LINUX.ORG.RU
ФорумAdmin

OpenVpn сервер Линукс, клиентом микротик маршрутизация

 ,


0

1

сгенерил сертификаты прописал конфиги и Линукс слился в экстазе с Микротик, все вроде в порядке дело осталось за малым, но с адресами какая то чехарда. Пните в нужном направлении. В чем я не прав?

линуксовый конфиг (извините если не правильно вставляю конфии):

port 1195
lport 1195
proto tcp-server
tls-server
dev tun2
ca CA1.crt
key CA1.key
cert server1.crt
key server1.key
dh dh1024.pem
tun-mtu 1543
server 10.8.0.0 255.255.255.0
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
verb 3
auth-nocache

После установление соединения на линуксе :

ifconfig tun2
tun2      Link encap:UNSPEC  HW.....
          inet addr:10.8.0.1  P-t-P:10.8.0.2 Mask:255.255.255.255

ip на стороне Линукса пингуется:

PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=0.110 ms
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=0.093 ms

А на Микротике встает 10.8.0.6 почему то

PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=49.5 ms
64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=49.5 ms

а в таблице маршрутизации линукса

10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun2
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun2

Сетку и маску задаю любую, но все равно локально-1, удаленно-6 соответственно маршрут правильно я поднять не могу, а автоматом если указываю удаленную сетку на tun2 маршрут прописывается на 10.8.0.2 что неправильно.

когда поднимается openVPN вижу странное:

 SENT CONTROL [XXXXXXXX]: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)

Что это за топология такая? Описываю сетку а подключение встает точка- точка.

Бьюсь уже дня 3.. зашился и зациклился, кто бы намекнул в чем моя ошибка

★★★★

Последнее исправление: alex_sim (всего исправлений: 2)

А на Микротике встает 10.8.0.6 почему то

Всё правильно встает. С компа должен пинговаться микротик по 10.8.0.6. С микротика должен пинговаться комп по 10.8.0.1

Работает всё. Что тебя не устраивает?

afanasiy ★★★★
()
Ответ на: комментарий от afanasiy

Ну так то да VPN поднят,

но то для чего я это затевал реализовать нет возможности, одна сетка не может достучаться до другой. Потому то маршрут неправильный.

На сервере Линукс

10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun2
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun2

 

Нужно 10.8.0.6 а могу только 2 и на микротике такая же хрень.

Те пинги со шлюза и на шлюз идут и обратно тоже, но сетка сетку не может пинговатью и даже сетка удаленный шлюз не пингует

команду

route add -net 192.168.0.0 netmask 255.255.255.0  dev tun2 gw 10.8.0.6

я выполнить не могу, только

route add -net 192.168.0.0 netmask 255.255.255.0  dev tun2 gw 10.8.0.2

но ведь это неправильно, или я в ступор встал....

Или это уже вопрос в другой плоскости, iptables?

alex_sim ★★★★
() автор топика
Последнее исправление: alex_sim (всего исправлений: 2)
Ответ на: Ну так то да VPN поднят, от alex_sim

С маршрутами в системе нормально всё. Нужно, чтобы еще сам openvpn знал куда какие пакеты гонять.

Кури опцию client-config-dir

Добавляешь ее в конфиг сервера, указываешь папку. В папку кладешь файлик с именем клиента (как в сертификате), в файлике маршрут

iroute 192.168.0.0 255.255.255.0

afanasiy ★★★★
()
Ответ на: комментарий от afanasiy

Спасибо, добрый человек!

С утра завтра начну раскуривать, опция действительно какая то неюзанная до селе.

alex_sim ★★★★
() автор топика
Ответ на: комментарий от afanasiy

Спасибо!

Все получилось в лучшем виде.

alex_sim ★★★★
() автор топика
Ответ на: комментарий от afanasiy

А в последнее время много тем про openvpn поднимается.

rumgot ★★★★★
()

Что это за топология такая?

Аяяй. Целая звезда а про команду man так и не знает. Стыдно товарищ!
man openvpn

net30  --  Use  a point-to-point topology, by allocating one /30
              subnet per client.  This is  designed  to  allow  point-to-point
              semantics  when  some  or all of the connecting clients might be
              Windows systems.  This is the default on OpenVPN 2.0.

anc ★★★★★
()
Ответ на: комментарий от anc

До этого все OpenVPN со статичным ключем были подняты

точка-точка, но там другое

tun6      Link encap:UNSPEC  HWaddr 00-0000-00                                                                              -00
          inet addr:10.99.15.2  P-t-P:10.99.15.1 

10.99.15.2 локально 10.99.15.1 удаленно

а тут как то не так, про mаn знаю, готов быть разжалованыым (пожертвовать звездой) если не достоин ;)

alex_sim ★★★★
() автор топика

Это p2p топология. Продолжаем читать тот же ман :)

 p2p -- Use a point-to-point topology where the  remote  endpoint
              of  the  client's  tun interface always points to the local end-
              point of the server's tun interface.  This mode allocates a sin-
              gle IP address per connecting client.  Only use when none of the
              connecting clients are Windows systems.  This mode is  function-
              ally equivalent to the --ifconfig-pool-linear directive which is
              available in OpenVPN 2.0 and is now deprecated.

anc ★★★★★
()
Ответ на: комментарий от anc

Дак это понятно!

но со стороны линукса net30 и выглядит как P2P ну или странно, а именно:


tun2      Link encap:UNSPEC  HWaddr 0000-00-00-00
          inet addr:10.8.25.1  P-t-P:10.8.25.2  Mask:255.255.255.255

Обратите внимание во второй строчке «P-t-P:10.8.25.2» именно Point To Point 10.8.25.2 ну тогда писать надо типа net30? я бы напрягся и полез читать, что за зверь, так то VPN у меня уж не первый десяток лет просто с линукса на линукс, без сертификатов а микротик так не умеет. Опять же маска 255.255.255.255

Теперь обращаю внимание на маршрутизацию:

10.8.25.0       10.8.25.2       255.255.255.0   UG    0      0        0 tun2
10.8.25.2       *               255.255.255.255 UH    0      0        0 tun2
192.168.0.0     10.8.25.2       255.255.255.0   UG    0      0        0 tun2

Привожу только то что нужно. А тут уже прописана сетка 10.8.25.0/24 но gateway то 10.8.25.2

А пингуя его получаю кукиш:

 ping 10.8.25.2
PING 10.8.25.2 (10.8.25.2) 56(84) bytes of data.
^C
--- 10.8.25.2 ping statistics ---
17 packets transmitted, 0 received, 100% packet loss, time 16000ms

А!!! оно оказывается не верь глазам своим! оно за 6 скрывается!

 ping 10.8.25.6
PING 10.8.25.6 (10.8.25.6) 56(84) bytes of data.
64 bytes from 10.8.25.6: icmp_req=1 ttl=64 time=2.64 ms

Как то все не логично и потому сбило меня с толку. Извините за вьедливость, но в нашей профессии без нее никуда.

А так конечно.... Балбес! Согласен! (с) ну и язык вражий, много лет с ним, но все равно, он вражий.

alex_sim ★★★★
() автор топика
Ответ на: Дак это понятно! от alex_sim

btw если интересно и мана мало, на оф сайте ovpn в документации очень неплохо разжевано про топологии. Правда так же на «язык вражий» :)

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.