LINUX.ORG.RU
ФорумAdmin

OpenVPN сервер не видит сеть за клиентом

 


0

1

Есть OpenVPN сервер к которому подключен клиент,за клиентом есть сеть 10.101.165.0/24. Как настроить маршрутизацию с сервера в эту подсеть.Работать все упрямо отказывается!Помогите пожалуйста.

server.conf 

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
ifconfig-pool-persist ipp.txt
client-config-dir ccd
keepalive 10 120
client-to-client
cipher AES-128-CBC 
comp-lzo
persist-key
persist-tun
log        /var/log/openvpn.log
verb 3
route 10.101.165.0 255.255.255.0

client.conf 

client
remote *.*.*.* 1194
dev tun
proto udp
tls-client
comp-lzo
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
route 10.8.0.0 255.255.255.0
pull
cipher AES-128-CBC

ccd 

ifconfig-push 10.8.0.2 10.8.0.1
iroute 10.101.165.0 255.255.255.0

route -n сервера 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         194.87.236.1    0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.101.165.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
194.87.236.0    0.0.0.0         255.255.252.0   U     0      0        0 eth0

route print клиента 

===========================================================================
Список интерфейсов
 16...00 ff 64 32 f2 c9 ......TAP-Windows Adapter V9
 13...c8 60 00 d4 5c 3a ......Microsoft Virtual WiFi Miniport Adapter
 12...c8 60 00 d4 5c 3a ......ASUS USB-N13 300Mbps 11n Wireless USB dongle
 10...14 88 33 38 87 43 ......Realtek PCI GBE Family Controller
  1...........................Software Loopback Interface 1
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.101.165.1    10.101.165.64    276
         10.8.0.0    255.255.255.0         10.8.0.1         10.8.0.2     20
         10.8.0.0  255.255.255.252         On-link          10.8.0.2    276
         10.8.0.2  255.255.255.255         On-link          10.8.0.2    276
         10.8.0.3  255.255.255.255         On-link          10.8.0.2    276
     10.101.165.0    255.255.255.0         On-link     10.101.165.64    276
    10.101.165.64  255.255.255.255         On-link     10.101.165.64    276
   10.101.165.255  255.255.255.255         On-link     10.101.165.64    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     10.101.165.64    276
        224.0.0.0        240.0.0.0         On-link          10.8.0.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     10.101.165.64    276
  255.255.255.255  255.255.255.255         On-link          10.8.0.2    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     10.101.165.1  По умолчанию
===========================================================================

Если «ping 10.101.165.64» виден в туннеле на сервере (tcpdump-ом), значит проблема точно в оффтопике, иначе смотри правила фильтрации/NAT

Проблемы роутеров на оффтопике здесь не обсуждают.

vel ★★★★★
()

Чтоб увидеть сеть за виндовым клиентом, он (клиент) должен уметь маршрутизировать трафик, чего винда по дефолту не умеет...

mak_v_
()
Ответ на: комментарий от angelbezdyshi

«не идет» и «нет ответа» - это разные вещи.

Если tcpdump видит в туннеле icmp запросы, значит проблемы в оффтопике.

Но проблемы оффтопика здесь оффтопик.

vel ★★★★★
()
Ответ на: комментарий от mak_v_

На винде запущена служба «Маршрутизация и удаленный доступ».Поидее теперь должна уметь.

angelbezdyshi
() автор топика
Ответ на: комментарий от mak_v_

У меня начал пинговатся ип адрес сетевой карты у клиента.Не подскажите как настроить переадресацию трафика на винде.Походу реально проблема в этом.

angelbezdyshi
() автор топика

Есть OpenVPN сервер к которому подключен клиент,
за клиентом есть сеть 10.101.165.0/24.

Для этого нужно колдунство в конфиге OpenVPN, на сколько помню. Обычной системной маршрутизации мало. Где-то в документации это есть. И не помню, конфига сервера касается, или клиента.

AS ★★★★★
()
Ответ на: комментарий от mak_v_

чего винда по дефолту не умеет...

9x не умеет в общем случае. Точнее умеет, но вот более одной сетевой карты не знает. Всё, что от NT родословную ведёт, то может. Форвардинг включается, и всё.

AS ★★★★★
()
Ответ на: комментарий от angelbezdyshi

Не подскажите как настроить переадресацию трафика на винде.Походу реально проблема в этом.

Если правильно распарсил. Тут скорее маскарад нужен или если есть возможность раздача роутов с dhcp. Т.е. задача аналогична и для онтопика. Но вот как это на оффтопе настроить и будет ли работать я хз. Тут вы явно форумом промахнулись.

anc ★★★★★
()
Ответ на: комментарий от anc

Еще, если вариант вынести винду не рассматривается, может попробовать установить виртуалку с онтопиком и сетевку в бридж. Правда это уже совсем пальцем в небо и также я хз как оно на винде будет работать.

anc ★★★★★
()
Ответ на: комментарий от angelbezdyshi

половину квеста ты прошел. Теперь тебе нужно посмотреть на таблицу маршрутизации машин в сети 10.101.165.0/24.

Если там нет маршрута 10.8.0.0/24 через 10.101.165.64 или DGW не 10.101.165.64 (10.101.165.1 судя по всему), то конструкция работать не будет.

Решений м.б. несколько (dhcp/nat/script), но это все оффтопик...

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от angelbezdyshi

Вот тут когда-то расписывал детально что к чему. Гляньте в абзацы, касаемые «маршрутов» и «пушей». Однако не забывайте что для винды там специфичные опции, аля «netsh routing» и разрешения менять маршурт...но то лирика. Дебаг на клиенте всё подскажет. Вкратце - 1) На сервере роут до «клиентской сети» через Шиндовс 2) пуш нужных роутов клиенту 3) дебаг на клиенте (лог+таблица маршрутизации)

mak_v_
()
Ответ на: комментарий от vel

Такая беда,подсоединил второго клиента аналогично первому.Ну почему то его настоящий ip не пингуется...настройки аналогичные,маршрутизация включена.Скорей всего проблема в винде на клиенте.Не подскажите в какую сторону копать?

angelbezdyshi
() автор топика
Ответ на: комментарий от angelbezdyshi

В туннеле пакеты к нему видны ? Значит проблема в оффтопике.

Смотреть в сторону другого форума. Здесь тебе помогут либо в разделе Job, либо те у кого настройка машрутизации на оффтопике не вызывает изжоги...

В гугле нет примеров аналогичных конфигураций ? Что-то не верится.

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin