>>mencionas???.
>>> >> >
>>> >> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>>> >> >
>>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>><[hidden email]>
>>> >> > escribió:
>>> >> >>
>>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya le
>>ha
>>> >> >> pasado y pueda decirme como solucionarlo:
>>> >> >>
>>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>>> >> >> Una de las placas de red le hice un bridge y me quedo como
>>"xenbr2"
>>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>>> >> >>
>>> >> >> allow-hotplug eno49
>>> >> >> iface eno49 inet manual
>>> >> >>
>>> >> >> auto xenbr2
>>> >> >> iface xenbr2 inet static
>>> >> >>         bridge_ports eno49
>>> >> >>         bridge_stp off
>>> >> >>         address 192.168.0.6
>>> >> >>         netmask 255.255.255.0
>>> >> >>         gateway 192.168.0.249
>>> >> >>         dns-nameservers 192.168.0.249
>>> >> >>
>>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>>tranquilamente,
>>> >> >> el br funciona y tengo corriendo varias maquinas dentro y salen
>>sin
>>> >> >> problemas...
>>> >
>>> >
>>> > hasta donde, red local y/o internet
>>> >
>>> >>
>>> >> >>
>>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>>afuera a
>>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>>con un
>>> >
>>> > servidor o virtual?
>>> > siendo virtual que configuracion ip tiene
>>> >
>>> >>
>>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>>firewall y
>>> no
>>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>>interfaz
>>> >> >> normal con IP si puedo llegar desde la VPN!
>>> >> >>
>>> >
>>> >
>>> > para probar en foema segura desabilita el firewall para las prueba
>>> > la vpn la estas armando desde maquina a maquina o de una maquina a
>>una
>>> > virtual
>>> > la maquina remota es local o esta fuera
>>> > si esta fuera el router donde redirecciona los puertos de la VPN
>>> >
>>> >>
>>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o
>>hace
>>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>>> >> >> maquinas distintas con diferentes versiones de Debian!
>>> >> >>
>>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>>> >> >>
>>> >> >
>>> >>
>>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>>acceso a
>>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge de
>>la
>>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>>> >> acceder!
>>> >>
>>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>>> >> varias opciones y nada!
>>> >>
>>> >
>>> > El bridge y el ruteo son capas diferentes
>>> >
>>> > 192.168.0.6 es la ip del host?
>>> > y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
>>> > desde un equipo diferente
>>> > podes pinguear a la 6 y a la 10?
>>> > cual es puerta de enlace de las virtuales
>>> >
>>> >
>>> > --
>>> > MrIX
>>> > Linux user number 412793.
>>> > http://counter.li.org/
>>> >
>>> > las grandes obras,
>>> > las sueñan los santos locos,
>>> > las realizan los luchadores natos,
>>> > las aprovechan los felices cuerdo,
>>> > y las critican los inútiles crónicos,
>>> >
>>>
>>>
>>pinguea desde las virtuales e intentea conectarte con ssh
>>
>>y si no anda proba las sigueinte opciones
>>bridge_fd 0 y 5
>>bridgeg_maxwait 0 y 5
>>
>>puede se el tiempo de activacion del bridgeg
>
> OddieX, TCPDump puede ser tu amigo...
>
>
> Saludos,
>
> Ramses
>



Cristian, desde las virtuales tambien funciona el SSH, funciona de
todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
anda perfecto con todos los equipos de la red! Solo con la que tienen
bridge configurados no funciona!


Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
bridge no llega!

# tcpdump -vvv "dst port 22" -i eno50
tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
262144 bytes
14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
proto TCP (6), length 52)
    10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
0x270c (correct), seq 903102505, win 8192, options [mss
1368,nop,wscale 2,nop,nop,sackOK], length 0
14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
proto TCP (6), length 52)
    10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
0x270c (correct), seq 903102505, win 8192, options [mss
1368,nop,wscale 2,nop,nop,sackOK], length 0
2 packets captured
2 packets received by filter
0 packets dropped by kernel



# tcpdump -vvv "dst port 22" -i xenbr2
tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
size 262144 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Es por eso que estoy seguro que el problema esta en el brctrl al crear
el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
descubrir cual es el problema!

Gracias por la ayuda!

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Cristian Mitchell


El 13 de abril de 2018, 14:22, OddieX<[hidden email]> escribió:
El día 13 de abril de 2018, 4:32, Ramses <[hidden email]> escribió:
> El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell <[hidden email]> escribió:
>>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>>
>>> Cristian gracias por contestar!
>>>
>>> Te cuento, el servidor al que no llego es el Host con XEN, que
>>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
>>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>>>
>>> La VPN la establezco contra otro equipo de la misma RED que es el
>>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>>> meti info a todo y vi como me tira todo ACCEPT, descarto problema de
>>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
>>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>>> dentro!
>>>
>>> Por eso es algo muy raro!!!
>>>
>>>
>>>
>>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>>> <[hidden email]> escribió:
>>> >
>>> >
>>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>>> >>
>>> >> El día 12 de abril de 2018, 21:03, Paynalton
>><[hidden email]>
>>> >> escribió:
>>> >> > Desde la lan local si tienes acceso a esa interfaz que
>>mencionas???.
>>> >> >
>>> >> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>>> >> >
>>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>><[hidden email]>
>>> >> > escribió:
>>> >> >>
>>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya le
>>ha
>>> >> >> pasado y pueda decirme como solucionarlo:
>>> >> >>
>>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>>> >> >> Una de las placas de red le hice un bridge y me quedo como
>>"xenbr2"
>>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>>> >> >>
>>> >> >> allow-hotplug eno49
>>> >> >> iface eno49 inet manual
>>> >> >>
>>> >> >> auto xenbr2
>>> >> >> iface xenbr2 inet static
>>> >> >>         bridge_ports eno49
>>> >> >>         bridge_stp off
>>> >> >>         address 192.168.0.6
>>> >> >>         netmask 255.255.255.0
>>> >> >>         gateway 192.168.0.249
>>> >> >>         dns-nameservers 192.168.0.249
>>> >> >>
>>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>>tranquilamente,
>>> >> >> el br funciona y tengo corriendo varias maquinas dentro y salen
>>sin
>>> >> >> problemas...
>>> >
>>> >
>>> > hasta donde, red local y/o internet
>>> >
>>> >>
>>> >> >>
>>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>>afuera a
>>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>>con un
>>> >
>>> > servidor o virtual?
>>> > siendo virtual que configuracion ip tiene
>>> >
>>> >>
>>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>>firewall y
>>> no
>>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>>interfaz
>>> >> >> normal con IP si puedo llegar desde la VPN!
>>> >> >>
>>> >
>>> >
>>> > para probar en foema segura desabilita el firewall para las prueba
>>> > la vpn la estas armando desde maquina a maquina o de una maquina a
>>una
>>> > virtual
>>> > la maquina remota es local o esta fuera
>>> > si esta fuera el router donde redirecciona los puertos de la VPN
>>> >
>>> >>
>>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o
>>hace
>>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>>> >> >> maquinas distintas con diferentes versiones de Debian!
>>> >> >>
>>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>>> >> >>
>>> >> >
>>> >>
>>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>>acceso a
>>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge de
>>la
>>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>>> >> acceder!
>>> >>
>>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>>> >> varias opciones y nada!
>>> >>
>>> >
>>> > El bridge y el ruteo son capas diferentes
>>> >
>>> > 192.168.0.6 es la ip del host?
>>> > y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
>>> > desde un equipo diferente
>>> > podes pinguear a la 6 y a la 10?
>>> > cual es puerta de enlace de las virtuales
>>> >
>>> >
>>> > --
>>> > MrIX
>>> > Linux user number 412793.
>>> > http://counter.li.org/
>>> >
>>> > las grandes obras,
>>> > las sueñan los santos locos,
>>> > las realizan los luchadores natos,
>>> > las aprovechan los felices cuerdo,
>>> > y las critican los inútiles crónicos,
>>> >
>>>
>>>
>>pinguea desde las virtuales e intentea conectarte con ssh
>>
>>y si no anda proba las sigueinte opciones
>>bridge_fd 0 y 5
>>bridgeg_maxwait 0 y 5
>>
>>puede se el tiempo de activacion del bridgeg
>
> OddieX, TCPDump puede ser tu amigo...
>
>
> Saludos,
>
> Ramses
>



Cristian, desde las virtuales tambien funciona el SSH, funciona de
todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
anda perfecto con todos los equipos de la red! Solo con la que tienen
bridge configurados no funciona!


Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
bridge no llega!

# tcpdump -vvv "dst port 22" -i eno50
tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
262144 bytes
14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
proto TCP (6), length 52)
    10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
0x270c (correct), seq 903102505, win 8192, options [mss
1368,nop,wscale 2,nop,nop,sackOK], length 0
14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
proto TCP (6), length 52)
    10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
0x270c (correct), seq 903102505, win 8192, options [mss
1368,nop,wscale 2,nop,nop,sackOK], length 0
2 packets captured
2 packets received by filter
0 packets dropped by kernel



# tcpdump -vvv "dst port 22" -i xenbr2
tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
size 262144 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Es por eso que estoy seguro que el problema esta en el brctrl al crear
el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
descubrir cual es el problema!

Gracias por la ayuda!


Como tenes configurado el openvpn?
recien acabo de resolver un problema muy pareciodo con  ipsec en un equipo propietario
y el problema era de unas tablas de ruteo

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Cristian Mitchell


El 19 de abril de 2018, 20:52, OddieX<[hidden email]> escribió:
El día 13 de abril de 2018, 16:37, Cristian Mitchell
<[hidden email]> escribió:
>
>
> El 13 de abril de 2018, 14:22, OddieX<[hidden email]> escribió:
>>
>> El día 13 de abril de 2018, 4:32, Ramses <[hidden email]>
>> escribió:
>> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> > <[hidden email]> escribió:
>> >>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>> >>
>> >>> Cristian gracias por contestar!
>> >>>
>> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos a
>> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >>>
>> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema de
>> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED CON
>> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >>> dentro!
>> >>>
>> >>> Por eso es algo muy raro!!!
>> >>>
>> >>>
>> >>>
>> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >>> <[hidden email]> escribió:
>> >>> >
>> >>> >
>> >>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>> >>> >>
>> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >><[hidden email]>
>> >>> >> escribió:
>> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >>mencionas???.
>> >>> >> >
>> >>> >> > Si es así es cuestión de habillitar el enrutamiento en openvpn.
>> >>> >> >
>> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >><[hidden email]>
>> >>> >> > escribió:
>> >>> >> >>
>> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya le
>> >>ha
>> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >>> >> >>
>> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >>"xenbr2"
>> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >>> >> >>
>> >>> >> >> allow-hotplug eno49
>> >>> >> >> iface eno49 inet manual
>> >>> >> >>
>> >>> >> >> auto xenbr2
>> >>> >> >> iface xenbr2 inet static
>> >>> >> >>         bridge_ports eno49
>> >>> >> >>         bridge_stp off
>> >>> >> >>         address 192.168.0.6
>> >>> >> >>         netmask 255.255.255.0
>> >>> >> >>         gateway 192.168.0.249
>> >>> >> >>         dns-nameservers 192.168.0.249
>> >>> >> >>
>> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >>tranquilamente,
>> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y salen
>> >>sin
>> >>> >> >> problemas...
>> >>> >
>> >>> >
>> >>> > hasta donde, red local y/o internet
>> >>> >
>> >>> >>
>> >>> >> >>
>> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >>afuera a
>> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >>con un
>> >>> >
>> >>> > servidor o virtual?
>> >>> > siendo virtual que configuracion ip tiene
>> >>> >
>> >>> >>
>> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >>firewall y
>> >>> no
>> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >>interfaz
>> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >>> >> >>
>> >>> >
>> >>> >
>> >>> > para probar en foema segura desabilita el firewall para las prueba
>> >>> > la vpn la estas armando desde maquina a maquina o de una maquina a
>> >>una
>> >>> > virtual
>> >>> > la maquina remota es local o esta fuera
>> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >>> >
>> >>> >>
>> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo, o
>> >>hace
>> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en 3
>> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >>> >> >>
>> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >>> >> >>
>> >>> >> >
>> >>> >>
>> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >>acceso a
>> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge de
>> >>la
>> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >>> >> acceder!
>> >>> >>
>> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >>> >> varias opciones y nada!
>> >>> >>
>> >>> >
>> >>> > El bridge y el ruteo son capas diferentes
>> >>> >
>> >>> > 192.168.0.6 es la ip del host?
>> >>> > y supongo que cualquier virtual tiene una ip tipo ej (192.168.0.10)
>> >>> > desde un equipo diferente
>> >>> > podes pinguear a la 6 y a la 10?
>> >>> > cual es puerta de enlace de las virtuales
>> >>> >
>> >>> >
>> >>> > --
>> >>> > MrIX
>> >>> > Linux user number 412793.
>> >>> > http://counter.li.org/
>> >>> >
>> >>> > las grandes obras,
>> >>> > las sueñan los santos locos,
>> >>> > las realizan los luchadores natos,
>> >>> > las aprovechan los felices cuerdo,
>> >>> > y las critican los inútiles crónicos,
>> >>> >
>> >>>
>> >>>
>> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >>
>> >>y si no anda proba las sigueinte opciones
>> >>bridge_fd 0 y 5
>> >>bridgeg_maxwait 0 y 5
>> >>
>> >>puede se el tiempo de activacion del bridgeg
>> >
>> > OddieX, TCPDump puede ser tu amigo...
>> >
>> >
>> > Saludos,
>> >
>> > Ramses
>> >
>>
>>
>>
>> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> bridge configurados no funciona!
>>
>>
>> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> bridge no llega!
>>
>> # tcpdump -vvv "dst port 22" -i eno50
>> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> 262144 bytes
>> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> proto TCP (6), length 52)
>>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> 0x270c (correct), seq 903102505, win 8192, options [mss
>> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> proto TCP (6), length 52)
>>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> 0x270c (correct), seq 903102505, win 8192, options [mss
>> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> 2 packets captured
>> 2 packets received by filter
>> 0 packets dropped by kernel
>>
>>
>>
>> # tcpdump -vvv "dst port 22" -i xenbr2
>> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> size 262144 bytes
>> 0 packets captured
>> 0 packets received by filter
>> 0 packets dropped by kernel
>>
>> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> descubrir cual es el problema!
>>
>> Gracias por la ayuda!
>>
>
> Como tenes configurado el openvpn?
> recien acabo de resolver un problema muy pareciodo con  ipsec en un equipo
> propietario
> y el problema era de unas tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


Config de OpenVPN Server:

dev tun
persist-key
persist-tun
port 1194
proto udp
keepalive 10 120
comp-lzo
ping-restart 0
client-to-client
keepalive 10 120
server 10.21.0.0 255.255.0.0
ifconfig 10.21.0.1 255.255.0.0

# Chequeo de usuarios contra el ldap
script-security 2
plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
username-as-common-name
auth-user-pass-verify auth/auth.pl via-env


# Certificados
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh4096.pem


explicit-exit-notify 1

tls-crypt /etc/openvpn/keys/ta.key
auth SHA512    # This needs to be in client.ovpn too though.
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
ncp-ciphers AES-256-GCM:AES-256-CBC

# Asignacion de IP y rutas
client-config-dir /etc/openvpn/ccd

# Logging options.
ifconfig-pool-persist ipp.txt
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4



Config de OpenVPN cliente (Sin los certificados):

dev tun
persist-key
persist-tun
proto udp
float
route-method exe
route-delay 2
resolv-retry infinite
nobind
remote-cert-tls server
auth SHA512
verb 3
remote 200.XXX.XXX.XXX 1192
comp-lzo


Pero sabes que el problema me parece que es en shorewall? El tema es
que le meti a todo info y no esta bloqueando nada! Pero me sigue
pareciendo raro, porque resulta ser que si saco el bridge, puedo
acceder a la eth0 por ejemplo, con el bridge no...

Oddiex no respndas a mi privado por favor

la respuesta es si a que cualquier coneccion  cuando se levanta y tienen acceso a otra red levanta tablas de ruteo

ahora proba lo siguiente

con cada una de las dos configuraciones del bridge y cada una con la vpn corrindo y no

ip -r

y vemos que pasa en cada una de las configuraciones
lo que te puede estar pasando es la prioridad de las tablas de ruteo

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

OddieX
El día 19 de abril de 2018, 22:25, Cristian Mitchell
<[hidden email]> escribió:

>
>
> El 19 de abril de 2018, 20:52, OddieX<[hidden email]> escribió:
>>
>> El día 13 de abril de 2018, 16:37, Cristian Mitchell
>> <[hidden email]> escribió:
>> >
>> >
>> > El 13 de abril de 2018, 14:22, OddieX<[hidden email]> escribió:
>> >>
>> >> El día 13 de abril de 2018, 4:32, Ramses <[hidden email]>
>> >> escribió:
>> >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> >> > <[hidden email]> escribió:
>> >> >>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>> >> >>
>> >> >>> Cristian gracias por contestar!
>> >> >>>
>> >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos
>> >> >>> a
>> >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >> >>>
>> >> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema
>> >> >>> de
>> >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED
>> >> >>> CON
>> >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >> >>> dentro!
>> >> >>>
>> >> >>> Por eso es algo muy raro!!!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >> >>> <[hidden email]> escribió:
>> >> >>> >
>> >> >>> >
>> >> >>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>> >> >>> >>
>> >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >> >><[hidden email]>
>> >> >>> >> escribió:
>> >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >> >>mencionas???.
>> >> >>> >> >
>> >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en
>> >> >>> >> > openvpn.
>> >> >>> >> >
>> >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >> >><[hidden email]>
>> >> >>> >> > escribió:
>> >> >>> >> >>
>> >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya
>> >> >>> >> >> le
>> >> >>ha
>> >> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >> >>> >> >>
>> >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >> >>"xenbr2"
>> >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >> >>> >> >>
>> >> >>> >> >> allow-hotplug eno49
>> >> >>> >> >> iface eno49 inet manual
>> >> >>> >> >>
>> >> >>> >> >> auto xenbr2
>> >> >>> >> >> iface xenbr2 inet static
>> >> >>> >> >>         bridge_ports eno49
>> >> >>> >> >>         bridge_stp off
>> >> >>> >> >>         address 192.168.0.6
>> >> >>> >> >>         netmask 255.255.255.0
>> >> >>> >> >>         gateway 192.168.0.249
>> >> >>> >> >>         dns-nameservers 192.168.0.249
>> >> >>> >> >>
>> >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >> >>tranquilamente,
>> >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y
>> >> >>> >> >> salen
>> >> >>sin
>> >> >>> >> >> problemas...
>> >> >>> >
>> >> >>> >
>> >> >>> > hasta donde, red local y/o internet
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >>
>> >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >> >>afuera a
>> >> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >> >>con un
>> >> >>> >
>> >> >>> > servidor o virtual?
>> >> >>> > siendo virtual que configuracion ip tiene
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >> >>firewall y
>> >> >>> no
>> >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >> >>interfaz
>> >> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >> >>> >> >>
>> >> >>> >
>> >> >>> >
>> >> >>> > para probar en foema segura desabilita el firewall para las
>> >> >>> > prueba
>> >> >>> > la vpn la estas armando desde maquina a maquina o de una maquina
>> >> >>> > a
>> >> >>una
>> >> >>> > virtual
>> >> >>> > la maquina remota es local o esta fuera
>> >> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo,
>> >> >>> >> >> o
>> >> >>hace
>> >> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en
>> >> >>> >> >> 3
>> >> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >> >>> >> >>
>> >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >> >>> >> >>
>> >> >>> >> >
>> >> >>> >>
>> >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >> >>acceso a
>> >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge
>> >> >>> >> de
>> >> >>la
>> >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >> >>> >> acceder!
>> >> >>> >>
>> >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >> >>> >> varias opciones y nada!
>> >> >>> >>
>> >> >>> >
>> >> >>> > El bridge y el ruteo son capas diferentes
>> >> >>> >
>> >> >>> > 192.168.0.6 es la ip del host?
>> >> >>> > y supongo que cualquier virtual tiene una ip tipo ej
>> >> >>> > (192.168.0.10)
>> >> >>> > desde un equipo diferente
>> >> >>> > podes pinguear a la 6 y a la 10?
>> >> >>> > cual es puerta de enlace de las virtuales
>> >> >>> >
>> >> >>> >
>> >> >>> > --
>> >> >>> > MrIX
>> >> >>> > Linux user number 412793.
>> >> >>> > http://counter.li.org/
>> >> >>> >
>> >> >>> > las grandes obras,
>> >> >>> > las sueñan los santos locos,
>> >> >>> > las realizan los luchadores natos,
>> >> >>> > las aprovechan los felices cuerdo,
>> >> >>> > y las critican los inútiles crónicos,
>> >> >>> >
>> >> >>>
>> >> >>>
>> >> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >> >>
>> >> >>y si no anda proba las sigueinte opciones
>> >> >>bridge_fd 0 y 5
>> >> >>bridgeg_maxwait 0 y 5
>> >> >>
>> >> >>puede se el tiempo de activacion del bridgeg
>> >> >
>> >> > OddieX, TCPDump puede ser tu amigo...
>> >> >
>> >> >
>> >> > Saludos,
>> >> >
>> >> > Ramses
>> >> >
>> >>
>> >>
>> >>
>> >> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> >> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> >> bridge configurados no funciona!
>> >>
>> >>
>> >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> >> bridge no llega!
>> >>
>> >> # tcpdump -vvv "dst port 22" -i eno50
>> >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> >> 262144 bytes
>> >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 2 packets captured
>> >> 2 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >>
>> >>
>> >> # tcpdump -vvv "dst port 22" -i xenbr2
>> >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> >> size 262144 bytes
>> >> 0 packets captured
>> >> 0 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> >> descubrir cual es el problema!
>> >>
>> >> Gracias por la ayuda!
>> >>
>> >
>> > Como tenes configurado el openvpn?
>> > recien acabo de resolver un problema muy pareciodo con  ipsec en un
>> > equipo
>> > propietario
>> > y el problema era de unas tablas de ruteo
>> >
>> > --
>> > MrIX
>> > Linux user number 412793.
>> > http://counter.li.org/
>> >
>> > las grandes obras,
>> > las sueñan los santos locos,
>> > las realizan los luchadores natos,
>> > las aprovechan los felices cuerdo,
>> > y las critican los inútiles crónicos,
>> >
>>
>>
>> Config de OpenVPN Server:
>>
>> dev tun
>> persist-key
>> persist-tun
>> port 1194
>> proto udp
>> keepalive 10 120
>> comp-lzo
>> ping-restart 0
>> client-to-client
>> keepalive 10 120
>> server 10.21.0.0 255.255.0.0
>> ifconfig 10.21.0.1 255.255.0.0
>>
>> # Chequeo de usuarios contra el ldap
>> script-security 2
>> plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
>> username-as-common-name
>> auth-user-pass-verify auth/auth.pl via-env
>>
>>
>> # Certificados
>> ca /etc/openvpn/keys/ca.crt
>> cert /etc/openvpn/keys/server.crt
>> key /etc/openvpn/keys/server.key
>> dh /etc/openvpn/keys/dh4096.pem
>>
>>
>> explicit-exit-notify 1
>>
>> tls-crypt /etc/openvpn/keys/ta.key
>> auth SHA512    # This needs to be in client.ovpn too though.
>> tls-version-min 1.2
>> tls-cipher
>> TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
>> ncp-ciphers AES-256-GCM:AES-256-CBC
>>
>> # Asignacion de IP y rutas
>> client-config-dir /etc/openvpn/ccd
>>
>> # Logging options.
>> ifconfig-pool-persist ipp.txt
>> status /var/log/openvpn/openvpn-status.log
>> log /var/log/openvpn/openvpn.log
>> verb 4
>>
>>
>>
>> Config de OpenVPN cliente (Sin los certificados):
>>
>> dev tun
>> persist-key
>> persist-tun
>> proto udp
>> float
>> route-method exe
>> route-delay 2
>> resolv-retry infinite
>> nobind
>> remote-cert-tls server
>> auth SHA512
>> verb 3
>> remote 200.XXX.XXX.XXX 1192
>> comp-lzo
>>
>>
>> Pero sabes que el problema me parece que es en shorewall? El tema es
>> que le meti a todo info y no esta bloqueando nada! Pero me sigue
>> pareciendo raro, porque resulta ser que si saco el bridge, puedo
>> acceder a la eth0 por ejemplo, con el bridge no...
>
>
> Oddiex no respndas a mi privado por favor
>
> la respuesta es si a que cualquier coneccion  cuando se levanta y tienen
> acceso a otra red levanta tablas de ruteo
>
> ahora proba lo siguiente
>
> con cada una de las dos configuraciones del bridge y cada una con la vpn
> corrindo y no
>
> ip -r
>
> y vemos que pasa en cada una de las configuraciones
> lo que te puede estar pasando es la prioridad de las tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


Sry se me chispoteo...

Las rutas estan bien, de echo tengo varias subredes y todas andan joya
y llego a todos los hosts de la red, menos a los que tienen echo un
bridge en su interfaz...

10.10.1.0/24 dev eth3 proto kernel scope link src 10.10.1.249
10.21.0.0/16 via 10.21.0.2 dev tun0
10.21.0.2 dev tun0 proto kernel scope link src 10.21.0.1
172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.0.253
192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.249
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.3.0/24 via 192.168.0.15 dev eth2
192.168.4.0/24 via 192.168.0.15 dev eth2
192.168.5.0/24 via 192.168.0.15 dev eth2
192.168.6.0/24 via 192.168.0.15 dev eth2
192.168.7.0/24 via 192.168.0.15 dev eth2
192.168.8.0/24 via 192.168.0.15 dev eth2
192.168.9.0/24 via 192.168.0.15 dev eth2
192.168.10.0/24 via 192.168.0.10 dev eth2
192.168.254.0/24 via 192.168.0.15 dev eth2

Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Cristian Mitchell


El vie., 20 de abr. de 2018 6:56 AM, OddieX <[hidden email]> escribió:
El día 19 de abril de 2018, 22:25, Cristian Mitchell
<[hidden email]> escribió:
>
>
> El 19 de abril de 2018, 20:52, OddieX<[hidden email]> escribió:
>>
>> El día 13 de abril de 2018, 16:37, Cristian Mitchell
>> <[hidden email]> escribió:
>> >
>> >
>> > El 13 de abril de 2018, 14:22, OddieX<[hidden email]> escribió:
>> >>
>> >> El día 13 de abril de 2018, 4:32, Ramses <[hidden email]>
>> >> escribió:
>> >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> >> > <[hidden email]> escribió:
>> >> >>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>> >> >>
>> >> >>> Cristian gracias por contestar!
>> >> >>>
>> >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos
>> >> >>> a
>> >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >> >>>
>> >> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema
>> >> >>> de
>> >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED
>> >> >>> CON
>> >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >> >>> dentro!
>> >> >>>
>> >> >>> Por eso es algo muy raro!!!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >> >>> <[hidden email]> escribió:
>> >> >>> >
>> >> >>> >
>> >> >>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>> >> >>> >>
>> >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >> >><[hidden email]>
>> >> >>> >> escribió:
>> >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >> >>mencionas???.
>> >> >>> >> >
>> >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en
>> >> >>> >> > openvpn.
>> >> >>> >> >
>> >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >> >><[hidden email]>
>> >> >>> >> > escribió:
>> >> >>> >> >>
>> >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya
>> >> >>> >> >> le
>> >> >>ha
>> >> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >> >>> >> >>
>> >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >> >>"xenbr2"
>> >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >> >>> >> >>
>> >> >>> >> >> allow-hotplug eno49
>> >> >>> >> >> iface eno49 inet manual
>> >> >>> >> >>
>> >> >>> >> >> auto xenbr2
>> >> >>> >> >> iface xenbr2 inet static
>> >> >>> >> >>         bridge_ports eno49
>> >> >>> >> >>         bridge_stp off
>> >> >>> >> >>         address 192.168.0.6
>> >> >>> >> >>         netmask 255.255.255.0
>> >> >>> >> >>         gateway 192.168.0.249
>> >> >>> >> >>         dns-nameservers 192.168.0.249
>> >> >>> >> >>
>> >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >> >>tranquilamente,
>> >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y
>> >> >>> >> >> salen
>> >> >>sin
>> >> >>> >> >> problemas...
>> >> >>> >
>> >> >>> >
>> >> >>> > hasta donde, red local y/o internet
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >>
>> >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >> >>afuera a
>> >> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >> >>con un
>> >> >>> >
>> >> >>> > servidor o virtual?
>> >> >>> > siendo virtual que configuracion ip tiene
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >> >>firewall y
>> >> >>> no
>> >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >> >>interfaz
>> >> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >> >>> >> >>
>> >> >>> >
>> >> >>> >
>> >> >>> > para probar en foema segura desabilita el firewall para las
>> >> >>> > prueba
>> >> >>> > la vpn la estas armando desde maquina a maquina o de una maquina
>> >> >>> > a
>> >> >>una
>> >> >>> > virtual
>> >> >>> > la maquina remota es local o esta fuera
>> >> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo,
>> >> >>> >> >> o
>> >> >>hace
>> >> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en
>> >> >>> >> >> 3
>> >> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >> >>> >> >>
>> >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >> >>> >> >>
>> >> >>> >> >
>> >> >>> >>
>> >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >> >>acceso a
>> >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge
>> >> >>> >> de
>> >> >>la
>> >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >> >>> >> acceder!
>> >> >>> >>
>> >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >> >>> >> varias opciones y nada!
>> >> >>> >>
>> >> >>> >
>> >> >>> > El bridge y el ruteo son capas diferentes
>> >> >>> >
>> >> >>> > 192.168.0.6 es la ip del host?
>> >> >>> > y supongo que cualquier virtual tiene una ip tipo ej
>> >> >>> > (192.168.0.10)
>> >> >>> > desde un equipo diferente
>> >> >>> > podes pinguear a la 6 y a la 10?
>> >> >>> > cual es puerta de enlace de las virtuales
>> >> >>> >
>> >> >>> >
>> >> >>> > --
>> >> >>> > MrIX
>> >> >>> > Linux user number 412793.
>> >> >>> > http://counter.li.org/
>> >> >>> >
>> >> >>> > las grandes obras,
>> >> >>> > las sueñan los santos locos,
>> >> >>> > las realizan los luchadores natos,
>> >> >>> > las aprovechan los felices cuerdo,
>> >> >>> > y las critican los inútiles crónicos,
>> >> >>> >
>> >> >>>
>> >> >>>
>> >> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >> >>
>> >> >>y si no anda proba las sigueinte opciones
>> >> >>bridge_fd 0 y 5
>> >> >>bridgeg_maxwait 0 y 5
>> >> >>
>> >> >>puede se el tiempo de activacion del bridgeg
>> >> >
>> >> > OddieX, TCPDump puede ser tu amigo...
>> >> >
>> >> >
>> >> > Saludos,
>> >> >
>> >> > Ramses
>> >> >
>> >>
>> >>
>> >>
>> >> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> >> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> >> bridge configurados no funciona!
>> >>
>> >>
>> >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> >> bridge no llega!
>> >>
>> >> # tcpdump -vvv "dst port 22" -i eno50
>> >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> >> 262144 bytes
>> >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 2 packets captured
>> >> 2 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >>
>> >>
>> >> # tcpdump -vvv "dst port 22" -i xenbr2
>> >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> >> size 262144 bytes
>> >> 0 packets captured
>> >> 0 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> >> descubrir cual es el problema!
>> >>
>> >> Gracias por la ayuda!
>> >>
>> >
>> > Como tenes configurado el openvpn?
>> > recien acabo de resolver un problema muy pareciodo con  ipsec en un
>> > equipo
>> > propietario
>> > y el problema era de unas tablas de ruteo
>> >
>> > --
>> > MrIX
>> > Linux user number 412793.
>> > http://counter.li.org/
>> >
>> > las grandes obras,
>> > las sueñan los santos locos,
>> > las realizan los luchadores natos,
>> > las aprovechan los felices cuerdo,
>> > y las critican los inútiles crónicos,
>> >
>>
>>
>> Config de OpenVPN Server:
>>
>> dev tun
>> persist-key
>> persist-tun
>> port 1194
>> proto udp
>> keepalive 10 120
>> comp-lzo
>> ping-restart 0
>> client-to-client
>> keepalive 10 120
>> server 10.21.0.0 255.255.0.0
>> ifconfig 10.21.0.1 255.255.0.0
>>
>> # Chequeo de usuarios contra el ldap
>> script-security 2
>> plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
>> username-as-common-name
>> auth-user-pass-verify auth/auth.pl via-env
>>
>>
>> # Certificados
>> ca /etc/openvpn/keys/ca.crt
>> cert /etc/openvpn/keys/server.crt
>> key /etc/openvpn/keys/server.key
>> dh /etc/openvpn/keys/dh4096.pem
>>
>>
>> explicit-exit-notify 1
>>
>> tls-crypt /etc/openvpn/keys/ta.key
>> auth SHA512    # This needs to be in client.ovpn too though.
>> tls-version-min 1.2
>> tls-cipher
>> TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
>> ncp-ciphers AES-256-GCM:AES-256-CBC
>>
>> # Asignacion de IP y rutas
>> client-config-dir /etc/openvpn/ccd
>>
>> # Logging options.
>> ifconfig-pool-persist ipp.txt
>> status /var/log/openvpn/openvpn-status.log
>> log /var/log/openvpn/openvpn.log
>> verb 4
>>
>>
>>
>> Config de OpenVPN cliente (Sin los certificados):
>>
>> dev tun
>> persist-key
>> persist-tun
>> proto udp
>> float
>> route-method exe
>> route-delay 2
>> resolv-retry infinite
>> nobind
>> remote-cert-tls server
>> auth SHA512
>> verb 3
>> remote 200.XXX.XXX.XXX 1192
>> comp-lzo
>>
>>
>> Pero sabes que el problema me parece que es en shorewall? El tema es
>> que le meti a todo info y no esta bloqueando nada! Pero me sigue
>> pareciendo raro, porque resulta ser que si saco el bridge, puedo
>> acceder a la eth0 por ejemplo, con el bridge no...
>
>
> Oddiex no respndas a mi privado por favor
>
> la respuesta es si a que cualquier coneccion  cuando se levanta y tienen
> acceso a otra red levanta tablas de ruteo
>
> ahora proba lo siguiente
>
> con cada una de las dos configuraciones del bridge y cada una con la vpn
> corrindo y no
>
> ip -r
>
> y vemos que pasa en cada una de las configuraciones
> lo que te puede estar pasando es la prioridad de las tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


Sry se me chispoteo...

Las rutas estan bien, de echo tengo varias subredes y todas andan joya
y llego a todos los hosts de la red, menos a los que tienen echo un
bridge en su interfaz...

10.10.1.0/24 dev eth3 proto kernel scope link src 10.10.1.249
10.21.0.0/16 via 10.21.0.2 dev tun0
10.21.0.2 dev tun0 proto kernel scope link src 10.21.0.1
172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.0.253
192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.249
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.3.0/24 via 192.168.0.15 dev eth2
192.168.4.0/24 via 192.168.0.15 dev eth2
192.168.5.0/24 via 192.168.0.15 dev eth2
192.168.6.0/24 via 192.168.0.15 dev eth2
192.168.7.0/24 via 192.168.0.15 dev eth2
192.168.8.0/24 via 192.168.0.15 dev eth2
192.168.9.0/24 via 192.168.0.15 dev eth2
192.168.10.0/24 via 192.168.0.10 dev eth2
192.168.254.0/24 via 192.168.0.15 dev eth2

Oddix

La configuración del primer mail, con respecto al último no condicen las configuraciones
Nombres de placas etc
Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

OddieX


El vie., 20 de abr. de 2018 09:05, Cristian Mitchell <[hidden email]> escribió:


El vie., 20 de abr. de 2018 6:56 AM, OddieX <[hidden email]> escribió:
El día 19 de abril de 2018, 22:25, Cristian Mitchell
<[hidden email]> escribió:
>
>
> El 19 de abril de 2018, 20:52, OddieX<[hidden email]> escribió:
>>
>> El día 13 de abril de 2018, 16:37, Cristian Mitchell
>> <[hidden email]> escribió:
>> >
>> >
>> > El 13 de abril de 2018, 14:22, OddieX<[hidden email]> escribió:
>> >>
>> >> El día 13 de abril de 2018, 4:32, Ramses <[hidden email]>
>> >> escribió:
>> >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> >> > <[hidden email]> escribió:
>> >> >>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>> >> >>
>> >> >>> Cristian gracias por contestar!
>> >> >>>
>> >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos
>> >> >>> a
>> >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >> >>>
>> >> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema
>> >> >>> de
>> >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED
>> >> >>> CON
>> >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >> >>> dentro!
>> >> >>>
>> >> >>> Por eso es algo muy raro!!!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >> >>> <[hidden email]> escribió:
>> >> >>> >
>> >> >>> >
>> >> >>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>> >> >>> >>
>> >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >> >><[hidden email]>
>> >> >>> >> escribió:
>> >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >> >>mencionas???.
>> >> >>> >> >
>> >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en
>> >> >>> >> > openvpn.
>> >> >>> >> >
>> >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >> >><[hidden email]>
>> >> >>> >> > escribió:
>> >> >>> >> >>
>> >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya
>> >> >>> >> >> le
>> >> >>ha
>> >> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >> >>> >> >>
>> >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >> >>"xenbr2"
>> >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >> >>> >> >>
>> >> >>> >> >> allow-hotplug eno49
>> >> >>> >> >> iface eno49 inet manual
>> >> >>> >> >>
>> >> >>> >> >> auto xenbr2
>> >> >>> >> >> iface xenbr2 inet static
>> >> >>> >> >>         bridge_ports eno49
>> >> >>> >> >>         bridge_stp off
>> >> >>> >> >>         address 192.168.0.6
>> >> >>> >> >>         netmask 255.255.255.0
>> >> >>> >> >>         gateway 192.168.0.249
>> >> >>> >> >>         dns-nameservers 192.168.0.249
>> >> >>> >> >>
>> >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >> >>tranquilamente,
>> >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y
>> >> >>> >> >> salen
>> >> >>sin
>> >> >>> >> >> problemas...
>> >> >>> >
>> >> >>> >
>> >> >>> > hasta donde, red local y/o internet
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >>
>> >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >> >>afuera a
>> >> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >> >>con un
>> >> >>> >
>> >> >>> > servidor o virtual?
>> >> >>> > siendo virtual que configuracion ip tiene
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >> >>firewall y
>> >> >>> no
>> >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >> >>interfaz
>> >> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >> >>> >> >>
>> >> >>> >
>> >> >>> >
>> >> >>> > para probar en foema segura desabilita el firewall para las
>> >> >>> > prueba
>> >> >>> > la vpn la estas armando desde maquina a maquina o de una maquina
>> >> >>> > a
>> >> >>una
>> >> >>> > virtual
>> >> >>> > la maquina remota es local o esta fuera
>> >> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo,
>> >> >>> >> >> o
>> >> >>hace
>> >> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en
>> >> >>> >> >> 3
>> >> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >> >>> >> >>
>> >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >> >>> >> >>
>> >> >>> >> >
>> >> >>> >>
>> >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >> >>acceso a
>> >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge
>> >> >>> >> de
>> >> >>la
>> >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >> >>> >> acceder!
>> >> >>> >>
>> >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >> >>> >> varias opciones y nada!
>> >> >>> >>
>> >> >>> >
>> >> >>> > El bridge y el ruteo son capas diferentes
>> >> >>> >
>> >> >>> > 192.168.0.6 es la ip del host?
>> >> >>> > y supongo que cualquier virtual tiene una ip tipo ej
>> >> >>> > (192.168.0.10)
>> >> >>> > desde un equipo diferente
>> >> >>> > podes pinguear a la 6 y a la 10?
>> >> >>> > cual es puerta de enlace de las virtuales
>> >> >>> >
>> >> >>> >
>> >> >>> > --
>> >> >>> > MrIX
>> >> >>> > Linux user number 412793.
>> >> >>> > http://counter.li.org/
>> >> >>> >
>> >> >>> > las grandes obras,
>> >> >>> > las sueñan los santos locos,
>> >> >>> > las realizan los luchadores natos,
>> >> >>> > las aprovechan los felices cuerdo,
>> >> >>> > y las critican los inútiles crónicos,
>> >> >>> >
>> >> >>>
>> >> >>>
>> >> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >> >>
>> >> >>y si no anda proba las sigueinte opciones
>> >> >>bridge_fd 0 y 5
>> >> >>bridgeg_maxwait 0 y 5
>> >> >>
>> >> >>puede se el tiempo de activacion del bridgeg
>> >> >
>> >> > OddieX, TCPDump puede ser tu amigo...
>> >> >
>> >> >
>> >> > Saludos,
>> >> >
>> >> > Ramses
>> >> >
>> >>
>> >>
>> >>
>> >> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> >> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> >> bridge configurados no funciona!
>> >>
>> >>
>> >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> >> bridge no llega!
>> >>
>> >> # tcpdump -vvv "dst port 22" -i eno50
>> >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> >> 262144 bytes
>> >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 2 packets captured
>> >> 2 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >>
>> >>
>> >> # tcpdump -vvv "dst port 22" -i xenbr2
>> >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> >> size 262144 bytes
>> >> 0 packets captured
>> >> 0 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> >> descubrir cual es el problema!
>> >>
>> >> Gracias por la ayuda!
>> >>
>> >
>> > Como tenes configurado el openvpn?
>> > recien acabo de resolver un problema muy pareciodo con  ipsec en un
>> > equipo
>> > propietario
>> > y el problema era de unas tablas de ruteo
>> >
>> > --
>> > MrIX
>> > Linux user number 412793.
>> > http://counter.li.org/
>> >
>> > las grandes obras,
>> > las sueñan los santos locos,
>> > las realizan los luchadores natos,
>> > las aprovechan los felices cuerdo,
>> > y las critican los inútiles crónicos,
>> >
>>
>>
>> Config de OpenVPN Server:
>>
>> dev tun
>> persist-key
>> persist-tun
>> port 1194
>> proto udp
>> keepalive 10 120
>> comp-lzo
>> ping-restart 0
>> client-to-client
>> keepalive 10 120
>> server 10.21.0.0 255.255.0.0
>> ifconfig 10.21.0.1 255.255.0.0
>>
>> # Chequeo de usuarios contra el ldap
>> script-security 2
>> plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
>> username-as-common-name
>> auth-user-pass-verify auth/auth.pl via-env
>>
>>
>> # Certificados
>> ca /etc/openvpn/keys/ca.crt
>> cert /etc/openvpn/keys/server.crt
>> key /etc/openvpn/keys/server.key
>> dh /etc/openvpn/keys/dh4096.pem
>>
>>
>> explicit-exit-notify 1
>>
>> tls-crypt /etc/openvpn/keys/ta.key
>> auth SHA512    # This needs to be in client.ovpn too though.
>> tls-version-min 1.2
>> tls-cipher
>> TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
>> ncp-ciphers AES-256-GCM:AES-256-CBC
>>
>> # Asignacion de IP y rutas
>> client-config-dir /etc/openvpn/ccd
>>
>> # Logging options.
>> ifconfig-pool-persist ipp.txt
>> status /var/log/openvpn/openvpn-status.log
>> log /var/log/openvpn/openvpn.log
>> verb 4
>>
>>
>>
>> Config de OpenVPN cliente (Sin los certificados):
>>
>> dev tun
>> persist-key
>> persist-tun
>> proto udp
>> float
>> route-method exe
>> route-delay 2
>> resolv-retry infinite
>> nobind
>> remote-cert-tls server
>> auth SHA512
>> verb 3
>> remote 200.XXX.XXX.XXX 1192
>> comp-lzo
>>
>>
>> Pero sabes que el problema me parece que es en shorewall? El tema es
>> que le meti a todo info y no esta bloqueando nada! Pero me sigue
>> pareciendo raro, porque resulta ser que si saco el bridge, puedo
>> acceder a la eth0 por ejemplo, con el bridge no...
>
>
> Oddiex no respndas a mi privado por favor
>
> la respuesta es si a que cualquier coneccion  cuando se levanta y tienen
> acceso a otra red levanta tablas de ruteo
>
> ahora proba lo siguiente
>
> con cada una de las dos configuraciones del bridge y cada una con la vpn
> corrindo y no
>
> ip -r
>
> y vemos que pasa en cada una de las configuraciones
> lo que te puede estar pasando es la prioridad de las tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


Sry se me chispoteo...

Las rutas estan bien, de echo tengo varias subredes y todas andan joya
y llego a todos los hosts de la red, menos a los que tienen echo un
bridge en su interfaz...

10.10.1.0/24 dev eth3 proto kernel scope link src 10.10.1.249
10.21.0.0/16 via 10.21.0.2 dev tun0
10.21.0.2 dev tun0 proto kernel scope link src 10.21.0.1
172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.0.253
192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.249
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.3.0/24 via 192.168.0.15 dev eth2
192.168.4.0/24 via 192.168.0.15 dev eth2
192.168.5.0/24 via 192.168.0.15 dev eth2
192.168.6.0/24 via 192.168.0.15 dev eth2
192.168.7.0/24 via 192.168.0.15 dev eth2
192.168.8.0/24 via 192.168.0.15 dev eth2
192.168.9.0/24 via 192.168.0.15 dev eth2
192.168.10.0/24 via 192.168.0.10 dev eth2
192.168.254.0/24 via 192.168.0.15 dev eth2

Oddix

La configuración del primer mail, con respecto al último no condicen las configuraciones
Nombres de placas etc

Perfon estaba y estoy bastante quemado! Puse la config sel servidor q hace de bastion el q tiebe el openvpn configurado, no del server con el problema del bridge!


Reply | Threaded
Open this post in threaded view
|

Re: Problema extraño con una eth con un bridge y ruteos

Cristian Mitchell


El 20 de abril de 2018, 11:34, OddieX<[hidden email]> escribió:


El vie., 20 de abr. de 2018 09:05, Cristian Mitchell <[hidden email]> escribió:


El vie., 20 de abr. de 2018 6:56 AM, OddieX <[hidden email]> escribió:
El día 19 de abril de 2018, 22:25, Cristian Mitchell
<[hidden email]> escribió:
>
>
> El 19 de abril de 2018, 20:52, OddieX<[hidden email]> escribió:
>>
>> El día 13 de abril de 2018, 16:37, Cristian Mitchell
>> <[hidden email]> escribió:
>> >
>> >
>> > El 13 de abril de 2018, 14:22, OddieX<[hidden email]> escribió:
>> >>
>> >> El día 13 de abril de 2018, 4:32, Ramses <[hidden email]>
>> >> escribió:
>> >> > El 13 de abril de 2018 3:31:29 CEST, Cristian Mitchell
>> >> > <[hidden email]> escribió:
>> >> >>El 12 de abril de 2018, 22:17, OddieX<[hidden email]> escribió:
>> >> >>
>> >> >>> Cristian gracias por contestar!
>> >> >>>
>> >> >>> Te cuento, el servidor al que no llego es el Host con XEN, que
>> >> >>> contiene el bridge con IP 192.168.0.6, dentro tengo varios equipos
>> >> >>> a
>> >> >>> los que SI LLEGO SIN PROBLEMAS! Pero al Host no...
>> >> >>>
>> >> >>> La VPN la establezco contra otro equipo de la misma RED que es el
>> >> >>> firewall de Bastion y el GW de toda la red, pero en el firewall le
>> >> >>> meti info a todo y vi como me tira todo ACCEPT, descarto problema
>> >> >>> de
>> >> >>> firewall, de echo, SI DESACTIVO EL BRIDGE Y PONGO LA PLACA DE RED
>> >> >>> CON
>> >> >>> ESE IP LLEGO BIEN DESDE LA VPN! Cuando activo el bridge dejo de
>> >> >>> llegar, pero si puedo llegar a las maquinas virtuales que tengo
>> >> >>> dentro!
>> >> >>>
>> >> >>> Por eso es algo muy raro!!!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> El día 12 de abril de 2018, 21:37, Cristian Mitchell
>> >> >>> <[hidden email]> escribió:
>> >> >>> >
>> >> >>> >
>> >> >>> > El 12 de abril de 2018, 21:06, OddieX<[hidden email]> escribió:
>> >> >>> >>
>> >> >>> >> El día 12 de abril de 2018, 21:03, Paynalton
>> >> >><[hidden email]>
>> >> >>> >> escribió:
>> >> >>> >> > Desde la lan local si tienes acceso a esa interfaz que
>> >> >>mencionas???.
>> >> >>> >> >
>> >> >>> >> > Si es así es cuestión de habillitar el enrutamiento en
>> >> >>> >> > openvpn.
>> >> >>> >> >
>> >> >>> >> > El jue., 12 de abr. de 2018 a la(s) 18:12, OddieX
>> >> >><[hidden email]>
>> >> >>> >> > escribió:
>> >> >>> >> >>
>> >> >>> >> >> Estimados, tengo un problema muy extraño y quizas alguien ya
>> >> >>> >> >> le
>> >> >>ha
>> >> >>> >> >> pasado y pueda decirme como solucionarlo:
>> >> >>> >> >>
>> >> >>> >> >> Tengo un Debian Stretch donde instale xen 4.8.
>> >> >>> >> >> Una de las placas de red le hice un bridge y me quedo como
>> >> >>"xenbr2"
>> >> >>> >> >> Esta es la cfg que use en /etc/network/interfaces:
>> >> >>> >> >>
>> >> >>> >> >> allow-hotplug eno49
>> >> >>> >> >> iface eno49 inet manual
>> >> >>> >> >>
>> >> >>> >> >> auto xenbr2
>> >> >>> >> >> iface xenbr2 inet static
>> >> >>> >> >>         bridge_ports eno49
>> >> >>> >> >>         bridge_stp off
>> >> >>> >> >>         address 192.168.0.6
>> >> >>> >> >>         netmask 255.255.255.0
>> >> >>> >> >>         gateway 192.168.0.249
>> >> >>> >> >>         dns-nameservers 192.168.0.249
>> >> >>> >> >>
>> >> >>> >> >> Me funciona todo barbaro, desde la LAN puedo acceder
>> >> >>tranquilamente,
>> >> >>> >> >> el br funciona y tengo corriendo varias maquinas dentro y
>> >> >>> >> >> salen
>> >> >>sin
>> >> >>> >> >> problemas...
>> >> >>> >
>> >> >>> >
>> >> >>> > hasta donde, red local y/o internet
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >>
>> >> >>> >> >> El problema en cuestion, es que me conecto al OpenVPN desde
>> >> >>afuera a
>> >> >>> >> >> un servidor que esta en la LAN, y no llego a esa interfaz! Ni
>> >> >>con un
>> >> >>> >
>> >> >>> > servidor o virtual?
>> >> >>> > siendo virtual que configuracion ip tiene
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> ping, ni ssh, ni ningun servicio!!! Mire en los logs del
>> >> >>firewall y
>> >> >>> no
>> >> >>> >> >> es problema del firewall! Pero si saco el bridge y pongo la
>> >> >>interfaz
>> >> >>> >> >> normal con IP si puedo llegar desde la VPN!
>> >> >>> >> >>
>> >> >>> >
>> >> >>> >
>> >> >>> > para probar en foema segura desabilita el firewall para las
>> >> >>> > prueba
>> >> >>> > la vpn la estas armando desde maquina a maquina o de una maquina
>> >> >>> > a
>> >> >>una
>> >> >>> > virtual
>> >> >>> > la maquina remota es local o esta fuera
>> >> >>> > si esta fuera el router donde redirecciona los puertos de la VPN
>> >> >>> >
>> >> >>> >>
>> >> >>> >> >> Alguien sabe si el bridge modifica algo en la tabla de ruteo,
>> >> >>> >> >> o
>> >> >>hace
>> >> >>> >> >> alguna cosa extraña que me provoque este problema? Me pasa en
>> >> >>> >> >> 3
>> >> >>> >> >> maquinas distintas con diferentes versiones de Debian!
>> >> >>> >> >>
>> >> >>> >> >> Desde ya les agradezco toda ayuda que me puedan brindar!
>> >> >>> >> >>
>> >> >>> >> >
>> >> >>> >>
>> >> >>> >> Desde la LAN local si tengo acceso, desde el OpenVPN no tengo
>> >> >>acceso a
>> >> >>> >> esta interfaz, pero si a las demas... Si deshabilito el Bridge
>> >> >>> >> de
>> >> >>la
>> >> >>> >> interfaz y le configuro el mismo IP, desde el OpenVPN si puedo
>> >> >>> >> acceder!
>> >> >>> >>
>> >> >>> >> Es algo del Bridge! Quizas alguna opcion, pero lei bastate probe
>> >> >>> >> varias opciones y nada!
>> >> >>> >>
>> >> >>> >
>> >> >>> > El bridge y el ruteo son capas diferentes
>> >> >>> >
>> >> >>> > 192.168.0.6 es la ip del host?
>> >> >>> > y supongo que cualquier virtual tiene una ip tipo ej
>> >> >>> > (192.168.0.10)
>> >> >>> > desde un equipo diferente
>> >> >>> > podes pinguear a la 6 y a la 10?
>> >> >>> > cual es puerta de enlace de las virtuales
>> >> >>> >
>> >> >>> >
>> >> >>> > --
>> >> >>> > MrIX
>> >> >>> > Linux user number 412793.
>> >> >>> > http://counter.li.org/
>> >> >>> >
>> >> >>> > las grandes obras,
>> >> >>> > las sueñan los santos locos,
>> >> >>> > las realizan los luchadores natos,
>> >> >>> > las aprovechan los felices cuerdo,
>> >> >>> > y las critican los inútiles crónicos,
>> >> >>> >
>> >> >>>
>> >> >>>
>> >> >>pinguea desde las virtuales e intentea conectarte con ssh
>> >> >>
>> >> >>y si no anda proba las sigueinte opciones
>> >> >>bridge_fd 0 y 5
>> >> >>bridgeg_maxwait 0 y 5
>> >> >>
>> >> >>puede se el tiempo de activacion del bridgeg
>> >> >
>> >> > OddieX, TCPDump puede ser tu amigo...
>> >> >
>> >> >
>> >> > Saludos,
>> >> >
>> >> > Ramses
>> >> >
>> >>
>> >>
>> >>
>> >> Cristian, desde las virtuales tambien funciona el SSH, funciona de
>> >> todos lados menos desde la VPN! Pero vuelvo a comentar, que la VPN
>> >> anda perfecto con todos los equipos de la red! Solo con la que tienen
>> >> bridge configurados no funciona!
>> >>
>> >>
>> >> Ramses, le hice un tcpdump a la eno50 que es la interfaz fisica a la
>> >> que esta le bridge xenbr2 y hasta ahi llega, pero a la interfaz del
>> >> bridge no llega!
>> >>
>> >> # tcpdump -vvv "dst port 22" -i eno50
>> >> tcpdump: listening on eno50, link-type EN10MB (Ethernet), capture size
>> >> 262144 bytes
>> >> 14:15:38.815460 IP (tos 0x0, ttl 127, id 26436, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 14:15:41.892239 IP (tos 0x0, ttl 127, id 26483, offset 0, flags [DF],
>> >> proto TCP (6), length 52)
>> >>     10.21.30.21.51578 > VMX2.victoria.com.ar.ssh: Flags [S], cksum
>> >> 0x270c (correct), seq 903102505, win 8192, options [mss
>> >> 1368,nop,wscale 2,nop,nop,sackOK], length 0
>> >> 2 packets captured
>> >> 2 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >>
>> >>
>> >> # tcpdump -vvv "dst port 22" -i xenbr2
>> >> tcpdump: listening on xenbr2, link-type EN10MB (Ethernet), capture
>> >> size 262144 bytes
>> >> 0 packets captured
>> >> 0 packets received by filter
>> >> 0 packets dropped by kernel
>> >>
>> >> Es por eso que estoy seguro que el problema esta en el brctrl al crear
>> >> el bridge! Algo toca de la tabla de ruteo quizas, pero no puedo
>> >> descubrir cual es el problema!
>> >>
>> >> Gracias por la ayuda!
>> >>
>> >
>> > Como tenes configurado el openvpn?
>> > recien acabo de resolver un problema muy pareciodo con  ipsec en un
>> > equipo
>> > propietario
>> > y el problema era de unas tablas de ruteo
>> >
>> > --
>> > MrIX
>> > Linux user number 412793.
>> > http://counter.li.org/
>> >
>> > las grandes obras,
>> > las sueñan los santos locos,
>> > las realizan los luchadores natos,
>> > las aprovechan los felices cuerdo,
>> > y las critican los inútiles crónicos,
>> >
>>
>>
>> Config de OpenVPN Server:
>>
>> dev tun
>> persist-key
>> persist-tun
>> port 1194
>> proto udp
>> keepalive 10 120
>> comp-lzo
>> ping-restart 0
>> client-to-client
>> keepalive 10 120
>> server 10.21.0.0 255.255.0.0
>> ifconfig 10.21.0.1 255.255.0.0
>>
>> # Chequeo de usuarios contra el ldap
>> script-security 2
>> plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
>> username-as-common-name
>> auth-user-pass-verify auth/auth.pl via-env
>>
>>
>> # Certificados
>> ca /etc/openvpn/keys/ca.crt
>> cert /etc/openvpn/keys/server.crt
>> key /etc/openvpn/keys/server.key
>> dh /etc/openvpn/keys/dh4096.pem
>>
>>
>> explicit-exit-notify 1
>>
>> tls-crypt /etc/openvpn/keys/ta.key
>> auth SHA512    # This needs to be in client.ovpn too though.
>> tls-version-min 1.2
>> tls-cipher
>> TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
>> ncp-ciphers AES-256-GCM:AES-256-CBC
>>
>> # Asignacion de IP y rutas
>> client-config-dir /etc/openvpn/ccd
>>
>> # Logging options.
>> ifconfig-pool-persist ipp.txt
>> status /var/log/openvpn/openvpn-status.log
>> log /var/log/openvpn/openvpn.log
>> verb 4
>>
>>
>>
>> Config de OpenVPN cliente (Sin los certificados):
>>
>> dev tun
>> persist-key
>> persist-tun
>> proto udp
>> float
>> route-method exe
>> route-delay 2
>> resolv-retry infinite
>> nobind
>> remote-cert-tls server
>> auth SHA512
>> verb 3
>> remote 200.XXX.XXX.XXX 1192
>> comp-lzo
>>
>>
>> Pero sabes que el problema me parece que es en shorewall? El tema es
>> que le meti a todo info y no esta bloqueando nada! Pero me sigue
>> pareciendo raro, porque resulta ser que si saco el bridge, puedo
>> acceder a la eth0 por ejemplo, con el bridge no...
>
>
> Oddiex no respndas a mi privado por favor
>
> la respuesta es si a que cualquier coneccion  cuando se levanta y tienen
> acceso a otra red levanta tablas de ruteo
>
> ahora proba lo siguiente
>
> con cada una de las dos configuraciones del bridge y cada una con la vpn
> corrindo y no
>
> ip -r
>
> y vemos que pasa en cada una de las configuraciones
> lo que te puede estar pasando es la prioridad de las tablas de ruteo
>
> --
> MrIX
> Linux user number 412793.
> http://counter.li.org/
>
> las grandes obras,
> las sueñan los santos locos,
> las realizan los luchadores natos,
> las aprovechan los felices cuerdo,
> y las critican los inútiles crónicos,
>


Sry se me chispoteo...

Las rutas estan bien, de echo tengo varias subredes y todas andan joya
y llego a todos los hosts de la red, menos a los que tienen echo un
bridge en su interfaz...

10.10.1.0/24 dev eth3 proto kernel scope link src 10.10.1.249
10.21.0.0/16 via 10.21.0.2 dev tun0
10.21.0.2 dev tun0 proto kernel scope link src 10.21.0.1
172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.0.253
192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.249
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.3.0/24 via 192.168.0.15 dev eth2
192.168.4.0/24 via 192.168.0.15 dev eth2
192.168.5.0/24 via 192.168.0.15 dev eth2
192.168.6.0/24 via 192.168.0.15 dev eth2
192.168.7.0/24 via 192.168.0.15 dev eth2
192.168.8.0/24 via 192.168.0.15 dev eth2
192.168.9.0/24 via 192.168.0.15 dev eth2
192.168.10.0/24 via 192.168.0.10 dev eth2
192.168.254.0/24 via 192.168.0.15 dev eth2

Oddix

La configuración del primer mail, con respecto al último no condicen las configuraciones
Nombres de placas etc

Perfon estaba y estoy bastante quemado! Puse la config sel servidor q hace de bastion el q tiebe el openvpn configurado, no del server con el problema del bridge!



pasa la configuracion de red, la vpn y las tablas de ruteo conectada y desconectada la vpn

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,