OpenVPN & SuSE

[Martin Pokorny]

Zdravim,
mam rozchozene OpenVPN s touto konfiguraci:
Server:
mode server
tls-server
dev tap
ifconfig 192.168.254.254 255.255.255.0
ifconfig-pool 192.168.254.1 192.168.254.99 255.255.255.0
push "route-gateway 192.168.254.254"
push "route 192.168.1.0 255.255.255.0 192.168.254.254"
client-to-client

Na serveru se vytvari tap0 s ip 192.168.254.254, ip vnitrni site je
192.168.1.0/24

V SuSEfirewall2 mam tap0 mezi FW_DEV_EXT
FW_FORWARD="192.168.254.0/24,192.168.1.0/24"
FW_ROUTE="yes"
Zkousel jsem dat tap0 mezi FW_DEV_INT, ale nize uvedeny vysledek
(problem) byl stejny...

Pripojim se ze stanice, dostanu ip 192.168.254.1, tot OK.
ping 192.168.1.1 (server) OK
vsechny sluzby serveru 192.168.1.1 OK (samba, mail,...)
ping 192.168.1.2 - OK (win98)
ping 192.168.1.101 - OK (print server v tiskarne)
ping 192.168.1.102 - FAIL (print server v tiskarne)
ping 192.168.1.103 - FAIL (print server v tiskarne)
ping 192.168.1.111 - OK (linuxova stanice v siti)
ping 192.168.1.200 - FAIL (Win2003 server, firewall vypnuty)

FAIL = nedopingam se.

Routovani na stanici (WinXP) by melo byt ok, tracert 192.168.1.2 ukazuje
192.168.254.254
192.168.1.2

Kdyz se prihlasim ssh na server (192.168.1.1), tak se bez problemu
dopingam i na 192.168.1.102, 192.168.1.103, 192.168.1.200, ...
takze jednotlive IP ziji a ping neodmitaji.

Kdyz zapnu vsechny vypisy do /var/log/firewall, tak je tam akorat videt,
ze akceptoval forward napr. 192.168.254.1 -> 192.168.1.102, icmp, takze
se to tvari, ze byl packet preda, ale hotovo. V logu firewallu nejsou
rozdily mezi vypisy pingu, ktere skonci ok a tech, ktere se nedopingaji.

Uz vazne nevim :-(  Kdybych se nedopingal nikam, tak to pochopim... ale
na nektere IP ano a jinam ne??

Martin