Маршрутизация openvpn

1

1

Необходимо завернуть весь трафик кроме локального в туннель openvpn.

Конфиг сервера

dev tap0
proto tcp-server
mode server
comp-lzo
log-append /var/log/openvpn.log
daemon
ifconfig-pool 192.168.250.2 192.168.250.254
ifconfig 192.168.250.1 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
tls-server
dh keys/server/dh2048.pem
ca keys/server/ca.crt
cert keys/server/server.crt
key keys/server/server.key
cipher AES-256-CBC
port $port_number
user nobody
group nogroup
persist-tun
persist-key
log-append /var/log/openvpn.log
verb 2

конфиг клиента

client
proto tcp-client
dev tap
ca ca.crt
dh dh2048.pem
cert pterodaktil.crt
key pterodaktil.key
remote $remote_ip $remote port
cipher AES-256-CBC
user nobody
group nogroup
verb 6
log-append /var/log/openvpn.log
pull
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
resolv-retry infinite
nobind

маршруты клиента до поднятия туннеля

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.28.2    0.0.0.0         UG    0      0        0 eth0
192.168.28.0    *               255.255.255.0   U     0      0        0 eth0

после поднятия

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.28.2    0.0.0.0         UG    0      0        0 eth0
192.168.28.0    *               255.255.255.0   U     0      0        0 eth0
192.168.250.0   *               255.255.255.0   U     0      0        0 tap0

Помогите завернуть трафик на сервер

sudo cast tazhate

Ссылка

←	Настройка брандмауэра

Debian 6, интернет на 1Гбит.

→

[code]dev tap[/code]
[code]persist-tun[/code]

Вам не кажутся противоречивыми?

placeholder
(18.07.12 15:15:15 MSK)

Помогите завернуть трафик на сервер
push «redirect-gateway def1»

ы? openvpn клиент от рута пускаешь?

~~xtraeft~~ ★★☆☆
(18.07.12 15:17:26 MSK)

Ответ на: комментарий от placeholder 18.07.12 15:15:15 MSK

и да, зачем tap?

~~xtraeft~~ ★★☆☆
(18.07.12 15:17:51 MSK)

Ответ на: комментарий от placeholder 18.07.12 15:15:15 MSK

косяк, согласен.

Но это не решает проблемы с маршрутизацией

kombrig ★★★
(18.07.12 15:17:54 MSK) автор топика

Ссылка

Ответ на: комментарий от xtraeft 18.07.12 15:17:26 MSK

угу, а что смущает?

kombrig ★★★
(18.07.12 15:21:41 MSK) автор топика

Ссылка

Ответ на: комментарий от xtraeft 18.07.12 15:17:51 MSK

Да хочу данные с 1-й железки на удаленном сервере собирать. А у нее могут быть проблемы если работать на 3-м уровне OSI

kombrig ★★★
(18.07.12 15:25:35 MSK) автор топика

Ответ на: комментарий от kombrig 18.07.12 15:25:35 MSK

Хотя понятно, что будет гоняться прилично мусоного трафика

kombrig ★★★
(18.07.12 15:25:58 MSK) автор топика

Ссылка

route add -host $remote dev eth0 gw 192.168.28.2

route add default dev tun0

Для tap нужно в последнем маршруте еще и туннельный ip сервера сказать.

~~no-dashi~~ ★★★★★
(18.07.12 15:26:36 MSK)

Ответ на: комментарий от no-dashi 18.07.12 15:26:36 MSK

Это очевидное решение, но плохо тем, что на кажом компе придется конфиг вручную править

kombrig ★★★
(18.07.12 15:27:56 MSK) автор топика

Ответ на: комментарий от no-dashi 18.07.12 15:26:36 MSK

а почему

push «redirect-gateway def1»

не работает то?

kombrig в логах про это нет ничего?

~~xtraeft~~ ★★☆☆
(18.07.12 15:32:04 MSK)

Ответ на: комментарий от xtraeft 18.07.12 15:32:04 MSK

Наверное потому, что далеко не все опции пуллятся

~~no-dashi~~ ★★★★★
(18.07.12 15:34:55 MSK)

Ответ на: комментарий от no-dashi 18.07.12 15:34:55 MSK

вот и вопрос - почему? это особенность tap?

~~xtraeft~~ ★★☆☆
(18.07.12 15:36:58 MSK)

Ссылка

Ответ на: комментарий от xtraeft 18.07.12 15:32:04 MSK

А слона то я и не приметил

Wed Jul 18 15:34:28 2012 us=537603 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

kombrig ★★★
(18.07.12 15:37:04 MSK) автор топика

Ссылка

Ответ на: комментарий от kombrig 18.07.12 15:27:56 MSK

Если у тебя каждый клиент так делает и клиентов больше трех, ты пошел неверным путем, а в просторечье «онанируешь вприсядку»

~~no-dashi~~ ★★★★★
(18.07.12 15:37:14 MSK)

Ответ на: комментарий от no-dashi 18.07.12 15:37:14 MSK

все он правильно делает, нахрена тогда нужна опция redirect-gateway, если ее не использовать?

~~xtraeft~~ ★★☆☆
(18.07.12 15:39:55 MSK)

Ссылка

ВПН-сервер и гейтвей - это одна машина?

massive ★
(18.07.12 15:40:28 MSK)

Ответ на: комментарий от massive 18.07.12 15:40:28 MSK

я хочу чтобы гейтвеем был впн-сервер. однако, сейас все идет через штатный шлюз

т.е. необходимо чтобы при старте туннеля указывался маршрут к vpn серверу через штатный шлюз и дефолтный шлюз менялся на vpn сервер

kombrig ★★★
(18.07.12 15:51:37 MSK) автор топика

Ответ на: комментарий от no-dashi 18.07.12 15:37:14 MSK

А как правильно? Планирую использовать на 4-х клиентах.

Я хочу чтобы сгенерированный конфиг заливался клиенту и без правок под конкретные настройки поднимался туннель.

kombrig ★★★
(18.07.12 15:53:40 MSK) автор топика

Ответ на: комментарий от kombrig 18.07.12 15:51:37 MSK

Может на сервере попробовать так push «route-gateway 192.168.250.1 »

massive ★
(18.07.12 16:19:02 MSK)

Ответ на: комментарий от massive 18.07.12 16:19:02 MSK

не помогло

kombrig ★★★
(18.07.12 16:31:57 MSK) автор топика

Ссылка

Ответ на: комментарий от kombrig 18.07.12 15:53:40 MSK

Я бы в такой ситуации пушнул второй дефолт с меньшей метрикой или два полудефолта (0.0.0.0/1 + 128.0.0.0/1).

И вообще, подменять дефолт без подмены DNS это путь истиных... В общем, это путь тех, кого недолечили или недообследовали.

~~no-dashi~~ ★★★★★
(18.07.12 17:12:21 MSK)

Ответ на: комментарий от no-dashi 18.07.12 17:12:21 MSK

а ДНС у меня гугловый - зачем его менять

kombrig ★★★
(18.07.12 17:42:37 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройка брандмауэра

Admin

Debian 6, интернет на 1Гбит.

→

Похожие темы