LINUX.ORG.RU
ФорумAdmin

OpenVPN сервер

 , , ,


0

2

Здравствуйте! Настраиваю OpenVPN сервер на OpenBsd(шлюз) сертификаты, подключение - все отлично. Но! При подключение абсолютно весь трафика идёт через VPN ( хотелось бы давать клиентам только доступ в лан (10.10.1.0 255.0.0.0).

Пробовал добавлять def1 и net_gateway - результат не работает ни сеть ни web.

Вот конфиг сервера:

ca "/etc/openvpn/easy-rsa/keys/ca.crt"
cert "/etc/openvpn/easy-rsa/keys/server.crt"
dh "/etc/openvpn/easy-rsa/keys/dh1024.pem"
key "/etc/openvpn/easy-rsa/keys/server.key"
#tls-auth "/etc/openvpn/easy-rsa/keys/ta.key" 0
cipher AES-256-CBC # AES 256 bits

proto udp

port 1195
dev tun0

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key
persist-tun

client-to-client

push "route 10.50.0.0 255.255.255.0"
push "route 10.10.1.0 255.0.0.0"

route 10.50.0.0 255.255.255.0
route 10.10.1.0 255.0.0.0

push "redirect-gateway"
#push "dhcp-option DNS 8.8.8.8"
client-config-dir /etc/openvpn/ccd/



Последнее исправление: minzdravv (всего исправлений: 3)

Ответ на: комментарий от anc

push «redirect-gateway» убрал, vpn подключается, интернет ходит как надо, а вот связи с удаленной сетью нет.

minzdravv
() автор топика
Ответ на: комментарий от Deleted

Добавил в server.conf > push «route-gateway 10.50.0.5» не помогло

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Лол, зачем? iroute нужен если ты хочешь чтобы у тебя был доступ в сети, которые находятся на стороне клиента. В твоем случае он не нужен.

Deleted
()
Ответ на: комментарий от Deleted

Моя задача удалённое рабочее место, т.е. доступ клиентам VPN к машинам в сети 10.10.0.0.

если поставить push «redirect-gateway def1» то по мимо доступа в сеть, у клиентов vpn, весть трафик идёт через vpn сервер. (пример если трассируем yandex то путь идёт через vpn>gate>интернет)

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Я так понимаю в твоем фаерволе. Форвординг между tun0 и eth1 разрешен? или что там у тебя в локалку смотрит.

julixs ★★★
()
Ответ на: комментарий от julixs

pf.conf

int_if = lo
vpn_if = tun0
int_net = int_in:network
pass in on $vpn_if from any to any
pass out on $vpn_if inet proto { tcp, udp } from $int_net to any flags S/SA modulate state nat-to ($int_if) round-robin
pass in on $vpn_if inet proto { tcp, udp } from $vpn_gw to any flags S/SA modulate state

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

К сожалению не особо силен в pf((( У меня в iptables это выглядиттак:

$IPT -A FORWARD -i tun0 -s 10.15.0.0/24  -d 10.0.2.0/24 -j ACCEPT
$IPT -A FORWARD -s 10.15.0.0/24 -j ACCEPT
$IPT -A FORWARD -d 10.15.0.0/24 -m state --state  RELATED,ESTABLISHED -j ACCEPT
$IPT -t nat -A POSTROUTING -s 10.15.0.0/24 -j MASQUERADE

10.15.0.0/24 - vpn. 10.0.2.0/24 - локалка.

julixs ★★★
()
Ответ на: комментарий от julixs

в настоящий момент конфиг server.conf

ca "/etc/openvpn/easy-rsa/keys/ca.crt"
cert "/etc/openvpn/easy-rsa/keys/server.crt"
dh "/etc/openvpn/easy-rsa/keys/dh1024.pem"
key "/etc/openvpn/easy-rsa/keys/server.key"
#tls-auth "/etc/openvpn/easy-rsa/keys/ta.key" 0
cipher AES-256-CBC # AES 256 bits

proto udp

port 1195
dev tun0

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key
persist-tun

client-to-client

push "route 10.50.0.0 255.255.255.0"
push "route 10.10.1.0 255.0.0.0"

route 10.50.0.0 255.255.255.0
route 10.10.1.0 255.0.0.0
push "route-gateway 10.50.0.5"
#push "redirect-gateway"
#push "dhcp-option DNS 8.8.8.8"
client-config-dir /etc/openvpn/ccd/
при подключении: ошибок в логе нет, Инет ходит как надо(без vpn) сеть пингует только 10.50.0.1 10.10.1.1 не пингует :(

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Может это поможет?

Если по окончанию настройки и запуска системы при соединении клиента с сервером загораются зеленые экранчки, но ping и tracert не проходит, то добавляем в rc.conf строку:

pf_enable="YES"

И в папке /etc/ создаем файл pf.conf и в него прописываем следующее:

#Внешний интерфейс
ext_if=bge0

#Внутрений интерфейс
int_if=bge1

localnet="192.168.0.0/24"

# Правила маршрутизации между интерфейсами
nat on $ext_if from $localnet to any -> ($ext_if)
nat on $int_if from 172.16.10.0/24 to any -> ($int_if)

Перезапускаем сервер и проверяем как все работает.
julixs ★★★
()
Ответ на: комментарий от julixs

Но если бы проблема была с Firewall, тогда бы не работало при любых настройках openvpn?!

а у меня при добавлении параметра push «redirect-gateway» работает доступ от внешней сети к внутренней.

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Судя по конфигу gateway у тебя не 10.50.0.5 а 10.50.0.1
Роуты точно работают?
traceroute -n 10.10.1.1

Deleted
()
Ответ на: комментарий от minzdravv

Так подожди, я запутался. push "redirect-gateway defl" меняет на время подключения шлюз по умолчанию на стороне клиента. Если с этим параметром у тебя все работает, тогда в чем проблема?

julixs ★★★
()
Ответ на: комментарий от julixs

Проблема в том что при

push "redirect-gateway defl"

трафик весь идёт через vpn

пример: при трассировке http://www.ya.ru путь такой wan client -> vpn ip - > gate server -> internet

а мне необходимо чтобы клиент не гонял свой интернет трафик через офис.

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Моя задача удалённое рабочее место, т.е. доступ клиентам VPN к машинам в сети 10.10.0.0

В этом случае iroute тебе не нужен.

если поставить push «redirect-gateway def1» то по мимо доступа в сеть, у клиентов vpn, весть трафик идёт через vpn сервер.

Ну правильно, так ты defaut gw на клиенте переопределяешь.

P.s. Проверил у себя, добавил только строку с push «route ...», остальных опций нет. На клиенте маршрут появился, все работает.

Deleted
()
Ответ на: комментарий от minzdravv

Общий конфиг давай и выхлоп «route print» на клиенте.

Radjah ★★★★★
()
Ответ на: комментарий от Deleted

Спасибо! Все получилось для тех кому необходима подобная настройка вот конфиг рабочий:

ca "/etc/openvpn/easy-rsa/keys/ca.crt"
cert "/etc/openvpn/easy-rsa/keys/server.crt"
dh "/etc/openvpn/easy-rsa/keys/dh1024.pem"
key "/etc/openvpn/easy-rsa/keys/server.key"
#tls-auth "/etc/openvpn/easy-rsa/keys/ta.key" 0
cipher AES-256-CBC # AES 256 bits

proto udp

port 1195
dev tun0

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key
persist-tun

client-to-client

push "route 10.50.0.0 255.255.255.0 10.50.0.5" 
push "route 10.10.1.0 255.0.0.0 10.50.0.5"

#route 10.50.0.0 255.255.255.0
#route 10.10.1.0 255.0.0.0
push "route-gateway 10.50.0.5"
push "redirect-gateway def1"
#push "dhcp-option DNS 8.8.8.8"
client-config-dir /etc/openvpn/ccd/

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Всё равно муть какая-то.

server 10.50.0.0 255.255.255.0

Внутренняя сеть openvpn, клиенты про нее и так знают.

push «route 10.50.0.0 255.255.255.0 10.50.0.5»

Сервер это и так в пуше отправит.

push «route 10.10.1.0 255.0.0.0 10.50.0.5»

Здесь зачем третий параметр?

И вишенкой на торте

push «route-gateway 10.50.0.5»
push «redirect-gateway def1»

Radjah ★★★★★
()
Ответ на: комментарий от Radjah

push «route 10.50.0.0 255.255.255.0 10.50.0.5»

это убрал

push «route 10.10.1.0 255.0.0.0»

Это поправил

push «route-gateway 10.50.0.5» #push «redirect-gateway def1» тут тоже убрал def1 итог - сети нет....

minzdravv
() автор топика
Ответ на: комментарий от Radjah

я видимо совсем запутался уже: вот это разве не маршруты?

push «route 10.10.1.0 255.0.0.0»

и
route 10.50.0.0 255.255.255.0
route 10.10.1.0 255.0.0.0

minzdravv
() автор топика
Ответ на: комментарий от Radjah

Читаю все, обновляю страницу редко. Вот route на клиенте:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.137.1   192.168.137.46     26
          0.0.0.0        128.0.0.0        10.50.0.5        10.50.0.6     21
        10.50.0.0    255.255.255.0        10.50.0.5        10.50.0.6     21
        10.50.0.1  255.255.255.255        10.50.0.5        10.50.0.6     21
        10.50.0.4  255.255.255.252         On-link         10.50.0.6    276
        10.50.0.6  255.255.255.255         On-link         10.50.0.6    276
        10.50.0.7  255.255.255.255         On-link         10.50.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0        10.50.0.5        10.50.0.6     21
    192.168.137.0    255.255.255.0         On-link    192.168.137.46    281
   192.168.137.46  255.255.255.255         On-link    192.168.137.46    281
  192.168.137.255  255.255.255.255         On-link    192.168.137.46    281
  XXX.XXX.XXX.XXX  255.255.255.255    192.168.137.1   192.168.137.46     26
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.137.46    281
        224.0.0.0        240.0.0.0         On-link         10.50.0.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.137.46    281
  255.255.255.255  255.255.255.255         On-link         10.50.0.6    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0         25.0.0.1  По умолчанию
          0.0.0.0          0.0.0.0         25.0.0.1  По умолчанию
          0.0.0.0          0.0.0.0         25.0.0.1  По умолчанию
===========================================================================

minzdravv
() автор топика
Ответ на: комментарий от minzdravv

Тебе точно нужна маска сети /8 (255.0.0.0) для 10.10.1.0 ?
Тут скорее уместно /24 (255.255.255.0)

Deleted
()
Ответ на: комментарий от minzdravv

Тем более маршрутов для 10.10.1.0 я не вижу тут

Deleted
()
Ответ на: комментарий от minzdravv

route 10.10.1.0 255.0.0.0 не правильно, видимо поэтому и не добавляется, разберитесь с сеткой и маской.

anc ★★★★★
()
Ответ на: комментарий от anc

ca «/etc/openvpn/easy-rsa/keys/ca.crt» cert «/etc/openvpn/easy-rsa/keys/server.crt» dh «/etc/openvpn/easy-rsa/keys/dh1024.pem» key «/etc/openvpn/easy-rsa/keys/server.key» #tls-auth «/etc/openvpn/easy-rsa/keys/ta.key» 0 cipher AES-256-CBC # AES 256 bits

proto udp

port 1195 dev tun0

log-append /var/log/openvpn/openvpn.log status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key persist-tun

#client-to-client

push «route 10.50.0.0 255.255.255.0» push «route 10.10.1.0 255.255.255.0»

#route 10.50.0.0 255.255.255.0 #route 10.10.1.0 255.255.255.0 push «route-gateway 10.50.0.5» #push «redirect-gateway def1» #push «dhcp-option DNS 8.8.8.8» client-config-dir /etc/openvpn/ccd/

minzdravv
() автор топика
Ответ на: комментарий от anc

Всем спасибо! Все заработало с последнем конфигом)

minzdravv
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.