[eside-ghost] openvp y windows

zgor zgor en int80h.net
Jue Ene 21 22:50:31 CET 2010 

Buenas,

> a ver si alguien me puede ayudar
>
> Tengo un servidor con debian en el que esta instalado openvpn y un 
> cliente windows que se conecta a la
> vpn con openvpn gui, la conexion la hace perfectamente. puedo hacer ping 
> a la interfaz tap0 del servidor.
> El problema esta en que quiero navegar a traves de esa vpn, que hago?
> Me imagino que lo que tengo que hacer es añadir una ruta en windows que 
> me enrute a traves de
> vpn.
>   
Si lo que quieres hacer es sacar todo el tráfico por la el extremo del 
túnel (servidor 10.10.0.1), tienes un par de puntos que controlar:
1-Que el tráfico tu windows lo mande realmente por ahi.
2-Que el tráfico recibido en el servidor sea enviado a Internet 
convenientemente

El punto 2 es el mas fácil, con iptables haces masquerade y listo, del 
estilo de:
echo 1 > /proc/sys/net/ipv4/ip_forward (para que enrute el equipo)
iptables -t nat -A POSTROUTING -o ethX -s 10.10.0.2 -j MASQUERADE (para 
que lo que salga por la ethx del server sea enmascarado)

Este punto lo digo suponiendo que el server vive tranquilamente en 
internet y tal :)

El punto 1 es un poco mas delicado:
Si quitas la ruta por defecto en el windows y la pones por el extremo 
del tunel, lo que harás es que ni siquiera se establezca el túnel.
Para esto lo que se suele hacer es:
-añadir una ruta estática para llegar al extremo publico del tunel, por 
el gw normal de la lan.
-configurar la ruta por defecto via el extremo del tunel

asi, de cara a routing, tu SO enviara el tráfico necesario para 
establecer el tunel por el camino normal y el resto de tráfico por el 
túnel :D)

El tema es que cuando se te caiga el tunel o lo quites no tendras acceso 
a nada.

Por ello, lo recomendable es dejar que openvpn lo haga solo. Con la 
opcion redirect-gateway creo que era (pero lo digo de memoria), y asi 
cuando openvpn cae te deja las rutas como antes. Tb supongo que lo 
podrás solucionar con scripts puestos como up y down en el .conf (o 
.ovpn en caso windows).

Espero haberte ayudado :)

Por cierto, aupa a todo el mundo, que lleva tiempo out of semi lurking 
times :D)


ciao!

Más información sobre la lista de distribución eside-ghost