LINUX.ORG.RU
ФорумAdmin

Vpn server, как лучше сделать.

 


1

1

Здравствуйте! Ситуация следующая, есть локалка, на локалке есть сервер, который пишет и хранит записи с камер. Пока это все только локально, выпускать в сеть штатными средствами не хочу. Хочу поднять Vpn(протокол ipsec или openvpn, да в принципе это не важно) и чтобы доступ был только у ограниченного круга людей. Нашел маршрутизатор с поддержкой vpn сервера, ну что-то дороговато получается, около 5-6 тыс. нормальный, может есть у кого нормальный вариант, проверенный на опыте? Интернет поступает по 4G lte, соответственно отдельный маршрутизатор и на нем не предусмотрен VPN.

1 2

Поставь в локалке комп с бубунтой. Подними на ней openvpn. На роутере пробрось порт 1194 на бубунту.

afanasiy ★★★★
()

а почему нельзя vpn поднять на самом серваке? зачем покупать отдельный маршрутизатор?

null123 ★★
()
Ответ на: комментарий от null123

Это регистратор, у меня нет рут доступа к нему, и получить его не знаю как, если есть варианты, то интересно..

AnonimS
() автор топика
Ответ на: комментарий от afanasiy

Это я знаю, ну электроэнергии это..Хотя если какой-нибудь древний комп взять с блоком 100 ватт, ну могу ошибаться конечно, ну мне кажется, что маршрутер в разы меньше потребляет, но стоит правда дорого..

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Это я знаю, ну электроэнергии это..Хотя если какой-нибудь древний комп взять с блоком 100 ватт,

Я когда был маленьким у меня был глупый дружок, он тоже заглядывал в спидометры автомобилей через окно и говорил сколько она прёт...

surefire ★★★
()
Ответ на: комментарий от zaz

Хорошее решение, думаю в этом направлении смотреть..

AnonimS
() автор топика

Роутер от микротик если не любишь велосипедить или любой на который натягивается OpenWRT. И настраивай себе по вкусу, openvpn, ipsec...

Jameson ★★★★★
()

MikroTik hAP lite - 1500 руб?

anonymous
()
Ответ на: комментарий от Jameson

Спасибо, тоже рассмотрю такой вариант..

AnonimS
() автор топика

на локалке есть сервер, который пишет и хранит записи с камер.

....

Нашел маршрутизатор с поддержкой vpn сервера, ну что-то дороговато получается, около 5-6 тыс

Писец до чего кризиз людей доводит... В локалке сервак видеонаблюдения + н-цать камер, а говнороутер за 5-6кр уже дорого...

anc ★★★★★
()
Ответ на: комментарий от anc

Ну так камеры это визуально, а сервак он и есть сервак, зачем переплачивать за ненужные функции, мне нужен только VPN и все, а в таких маршрутерах куча всего. В принципе я уже нашел решение за 1,5 тыс., а то может и на стареньком компе подниму дебиан и openVPN этого вполне достаточно..

AnonimS
() автор топика
Ответ на: комментарий от sap78

Это опять же оборудование ставить, штатными средствами, которые у меня не сделаешь..

AnonimS
() автор топика
Ответ на: комментарий от anc

Возможно, надо попробовать, думаю прежде чем что-то покупать попробую на нем поднять, если все хорошо будет оставлю..

AnonimS
() автор топика

Никто из комментаторов/советчиков не обратил внимания, что у чела «Интернет поступает по 4G lte».

nbw ★★★
()
Последнее исправление: nbw (всего исправлений: 1)
Ответ на: комментарий от Jameson

Лорчую. У самого домашний роутер пробрасывает OpenVPN порт через SSH на VPS. Были мысли поднять OpenVPN сразу на VPS, но, подумав, решил, что если кто-то получит доступ к VPS, то будет тырить мои фоточки из локалки, что не есть гуд

r0ck3r ★★★★★
()
Ответ на: комментарий от anc

Голоса в голове подсказывают мне, что в этом случае VPN-шлюз должен находиться вне ЛВС. Соответственно, кроме «ПК с линуксом в локалочке» ТС'у нужен VDS с публичным IP.

nbw ★★★
()

Даю описание концепта: арендуешь дешёвый VDS с «белым» IP-адресом, ставишь на него VyOS, в локалку ставишь старенький ПК, ставишь на него VyOS, делаешь между ними OpenVPN-туннель. На VDS также делаешь OpenVPN-сервер для клиентского доступа. На выходе из «локалочного» интерфейса ПК делаешь SNAT для тех, кто пришёл по VPN.

Заодно освоишь Juniper-like CLI.

nbw ★★★
()
Ответ на: комментарий от nbw

Соответственно, кроме «ПК с линуксом в локалочке» ТС'у нужен VDS с публичным IP.

Это вам тоже голоса рассказали?

anc ★★★★★
()
Ответ на: комментарий от anc

Это вам тоже голоса рассказали?

Вы подслеповаты или туповаты?

Голоса в голове подсказывают мне, что [...] кроме «ПК с линуксом в локалочке» ТС'у нужен VDS с публичным IP.

А я вам подскажу, что, кроме рассуждений о голосах в голове, вы можете предложить ТС'у свои варианты.

nbw ★★★
()
Ответ на: комментарий от nbw

Попробую пояснить. Для начала перечитываем пост ТС и комментарии.
1. Хоть где-то там вы увидели что у него есть/нет белый статик? Я вот не увидел.
2. Есть упоминание о наличии/отсутствии белого динамического ip ? Тоже вроде нет.
3. Даже если у него серый адрес, кто вам сказал что у тс уже нет точки с белым статиком что бы сразу рекомендовать аренду vds ?

anc ★★★★★
()
Ответ на: комментарий от anc

У него LTE. Там на модеме всегда серый адрес (по крайней мере, иного не слышал и не видел). Ваш третий вариант не учёл но, судя по реакции топикстартера, таковой точки у него нет. Завязывайте уже с голосами.

nbw ★★★
()
Последнее исправление: nbw (всего исправлений: 1)
Ответ на: комментарий от nbw

У него LTE. Там на модеме всегда серый адрес (по крайней мере, иного не слышал и не видел).

Плохо жить стереотипами.
Минимум на вскидку это yota, и мтс (в ДС2) где точно работает (это я про белую статику).
По моему второму пункту, еще проще, многие предоставляют динамический белый а дальше ddns и вперед.

Ваш третий вариант не учёл но, судя по реакции топикстартера, таковой точки у него нет.

Почитайте темы ТС.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

IP динамический, но настроить DDNS в чем проблема, можно провайдера заказать статик, но зачем лишние средства платить..Что касается провайдера, то верно подмечено Yota.

AnonimS
() автор топика
Ответ на: комментарий от anc

К сожалению точки со статиком нет, тут только аренда, можно конечно использовать рабочую, но не хочу гнать трафик через них..

AnonimS
() автор топика
Ответ на: комментарий от nbw

Из вариантов думаю попробую на стареньком компе поставить дебиант, там openvpn, на lte маршрутере пробросить порт и на нем же DDNS настроить, как только связать комп и маршрутер, без если я захожу из вне, то VPN server не понимает что я именно к нему обращаюсь получается? Если использовать внешнюю точку со статиком, подключить старенькой комп как клиент и объединить 2 локалки+чтобы клиенты видели друг друга, как вариант...

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Простите.
C одной стороны вы описываете «кучу vpn серверов» которые у вас уже есть. (не из этой темы)
С другой стороны вы просите помощи не понятно в чем. Как поднять впн через внешнюю точку?
Конкретизируйте плиз вопрос.

anc ★★★★★
()
Ответ на: комментарий от anc

Они есть, ну они не мои, моего товарища, он в дата-центре работает, я ему помогаю в разработке VPN сервиса. Если я буду занимать канал гигабайтами видео, то я думаю он заменит, могу его попросить, ну зачем, все равно мне придется платить за IP 70-90р(а может и дешевле), не из своего кармана он же это будет делать. Смысл тогда, когда можно обойтись без этого, ну насколько я уже анализирую без внешней точки с статиком ни чего стоящего того не получается. Есть у меня одна точка, но там ip динамический, интернет по кабелю, что если там поднять сервер и маршрутере пробросить порты+DDNS, а на локалке тут поднять клиента и допустим на моей машине клиента, потом 192.168.0.1(локалка с регистратором) и соеденить с локалкой VPN, получается и арендовать ни каких ip и vps не надо. Как думаете будет работать или я что-то упустил?

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Написано не совсем понятно. Но если вы говорили вот об этом
vpn сервер поднят в локалке с динамическим ip, ip прописывается в ddns
vpn клиент в локалке с камерами
То работать будет, только со сбоями на момент смены ip
И вопрос: а вы уверены что у вас там динамический белый а не серый ip ?

anc ★★★★★
()
Ответ на: комментарий от anc

Попробовал, походу у меня серый ip и поэтому не получается. Поставил старенький комп, на нем openvpn и no-ip, все сделал, начал пробрасывать порты и настраивать брандмауэр, вроде тоже все хорошо. Пытаюсь соединиться ни каких попыток ни в логах клиента, ни в логах сервера нет, попробовал к ssh на внешний ip подключиться тоже результат 0, потом решил пропинговать с рабочего статика, результат даже пинг не идет, чего и следовало ожидать при сером ip, так же пробовал через DMZ, ну потом понял, что смысла нет если серый адрес. Теперь насколько я понял у меня 2 варианта или взять у провайдера белый ip и запустить систему по такому же принципе или делать этот старенький комп клиентом какой-нибудь самой дешевой vps и мою машину клиентом и выпустить в сеть за стареньким компом..Правильно?

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Попробовал, походу у меня серый ip и поэтому не получается.

Вот этот момет мне отдельно нравиться «походу у меня серый ip» т.е. посмотреть рука не поднялась?

. Теперь насколько я понял у меня 2 варианта или взять у провайдера белый ip и запустить систему по такому же принципе или делать этот старенький комп клиентом какой-нибудь самой дешевой vps и мою машину клиентом и выпустить в сеть за стареньким компом..Правильно?

Вот здесь все верно. Но правда как всегда есть варианты.

anc ★★★★★
()
Ответ на: комментарий от anc

Я просто был уверен в этом, оказывается ошибался, насколько я понимаю у провайдера VPN сеть и я к ней подключаюсь, у него есть пул адресов, а клиентов куда больше, вот и делим ip адреса через подсети vpn, ну выхожу я под ip внешнем одним, ну кто знает может под этим же ip еще 10-к абонентов, а в морде роутера написано ip адрес 10.152.xxx.xxx, надо было сразу проверить, ну да ладно. Решил пойти сначала легким вариантом, взял у товарища статик для теста попользоваться с debian, настроил у себя подключение клиента и у компа подключение клиента, на сервере приписал, что клиенты могут видеть друг друга и создал отдельную папку ccd для настроек клиента, сертификат компа user1, создал файл с именем user1, прописал route до подсети регистратора, подключаюсь, комп маршруты подхватывает, подключаюсь я со своей машины и с другого выхода интернета(настроил телефон в режиме модема), выделяются ip мне 10.10.10.10 и компу 10.10.10.6, но комп не пингуется и соответственно сеть я не вижу, очевидно клиенты не видят друг друга, на вопрос почему вчера весь вечер пытался понять, может есть какая идея, если есть необходимость посмотреть конфиги или логи, или еще что могу скинуть.

AnonimS
() автор топика
Ответ на: комментарий от anc

Тут получается сеть регистратора 192.168.0.0 ,на компе стоит так же apache2, из локалки вижу, меняю выход интернета, подключаюсь к серверу ни 10.10.10.6, ни подсети. Конфиг сервера 


port 4593
proto tcp
dev tun
ca /etc/openvpn/h/ca.crt
cert /etc/openvpn/h/server.crt
key /etc/openvpn/h/server.key
dh /etc/openvpn/h/dh2048.pem
server 10.10.10.0 255.255.255.0
keepalive 10 120
#comp-lzo
persist-key
persist-tun
route 10.10.10.0 255.255.255.0

status /var/log/openvpn-status-h.log
log /var/log/openvpn-h.log
cipher AES-256-CBC
#push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"
client-to-client
ifconfig-pool-persist ipp.txt

#route 192.168.1.0 255.255.255.0
route 192.168.0.0 255.255.255.0
#push "route 192.168.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-config-dir /etc/openvpn/h/ccd
В директории ccd лежит файл user1 
ifconfig-push 10.10.10.6 10.10.10.1
iroute 192.168.0.0 255.255.255.0
Конфиг на моей машине(ОС Windows). Мне выделяет VPN server ip 10.10.10.10. 
client 
dev tun 
proto tcp 
remote ip 4593 
resolv-retry infinite 
nobind 
persist-key 
persist-tun 
ca "C:\\Program Files\\OpenVPN\\config\\home\\ca.crt" 
cert "C:\\Program Files\\OpenVPN\\config\\home\\user.crt" 
key "C:\\Program Files\\OpenVPN\\config\\home\\user.key" 
ns-cert-type server 
comp-lzo 
log "C:\\Program Files\\OpenVPN\\config\\home\\openvpn.log"
verb 3
cipher AES-256-CBC
route-method exe
route-delay

Конфиг компа 

client
dev tun
proto tcp
remote ip 4593
resolv-retry infinite
script-security 2
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
cipher AES-256-CBC
ca /etc/openvpn/ca.crt
cert /etc/openvpn/user1.crt
key /etc/openvpn/user1.key # This file should be kept secret
status /var/log/openvpn-status.log
log /var/log/openvpn.log
#up /usr/local/etc/openvpn_up.sh

Если поможет интерфейсы: Сервер 


root@host:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 52:54:00:ad:bf:09
          inet addr:IP  Bcast:194.67.223.255  Mask:255.255.240.0
          inet6 addr: fe80::5054:ff:fead:bf09/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:67886 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65870 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:14609819 (13.9 MiB)  TX bytes:12656561 (12.0 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:19937 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19937 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:17559614 (16.7 MiB)  TX bytes:17559614 (16.7 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.1  P-t-P:192.168.100.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.102.1  P-t-P:192.168.102.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.103.6  P-t-P:192.168.103.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun3      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

root@host:~#

Комп 

root@serverhome22:/etc/openvpn# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:14:85:4d:45:0b
          inet addr:192.168.0.101  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::214:85ff:fe4d:450b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:31227 errors:0 dropped:2 overruns:0 frame:0
          TX packets:3373 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2893754 (2.7 MiB)  TX bytes:379805 (370.9 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:240 (240.0 B)  TX bytes:240 (240.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.6  P-t-P:10.10.10.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Есть мысль, покажите ip r s с user1 после подключения и с user емнип route print (винды под рукой нет, но вроде команда такая была)

anc ★★★★★
()
Ответ на: комментарий от anc

Команда ip r s с user1 на компе 


root@serverhome22:~# ip r s c user1
Error: an inet prefix is expected rather than "user1".
root@serverhome22:~# ip r s c user
Error: an inet prefix is expected rather than "user".
root@serverhome22:~# ip r s c
root@serverhome22:~# ip r s
default via 192.168.0.1 dev eth0  proto static  metric 1024
10.10.10.0/24 via 10.10.10.1 dev tun0
10.10.10.1 dev tun0  proto kernel  scope link  src 10.10.10.6
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.101
root@serverhome22:~#

На ноуте route print после подключения 

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.100     20
       10.10.10.0    255.255.255.0       10.10.10.9      10.10.10.10     31
       10.10.10.8  255.255.255.252         On-link       10.10.10.10    286
      10.10.10.10  255.255.255.255         On-link       10.10.10.10    286
      10.10.10.11  255.255.255.255         On-link       10.10.10.10    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.100    276
      192.168.0.0    255.255.255.0       10.10.10.9    192.168.0.100     21
    192.168.0.100  255.255.255.255         On-link     192.168.0.100    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.100    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       10.10.10.10    286
        224.0.0.0        240.0.0.0         On-link     192.168.0.100    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       10.10.10.10    286
  255.255.255.255  255.255.255.255         On-link     192.168.0.100    276
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  7    306 ::/0                     On-link
  1    306 ::1/128                  On-link
  7    306 2001::/32                On-link
  7    306 2001:0:9d38:90d7:40a:15b2:3f57:ff9b/128
                                    On-link
 33    286 fe80::/64                On-link
  3    276 fe80::/64                On-link
  7    306 fe80::/64                On-link
  3    276 fe80::8:a073:cdab:c9e2/128
                                    On-link
  7    306 fe80::40a:15b2:3f57:ff9b/128
                                    On-link
 33    286 fe80::e81b:a6b8:c31d:5c02/128
                                    On-link
  1    306 ff00::/8                 On-link
  7    306 ff00::/8                 On-link
 33    286 ff00::/8                 On-link
  3    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

На ноуте route print до подключения 

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.100     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.100    276
    192.168.0.100  255.255.255.255         On-link     192.168.0.100    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.100    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.100    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.100    276
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  7    306 ::/0                     On-link
  3     36 ::/0                     fe80::267f:3cff:fe57:8783
  1    306 ::1/128                  On-link
  7    306 2001::/32                On-link
  7    306 2001:0:9d38:90d7:1493:183a:3f57:ff9b/128
                                    On-link
  3    276 fe80::/64                On-link
  7    306 fe80::/64                On-link
  3    276 fe80::8:a073:cdab:c9e2/128
                                    On-link
  7    306 fe80::1493:183a:3f57:ff9b/128
                                    On-link
  1    306 ff00::/8                 On-link
  7    306 ff00::/8                 On-link
  3    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Вот серьезно незнаю как себя винда поведет при пересекающихся сетках (у вас и локалка 192.168.0.0 и и выдаваемый ovpn роут на 192.168.0.0).
Попробуйте для начала в конфиге сервера закоментировать «push „route 192.168.0.0 255.255.255.0“, и после перезапуска хотя бы пингануть с винды 10.10.10.6

anc ★★★★★
()
Ответ на: комментарий от anc

Закомментировал, VPS и комп перезагрузил, сам зашел с телефонного интернета, вот результат: 

C:\Windows\system32>ping 10.10.10.6

Обмен пакетами с 10.10.10.6 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 10.10.10.6:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

C:\Windows\system32>ping 192.168.0.1

Обмен пакетами с 192.168.0.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.0.1:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

C:\Windows\system32>arp -a

Интерфейс: 192.168.43.73 --- 0x4
  адрес в Интернете      Физический адрес      Тип
  192.168.43.1          36-97-f6-4a-8f-27     динамический
  192.168.43.255        ff-ff-ff-ff-ff-ff     статический
  224.0.0.22            01-00-5e-00-00-16     статический
  224.0.0.251           01-00-5e-00-00-fb     статический
  224.0.0.252           01-00-5e-00-00-fc     статический
  224.0.0.253           01-00-5e-00-00-fd     статический
  239.255.255.250       01-00-5e-7f-ff-fa     статический
  255.255.255.255       ff-ff-ff-ff-ff-ff     статический

Интерфейс: 10.10.10.10 --- 0x21
  адрес в Интернете      Физический адрес      Тип
  10.10.10.9            00-ff-f1-ff-5b-bc     динамический
  10.10.10.11           ff-ff-ff-ff-ff-ff     статический
  224.0.0.22            01-00-5e-00-00-16     статический
  224.0.0.251           01-00-5e-00-00-fb     статический
  224.0.0.252           01-00-5e-00-00-fc     статический
  224.0.0.253           01-00-5e-00-00-fd     статический
  239.255.255.250       01-00-5e-7f-ff-fa     статический
  255.255.255.255       ff-ff-ff-ff-ff-ff     статический

C:\Windows\system32>

Мне кажется на компе должен быть маршрут 10.10.10.6 на 192.168.0.0, может я конечно что-то упускаю, но я что-то его не вижу 

default via 192.168.0.1 dev eth0  proto static  metric 1024
10.10.10.0/24 via 10.10.10.1 dev tun0
10.10.10.1 dev tun0  proto kernel  scope link  src 10.10.10.6
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.101
Так же заметил в логах сервера что-то аномальное, как я подключился эти строчки побежали с такой скоростью.. 
Thu Sep 22 11:58:23 2016 user/ip:50398 IP packet with unknown IP version=15 seen
Thu Sep 22 11:58:28 2016 user1/ip:25889 IP packet with unknown IP version=15 seen

AnonimS
() автор топика
Ответ на: комментарий от anc

Убрал комментарии с comp-lzo и шлюза по умолчанию push «redirect-gateway» и парадокс, сервер пропинговался и 10.10.10.6 тоже 

C:\Windows\system32>ping 10.10.10.1

Обмен пакетами с 10.10.10.1 по с 32 байтами данных:
Ответ от 10.10.10.1: число байт=32 время=72мс TTL=64
Ответ от 10.10.10.1: число байт=32 время=419мс TTL=64
Ответ от 10.10.10.1: число байт=32 время=77мс TTL=64
Ответ от 10.10.10.1: число байт=32 время=111мс TTL=64

Статистика Ping для 10.10.10.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 72мсек, Максимальное = 419 мсек, Среднее = 169 мсек

C:\Windows\system32>
C:\Windows\system32>ping 10.10.10.6

Обмен пакетами с 10.10.10.6 по с 32 байтами данных:
Ответ от 10.10.10.6: число байт=32 время=179мс TTL=64
Ответ от 10.10.10.6: число байт=32 время=174мс TTL=64
Ответ от 10.10.10.6: число байт=32 время=268мс TTL=64
Ответ от 10.10.10.6: число байт=32 время=216мс TTL=64

Статистика Ping для 10.10.10.6:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 174мсек, Максимальное = 268 мсек, Среднее = 209 мсек

C:\Windows\system32>

AnonimS
() автор топика
Ответ на: комментарий от anc

Теперь подключился с телефона. 10.10.10.1 есть,10.10.10.6 есть, 192.168.0.101 есть, а дальше тишина. Получается сеть за компом не видна..

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

шлюза по умолчанию push «redirect-gateway»

Вот это явно лишнее, у вас иначе весь трафик через vpn пойдет, а вам же нужно только до сети 192.168.0.0/24 добраться.

Теперь подключился с телефона. 10.10.10.1 есть,10.10.10.6 есть, 192.168.0.101 есть, а дальше тишина.

Все верно, т.к. они ничего не знают о сети 10.10.10.0/24 и ответ отправляют на шлюз по умолчанию.
Как обычно два варианта:
1. Раздать устройствам роут на 10.10.10.0/24 через 192.168.0.101
2. Замаскарадить

anc ★★★★★
()
Ответ на: комментарий от anc

Ну да, теперь понял. Я не особо силен в маршрутах, получается шлюз по умолчанию комментирую и добавляю строчку: 

push "route 10.10.10.0 255.255.255.0 192.168.0.101"
Правильно?

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Несовсем.
1. «получается шлюз по умолчанию комментирую » - да
2. push «route 192.168.0.0 255.255.255.0» - лучше прописать в ccd клиентов, но не у клиента user1 !
3. Клиент user1 замаскарадить. (и я забыл про включение форварда)

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j MASQUERADE

anc ★★★★★
()
Ответ на: комментарий от anc

1.В папке ccd файла user1 закомментировал строку push «route 192.168.0.0 255.255.255.0» и добавил ее в файл user (сертификат ноута) 2.Добавил правило и включил форвард 


root@serverhome22:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.10.10.0/24        anywhere
root@serverhome22:~#

Подключаюсь, пинга на 192.168.0.1 нет, на 10.10.10.6 и 192.168.0. 101 есть, у меня такое чувство, что или не пускает или даже не знаю. Пинг с сервера на 192.168.0.1 тоже не дал результата.

AnonimS
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Admin