OpenVPN-Сервер на Debian не видит удаленную сеть.Две недели битвы!

0

2

Здравствуйте,ребята!Помогите пожалуйста,возможно есть ответ,бьюсь уже две недели..Настраиваю сеть OpenVpn(на TUN). Есть офис 1(с сервером Debian-не ШЛЮЗ в своей сети), есть офис 2(клиент на windows). Так вот, проблема в том,что из офиса 2(клиент vpn)пингуется адрес сервера и виртуальный и физический адрес. А вот с сервера пинги проходят только для виртуальной сети.Физический адрес клиента не виден. route и iroute- все прописано. Форвардинг на сервере включен. Необходимо ли прописывать какие то еще маршруты на сервере? (возможно до шлюза).Не могу понять.Спасибо!

Ссылка

←	Неожиданно упала samba

Postfix+Dovecot двойная отправка

→

из офиса 2 пингуется адрес сервера и виртуальный и физический адрес
Форвардинг на сервере включен

А вот с сервера пинги проходят только для виртуальной сети

Правильно заданный вопрос - половина ответа. Тебе нужен маршрут со стороны сервера до физического адреса клиента.

route и iroute- все прописано.

Где прописано и что именно? Телепатов забанили.

anonymous
(22.04.14 02:29:04 MSK)

Начи с конфигов и

ip r

на хостах

invokercd ★★★★
(22.04.14 02:47:03 MSK)

Ответ на: комментарий от invokercd 22.04.14 02:47:03 MSK

Сеть за сервером 192.168.0.0 Сеть за клиентом 192.168.1.0 VPN сеть 10.10.10.0

конфигурация сервера

port 7841
dev tun0

server 10.10.10.0 255.255.255.0
route 192.168.1.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
client-to-client
client-config-dir ccd

ifconfig-pool-persist ccd/ipp.txt
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-server
tls-auth ta.key 0

конфигурация клиента

client
remote 77.77.77.77
port 7841
dev tun
tls-client
tls-auth C:\\OpenVPN\\config\\ta.key 1

ca C:\\OpenVPN\\config\\ca.crt
cert C:\\OpenVPN\\config\\client1.crt
key C:\\OpenVPN\\config\\client1.key
log C:\\OpenVPN\\log\\openvpn.log

ip r на сервере

default via 192.168.0.1 dev eth0
10.10.10.0/24 via 10.10.10.2 dev tun0
10.10.10.2 dev tun0  proto kernel  scope link  src 10.10.10.1
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.170
192.168.1.0/24 via 10.10.10.2 dev tun0

router print на клиенте

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.175     25
       10.10.10.1  255.255.255.255       10.10.10.5       10.10.10.6     30
       10.10.10.4  255.255.255.252         On-link        10.10.10.6    286
       10.10.10.6  255.255.255.255         On-link        10.10.10.6    286
       10.10.10.7  255.255.255.255         On-link        10.10.10.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link   169.254.146.202    276
  169.254.146.202  255.255.255.255         On-link   169.254.146.202    276
  169.254.255.255  255.255.255.255         On-link   169.254.146.202    276
      192.168.0.0    255.255.255.0       10.10.10.5       10.10.10.6     30
      192.168.1.0    255.255.255.0         On-link     192.168.1.175    281
    192.168.1.175  255.255.255.255         On-link     192.168.1.175    281
    192.168.1.255  255.255.255.255         On-link     192.168.1.175    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   169.254.146.202    276
        224.0.0.0        240.0.0.0         On-link     192.168.1.175    281
        224.0.0.0        240.0.0.0         On-link        10.10.10.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   169.254.146.202    276
  255.255.255.255  255.255.255.255         On-link     192.168.1.175    281
  255.255.255.255  255.255.255.255         On-link        10.10.10.6    286

puz27
(22.04.14 09:58:12 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 22.04.14 02:29:04 MSK

iroute прописано на сервере в папке ccd,файл client

iroute 192.168.1.0

Спасибо!

puz27
(22.04.14 10:01:48 MSK) автор топика

Ответ на: комментарий от puz27 22.04.14 10:01:48 MSK

Почитал тут форум...Пришел к выводу,что на сервере нужно прописать пути к сети клиента..Вечером попробую,отпишусь... Вроде так..для моего случая..

route add -net 192.168.1.0 mask 255.255.255.0 gw 192.168.0.170 route add -net 10.10.10.0 mask 255.255.255.0 gw 192.168.0.170

а вот еще,что нашел...

ip route add 192.168.1.0/24 dev tun0

puz27
(22.04.14 17:45:04 MSK) автор топика

Ответ на: комментарий от puz27 22.04.14 17:45:04 MSK

НЕТ!Это не помогло...Решаем задачу дальше..Может кто сталкивался?

puz27
(22.04.14 19:38:22 MSK) автор топика

Ответ на: комментарий от puz27 22.04.14 19:38:22 MSK

Чтобы со стороны сервера были видны какие-то интерфейсы клиента, кроме виртуального, клиент должен делать роутинг с виртуального интерфейса на реальный. Десктопная винда этого то ли не умеет, то ли умеет через жопу. Серверная умеет, служба RRAS -Routing and Remote Access, с настройкой не сталкивался.

Как вариант - TAP-интерфейс, если винда их умеет, и через bridge соединить виртуальную сеть с локальной сетью клиента.

selivan ★★★
(22.04.14 21:03:25 MSK)

Ответ на: комментарий от selivan 22.04.14 21:03:25 MSK

Спасибо за ответ! Но только не говорите,что все мои недельные мучения понапрасну! Схема-на стороне клиента Windows server вообще не вариант, нет такой возможности. Просто везде пишут что соединить сервер клиент через tun - раз плюнуть!А вы меня ошеломили.Хотя может это так и есть! Соединить через brudge тоже к сожаления не мой вариант! Буду экспериментировать!

puz27
(22.04.14 21:35:21 MSK) автор топика

Ответ на: комментарий от puz27 22.04.14 21:35:21 MSK

соединить сервер клиент через tun - раз плюнуть

Ну так сервер с клиентом друг друга видят. А соединять разные сети - уже задача роутера. В десктопной винде такой функциональности либо вообще нет, либо какая-то очень кастрированная. У них политика такая - «серверные» возможности только в «серверных» системах, хочешь больше сколько-то там оперативки - покупай более дорогую «редакцию» той же системы и т. д.

selivan ★★★
(22.04.14 22:08:03 MSK)

Ответ на: комментарий от selivan 22.04.14 22:08:03 MSK

Ну так сервер с клиентом друг друга видят Так проблема в том, что как раз клиент видит сервера,а вот сервер клиента не видит.В том то и проблема!Уже и не знаю куда копать!Понимаю, что нужно что то делать с маршрутизацией на сервере,но не могу понять!

puz27
(22.04.14 22:20:21 MSK) автор топика

Ответ на: комментарий от puz27 22.04.14 22:20:21 MSK

Увы, иногда без гномосятины обойтись не получается.

Как не видит? «ping <виртуальный адрес клиента>» на сервере работает? Значит видит.

anonymous
(22.04.14 22:29:05 MSK)

Ответ на: комментарий от anonymous 22.04.14 22:29:05 MSK

Ну да,именно так)Жаль жаль жаль... Тогда вопрос такой, если на стороне клиента висит LINUX.Тогда как я понимаю такая схема будет работать...

puz27
(22.04.14 22:37:25 MSK) автор топика

Ответ на: комментарий от puz27 22.04.14 22:37:25 MSK

Тогда как я понимаю такая схема будет работать...

Если настроишь роутинг на клиенте аналогично серверу, тогда будет.

anonymous
(22.04.14 22:44:59 MSK)

Ссылка

Ответ на: комментарий от puz27 22.04.14 22:37:25 MSK

С Linux будет, на клиенте echo 1 > /proc/sys/net/ipv4/ip_forward и вперёд. Ну и iptables настроить не мешает, ибо нефиг.

selivan ★★★
(22.04.14 22:48:50 MSK)

Ссылка

Ответ на: комментарий от puz27 22.04.14 22:37:25 MSK

В windows не пробовали включить internet connection sharing на интерфейсе который 192.168.1.0 ? Это примерно то же самое что в линуксе ip.forward = 1

hidden_4003 ★
(22.04.14 22:51:24 MSK)

Ответ на: комментарий от hidden_4003 22.04.14 22:51:24 MSK

В общем все ЗАРАБОТАЛО!!!Господи!НАКОНЕЦ!!Я болван! Просто у меня файл конфигурации клиента назывался client,а сертификаты к нему client1.Поменял название на идентичное сертификатам и все ЗАРАБОТАЛО!!! СПАСИБО ЗА УЧАСТИЕ ДРУЗЬЯ!!!

puz27
(22.04.14 23:04:26 MSK) автор топика