LINUX.ORG.RU
ФорумAdmin

настроить маршрутизацию для openvp сетки

 ,


0

1

В общем есть локалка созданная через openvpn, в ней три машины 192.168.11.1, 192.168.11.2 и 192.168.11.3

Все три машины пингуют друг друга. Сервер openvpn находится на .1

В дальнейшем планируется создать еще одно ipsec соединение между .1 и внешней машиной, после чего айпишники из локалки должны быть доступны из другой сетки. Как я понимаю, мне надо сделать роутинг, в принципе все понятно, но не понятно только одно, почему в данный момент у меня такая странная маршрутизация на серваке openvpn

default         --.--.64.1     0.0.0.0         UG    0      0        0 eth0
--.--.64.1     *               255.255.255.255 UH    0      0        0 eth0
192.168.11.0    192.168.11.2    255.255.255.0   UG    0      0        0 tun0
192.168.11.2    *               255.255.255.255 UH    0      0        0 tun0

Меня вводят в небольшое недоумение последние две строчки. Почему гетвеем для 11.0 подсктеик прописан 11.2 ip?

★★★★★

Потому что openvpn по умолчанию работает в режиме p2p. А что у вас там настроено - так надо конфиг openvpn показывать.

nstorm
()
Ответ на: комментарий от nstorm 

port 1194

proto udp

dev tun

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret


dh dh2048.pem

server 192.168.11.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 10.182.91.0 255.255.255.0"
push "route 10.183.187.0 255.255.255.0"
push "route 10.183.134.0 255.255.255.0"


persist-key
persist-tun

status openvpn-status.log

verb 3

;mute 20
Dudraug ★★★★★
() автор топика

Что-то у вас странное описано. Что значит «локалка созданная через openvpn» - это три клиента соединяющиеся через openvpn? Если да то с вашим конфигом они не должны такие ip получить.
Подробнее сформулируйте.

anc ★★★★★
()
Ответ на: комментарий от anc

Что значит «локалка созданная через openvpn» - это три клиента соединяющиеся через openvpn?

Это значит что есть три машины: 11.1, 11.2, 11.3 и они пингуют друг друга. Я походу когда коменты из конфига убирал (перед запощиванием сюда) убрал опцию которая прописывает папку где прописаны права для выделения статичных ip клиентам с определенными ключами. 

client-config-dir /etc/openvpn/staticclient
В общем есть три машины, у них строго заданы айпишники 11.1,11.2,11.3 и все машин могут пинговать две другие. Теперь я должен соединить 11.1 машину по ipsec с другой удаленно сеткой. Значит я должен настроить маршрутизацию для 11.x, вот я и интересуюсь как это сделать правильно.

Dudraug ★★★★★
() автор топика
Ответ на: комментарий от Dudraug

Честно говоря, непонятно как вообще оно работает. Дело в том что по дэфолту openvpn стартует с topology=net30 - каждому клиенту выделяется подсеть /30 (первая из них у сервера), т.е. у первого клиента будет .5-.6, у второго 9-10 и т.д.
По роутингу похоже на net30 или p2p.
Однако описанные вами настройки клиентов это subnet. А что в конфиге у клиента написано в ifconfig-push? Просто уже интересно.

anc ★★★★★
()
Ответ на: комментарий от anc

каждому клиенту выделяется подсеть /30

у клиента 

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.11.3  P-t-P:255.255.255.0  Mask:255.255.255.255

Однако описанные вами настройки клиентов это subnet.

Какая опция за это отвечает?

А что в конфиге у клиента написано в ifconfig-push?

Нет у клиента в client.cfg вообще такой опции.

Dudraug ★★★★★
() автор топика
Последнее исправление: Dudraug (всего исправлений: 1)
Ответ на: комментарий от Dudraug

Нет у клиента в client.cfg вообще такой опции.

Тогда другой вопрос, как именно вы присваивайте статик ip определенному клиенту?

anc ★★★★★
()
Ответ на: комментарий от anc

client-config-dir /etc/openvpn/staticclient

В этой папке создаю файлы с именами клиентов (как имена у ключей для которых я их генерил)

А в файлах пишу 

ifconfig-push 192.168.11.2 255.255.255.0

Да, тут есть ifconfig-push, но я думал вы имеете в виду конфиги на стороне клиента. Если вы эти конфиги и имели в виду, то я дико извиняюсь - не понял вас.

Dudraug ★★★★★
() автор топика
Ответ на: комментарий от Dudraug

Сначала вопрос и что правда работает? Если да то я фигею.
Теперь по существу. У оpenvpn есть параметр topology он может принимать значения net30, p2p и subnet, net30 по умолчанию. net30 и p2p - точка точка

net30 - как я писал ранее на каждого клиента выделяется подсетка /30, если нужно жестко выделять ip в файле клиента прописывается 

ifconfig-push 192.168.11.6 192.168.11.5
где 192.168.11.6 будет адресом клиента.
работает с виндой

p2p - позволяет использовать один ip на клиента, если нужно жестко выделять ip в файле клиента прописывается 
ifconfig-push 192.168.11.3 192.168.11.1
где 192.168.11.3 будет адресом клиента.
не работает в виндой

subnet - позволяет использовать один ip на клиента работает как обычная подсетка. ifconfig-push - как раз соответствует тому что у вас
ifconfig-push 192.168.11.2 255.255.255.0
т.е. ip из подсети которая прописана в конфиге сервера 
server 192.168.11.0 255.255.255.0
и маска такая же

Для вашего случая пропишите в конфиг сервера 
topology subnet
в результате в роутинге будет одна и «правильная» :) строка

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

Сначала вопрос и что правда работает? Если да то я фигею.

Да, все три машины имеют ip которые я ожидаю и все могут пинговать две другие.

Dudraug ★★★★★
() автор топика
Ответ на: комментарий от anc

Ну, а потом когда настроите ipsec нужно будет прописать в конфиге openvpn сервера

push "route сетка_которая_интересует_от_ipsec"
если сеток несколько то строк несколько, у вас в конфиге уже есть подобные строки, просто добавляем подобные же.
И при настройке ipsec так же не забываем про роутинг до наших подсеток.
Если есть fw то не забыть разрешить форвард.

anc ★★★★★
()
Ответ на: комментарий от anc

Добавление настройки 

topology subnet
Помогло. Спасибо.

Dudraug ★★★★★
() автор топика
Ответ на: комментарий от anc

Я просто думал, что все правильно с топологией настроил раз пинги идут=)

Dudraug ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin