Debian.OpenVpn.Маршрутизация до внутренней сети

0

1

Всем доброго времени суток. Обращаюсь за помощью к знающим людям. Тема не нова, находил кучу статей по этому вопросу, но свою проблему так и не решил. Ситуация следующая. Есть openvpn сервер, который стоит за роутером. Есть виндовый клиент, который находится в удаленном офисе так же за роутером. Ситуация до боли знакомая,наверное) Параметры: Адрес сервера(внутренний):

eth0 inet addr:192.168.0.12  Bcast:192.168.0.255  Mask:255.255.255.0
tun0 inet addr:192.168.10.1  P-t-P:192.168.10.2  Mask:255.255.255.255

Адрес роутера

192.168.0.1

Статический маршрут на роутере:Место назначения 192.168.10.0 шлюз 192.168.0.12

Серверный конф:

mode server
local 192.168.0.12
port 1194
proto udp
dev tun0

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem

server 192.168.10.0 255.255.255.0
#topology subnet
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
mute 20
#user nobody
#group nogroup

persist-key
persist-tun

log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn-append.log
status /var/log/openvpn/openvpn-status.log

#push "redirect-gateway"
client-config-dir ccd
verb 3
cipher AES-128-CBC   # AES

Конфиг клиента:

                                                                                                          
push "route 192.168.10.0 255.255.255.0"                                                   
iroute 192.168.2.0 255.255.255.0 
#iroute 192.168.0.0 255.255.255.0

После подключения клиент может пингануть адреса сервера, но не более того. То что находится за ним,тот же роутер или еще один компьютер он не видит. Я подозреваю,что решение лежит на поверхности, но к сожалению, не вижу его в упор) Заранее спасибо.

Ссылка

←	модуль как подключить к nginx rewrite?

Хочу поверх CIFS нормальную posix-совместимую файлуху

→

Сначала с помощью дампера пакетов (tcpdump или wireshark) определяете куда от клиента идут пакеты — на сервер по openvpn-тунелю или мимо по default маршруту. Потом уже можно будет смотреть, включена ли на openvpn-сервере маршрутизация, прохождение пакетов в iptables и имеют ли эти самые (что находится за ним,тот же роутер или еще один компьютер) маршут до openvpn-клиента через openvpn-сервер.

mky ★★★★★
(06.03.14 21:32:25 MSK)

Ответ на: комментарий от mky 06.03.14 21:32:25 MSK

Спасибо за ответ. Клиент виндовый,поставил акулу. Как оказывается,пакеты идут через первый интерфейс,не виртуальный и естественно совершенно не по адресу. Сделал

route add -p 192.168.0.0 mask 255.255.255.0 192.168.10.6 metric 7

но ничего не изменилось.



IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.15.254.1      10.15.5.130     10
        10.15.0.0      255.255.0.0         On-link       10.15.5.130    266
      10.15.5.130  255.255.255.255         On-link       10.15.5.130    266
    10.15.255.255  255.255.255.255         On-link       10.15.5.130    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link      192.168.10.6     37
    192.168.0.255  255.255.255.255         On-link      192.168.10.6    286
     192.168.10.0    255.255.255.0     192.168.10.5     192.168.10.6     30
     192.168.10.4  255.255.255.252         On-link      192.168.10.6    286
     192.168.10.6  255.255.255.255         On-link      192.168.10.6    286
     192.168.10.7  255.255.255.255         On-link      192.168.10.6    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       10.15.5.130    266
        224.0.0.0        240.0.0.0         On-link      192.168.10.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       10.15.5.130    266
  255.255.255.255  255.255.255.255         On-link      192.168.10.6    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0    255.255.255.0     192.168.10.6       7
===========================================================================

levanov
(07.03.14 18:05:54 MSK) автор топика

Ответ на: комментарий от levanov 07.03.14 18:05:54 MSK

Я не знаю, насколько корректно работает wireshark под виндой с openvpn тунелем. Если пинговать openvpn сервер, который нормально пингуется с клиента, то wireshark показывает пакеты, идущие по тунелю, а через первый интерфейс ?

Если удаётся пинговать 192.168.10.1, то, видимо, нужно писать маршрут так:

route add -p 192.168.0.0 mask 255.255.255.0 192.168.10.5 metric 7 if 192.168.10.6

по аналогии с тем, как написан маршут к 192.168.10.0/255.255.255.0. Хотя я не уверен, что написал правильно, давно это было.

mky ★★★★★
(08.03.14 04:15:08 MSK)

Ответ на: комментарий от mky 08.03.14 04:15:08 MSK

Спасибо.Попробую такой вариант,по результатам отпишусь во вторник.

levanov
(08.03.14 09:58:16 MSK) автор топика

Ссылка

1. Вы уверены что подхватывается конфиг клиента (ccd)?
2. в конфигцрации сервера нужно обязатально (не зависимо от ccd) писать: push «route <ваша сеть> <маска сети>»
Подозрение что клиенту не прописывается пушится маршрут с сервера на сеть.

amfibrahii
(08.03.14 22:10:40 MSK)

А как привязать метрику к интерфейсу ?

anonymous
(09.03.14 05:07:08 MSK)

Ответ на: комментарий от amfibrahii 08.03.14 22:10:40 MSK

Спасибо за отве. Добавил в server.conf

push "route 192.168.10.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"

Лог при подключении клиента:

MULTI: multi_create_instance called
Wed Mar 12 16:51:17 2014 us=439123 xxxxxxxx:1194 Re-using SSL/TLS context
Wed Mar 12 16:51:17 2014 us=439432 xxxxxxxx:1194 LZO compression initialized
Wed Mar 12 16:51:17 2014 us=440272 xxxxxxxx:1194 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 12 16:51:17 2014 us=440430 xxxxxxxx:1194 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Mar 12 16:51:17 2014 us=440775 xxxxxxxx:1194 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Mar 12 16:51:17 2014 us=440914 xxxxxxxx:1194 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Mar 12 16:51:17 2014 us=441115 xxxxxxxx:1194 Local Options hash (VER=V4): '691e95c7'
Wed Mar 12 16:51:17 2014 us=441221 xxxxxxxx:1194 Expected Remote Options hash (VER=V4): '66096c33'
Wed Mar 12 16:51:17 2014 us=441455 xxxxxxxx:1194 TLS: Initial packet from [AF_INET]xxxxxxxx:1194, sid=521a7eb5 b9f58a4e
Wed Mar 12 16:51:17 2014 us=671095 xxxxxxxx:1194 VERIFY OK: depth=1, /C=RU/ST=RU/L=SPB/O=http://xxxxxxxx/OU=IT/CN=xxxxxxxx/name=xxxxxxxx/emailAddress=xxxxxxxx
Wed Mar 12 16:51:17 2014 us=671841 xxxxxxxx:1194 VERIFY OK: depth=0, /C=RU/ST=RU/L=SPB/O=http://xxxxxxxx/OU=atarget/CN=atarget/name=server/emailAddress=xxxxxxxx
Wed Mar 12 16:51:17 2014 us=767350 xxxxxxxx:1194 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1358'
Wed Mar 12 16:51:17 2014 us=767522 xxxxxxxx:1194 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1300'
Wed Mar 12 16:51:17 2014 us=768215 xxxxxxxx:1194 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Wed Mar 12 16:51:17 2014 us=768352 xxxxxxxx:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 12 16:51:17 2014 us=768459 xxxxxxxx:1194 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Wed Mar 12 16:51:17 2014 us=768570 xxxxxxxx:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 12 16:51:17 2014 us=787570 xxxxxxxx:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Mar 12 16:51:17 2014 us=787782 xxxxxxxx:1194 [atarget] Peer Connection Initiated with [AF_INET]xxxxxxxx:1194
Wed Mar 12 16:51:17 2014 us=788047 atarget/xxxxxxxx:1194 OPTIONS IMPORT: reading client specific options from: ccd/atarget
Wed Mar 12 16:51:17 2014 us=788466 atarget/xxxxxxxx:1194 MULTI_sva: pool returned IPv4=192.168.10.6, IPv6=f006:81b2:417f:0:cdec:7cb0:417f:0
Wed Mar 12 16:51:17 2014 us=788765 atarget/xxxxxxxx:1194 MULTI: Learn: 192.168.10.6 -> atarget/xxxxxxxx:1194
Wed Mar 12 16:51:17 2014 us=788867 atarget/xxxxxxxx:1194 MULTI: primary virtual IP for atarget/xxxxxxxx:1194: 192.168.10.6
Wed Mar 12 16:51:20 2014 us=23776 atarget/xxxxxxxx:1194 PUSH: Received control message: 'PUSH_REQUEST'
Wed Mar 12 16:51:20 2014 us=23936 atarget/xxxxxxxx:1194 send_push_reply(): safe_cap=960
Wed Mar 12 16:51:20 2014 us=24167 atarget/xxxxxxxx:1194 SENT CONTROL [atarget]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 192.168.0.0 255.255.255.0,redirect-gateway,route 192.168.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,route 192.168.10.0 255.255.255.0,ifconfig 192.168.10.6 192.168.10.5' (status=1)
Wed Mar 12 16:51:20 2014 us=118197 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=120124 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=133461 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=135707 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=193425 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=229181 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=289217 atarget/xxxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=320559 atarget/xxxxxxxx:1194 MULTI: bad source address from client [::], packet dropped
Wed Mar 12 16:51:20 2014 us=321196 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=321686 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=383647 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=430855 atarget/xxxxxxxx6:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=431371 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=445308 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=577639 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=774528 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:20 2014 us=819866 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:21 2014 us=116895 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:21 2014 us=320024 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:21 2014 us=321734 atarget/xxxxxxxx:1194 MULTI: bad source address from client [fe80::85f5:461b:ade8:fdbf], packet dropped
Wed Mar 12 16:51:21 2014 us=335508 atarget/xxxxxxxx:1194 NOTE: --mute triggered...

levanov
(12.03.14 17:04:24 MSK) автор топика

Ответ на: комментарий от levanov 12.03.14 17:04:24 MSK

http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-address-fr...

amfibrahii
(13.03.14 21:43:45 MSK)

Ответ на: комментарий от anonymous 09.03.14 05:07:08 MSK

метрика присваивается маршруту. интерфейсу ее не сделаешь.

например: route add -host h1 gw g1 metric 10

amfibrahii
(14.03.14 09:30:06 MSK)

Ссылка

Ответ на: комментарий от amfibrahii 13.03.14 21:43:45 MSK

К сожалению,моей проблеме это не помогло, но ошибку я убрал отключив IPv6 на интерфейсе. Теперь подключение заканчивается так

Fri Mar 14 17:43:02 2014 us=731216 atarget/xxxx:1194 SENT CONTROL [atarget]: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,redirect-gateway,topology net30,ping 10,ping-restart 120,ifconfig 192.168.10.6 192.168.10.5' (status=1)

пинга попрежнему нет,буду искать дальше

levanov
(14.03.14 18:18:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	модуль как подключить к nginx rewrite?

Admin

Хочу поверх CIFS нормальную posix-совместимую файлуху

→

Похожие темы