shorewall e openvpn in BRIDGE

[ema]

ragazzi, sono nella $puzzolente_roba_marrone ....
Devo riuscire a configurare due lan per comunicare tra di loro in bridge, come fossero una sola

LAN A: 192.168.0.0/24, ip dal 1 al 249

LAN B: 192.168.0.0./24, ip dal 250 al 253

Quello che vorrei è unire le 2 reti come fossero una unica ethernet, con un bridge insomma!
Ho provato anche con poptop: funziona perfettamente, per un pò, poi la connessione cade (ripetutamente) e credo sia x telezozz...

Con openvpn, dopo un pomeriggio di bestemmie, sono riuscito a far comunicare il gateway linux con installato openvpn server con la macchina windows remota
GW linux 192.168.0.200 (rete locale con altri pc su eth0)
PCWINREMOTO 192.168.0.250

Ora, seguendo alla lettera le istruzioni sul sito di openvpn sono riuscito a far comunicare le macchine tra loro
Ma non appena avvio shorewall, non riesco piu nemmeno a pingare!
Ho cercato in rete se c'erano degli howto su come configurare shorewall x questo funzionamento, ma ho trovato solo topic che spiegano come unire 2 subnet diverse (es 192.168.x.x e 10.0.x.x)
Sono riuscito a ottenere che PCWINREMOTO riesca a pingare il GW, ma nessun altro host della lan. E viceversa, GW pinga PCWINREMOTO ma gli altri host non ci riescono
Credo di essere a un passo dal farcela. Quello che shorewall non interpreta correttamente (non so come farglielo capire!) è la riga suggerita dal sito di openvpn:

[ema]

Up....
_________________
D Per fare il SysAdmin e' necessario conoscere Unix/Linux e disprezzare Windows?
R Se ti interessa lavorare in ambiente Unix/Linux dovrai averne un minimo di conoscenza, quando acquisisci tale conoscenza la seconda parte arriva da sola.

[xchris]

io ho realizzato qc di + complesso.
Ho pero' 2 gateway linux...ma nn e' questo il pb.

Sul mio c'e' la Vpn openvpn per il bridge + Vpn Roadwarrior Poptop (che sconsiglio per tunnel permanenti) + shorewall + ebtables per evitare il propagarsi di dhcp.

A occhio hai configurato male /etc/shorewall/interfaces

su loc (o lan) hai messo ethx o br0? (devi mettere br0)

Nelle policy per iniziare metti "loc loc ACCEPT"


Fammi sapere se hai ancora pb. (magari via pm se mi scappa il post)

Ciao
_________________
while True:Gentoo()

[ema]

no, dopo averci pensato bene, ho messo br0, attivando il fw dopo tutto il resto.
Il risultato migliore che ho ottenuto è:

gwlinux: ping pcwinremoto : risponde
pcwinremoto: ping gwlinux : risponde
pclan: ping pcwinremoto : host di destinazione irraggiungibile
pclan: ping hostchenonesiste: richiesta scaduta
pcwinremoto: ping pclan: host di destinazione irraggiungibile

con questo penso di essere prorpio a un passo.....

/etc/shorewall/interfaces

loc br0 192.168.0.200
net ppp0 -
_________________
D Per fare il SysAdmin e' necessario conoscere Unix/Linux e disprezzare Windows?
R Se ti interessa lavorare in ambiente Unix/Linux dovrai averne un minimo di conoscenza, quando acquisisci tale conoscenza la seconda parte arriva da sola.

[xchris]

io di solito lascio detect in interfaces.
Cmq ammesso che sia corretta come broadcast (lo sai solo tu)...
il log che dice?

Non ho idea della tua conoscenza di shorewall quindi perdonami se ti dico cose ovvie.
Su ogni DROP metti anche info per intercettare quale policy o rule ti blocca il traffico.

ciao
_________________
while True:Gentoo()

[ema]

shorewall lo uso da un mese e ho sempre bestemmiato per fargli fare qualsiasi cosa! però mi piace
come broadcast dovrebbe essere giusto, dato che uso 192.168.0.255
il log l'ho disabilitato perchè dato che non lo guardavo mai...
lo riattivo cmq! cmq da un tcpdump, sembra che i pacchetti tornino indietro dal fw dicendo "host unreachable"...
_________________
D Per fare il SysAdmin e' necessario conoscere Unix/Linux e disprezzare Windows?
R Se ti interessa lavorare in ambiente Unix/Linux dovrai averne un minimo di conoscenza, quando acquisisci tale conoscenza la seconda parte arriva da sola.

[xchris]

in etc/shorewall/interfaces metti

loc br0 detect



cosi' il booadcast e' 192.168.0.200!

ciao
_________________
while True:Gentoo()