LINUX.ORG.RU
решено ФорумAdmin

Не работает режим Client-to-Client в OpenVPN-сервере

 


0

1

Тестирую OpenVPN на тестовом стенде.

Описание стенда: нубук с тремя виртуальными машинами на VMware Player. ВМ1: OpenVPN-сервер - сетка 192.168.1.0/24. ВМ2: клиент 1 - сетка 192.168.1.0/24. ВМ3: клиент 2 - сетка 172.16.219.0/24 (находится за NAT'ом, но остальные сети видит).

Задача: с клиента 1 подключённого к OpenVPN-серверу получить доступ ко внутренней сетке клиента 2.

Что делал: настроил всё по прекрасному мануалу (https://www.digitalocean.com/community/tutorials/openvpn-ubuntu-16-04-ru). Всё прекрасно настроилось и клиенты коннектятся к VPN-серверу и пингуют тунельные адреса и сервера и собственные, однако волею судеб, с пингом NAT'овской сетки клиента 2 с клиента 1 как-то не заладилось с самого начала. client-to-client и опции в ccd на серванте - всё есть. таблица маршрутизации везде прописана на всех участниках стенда. Однако трейс с клиента 1 доводит до тунельника VPN-сервера и там же заканчивается. Попытка пингов NAT'овской сетки с самого VPN-сервера заканчивается ничем - пинги не идут.

Вопрос: может ли влиять на возможность пинга сетки за NAT - реализации этого самого NAT'а от VMware Player'а, который я не контролирую?

Спасибо.

Задача: с клиента 1 подключённого к OpenVPN-серверу получить доступ ко внутренней сетке клиента 2.

Первый же вопрос: разрешена ли маршрутизация трафика на клиенте 2?

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Правильный вопрос. И вот ответ: да, включена, хотя она на клиенте не гужна совсем - на нём же не две сетевухи, а одна. Роутинг нужен на VPN-сервере, а на клиентах не нужен и в мануале это не описано, но я включил всё равно. ПС: огнестенки везде выключены.

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

да, включена, хотя она на клиенте не гужна совсем - на нём же не две сетевухи, а одна

facepalm.so

Тебе надо маршрутизировать трафик между двумя сетями - lan и vpn. Через два интерфейса - ethX и tunX. Теперь подумай ещё раз, сколько у тебя «сетевух» и нужна ли тебе маршрутизация. Когда поймёшь, что нужна - настрой в iptables forward между lan и vpn.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

facepalm mode reply on Для особо одарённых, читающих сообщения через строки: маршрутизация на клиенте не нужна и она не описана в мане. Там сказано, что роутинг надо включать только на VPN-сервере. На клиенте всего одна сетевуха, а туннельный интерфейс - это всего лишь виртуальный интерфейс для безопасной связи. И ещё раз млять: роутинг на клиенте у меня УЖЕ ВКЛЮЧЕН. Теперь для дибилов: файерволы у меня уже выключены, ВЕЖДЕ, какой нах айпитаблес, глаза разуй свои когда читаешь мои сообщения.

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

маршрутизация на клиенте не нужна и она не описана в мане

Я не понял, так ты хочешь попасть в сеть за «клиентом 2» или нет?

файерволы у меня уже выключены, ВЕЖДЕ, какой нах айпитаблес

Ясно, значит не хочешь.

глаза разуй свои когда читаешь мои сообщения

Я уже жалею, что начал их читать. А с такими наездами - совокупляйся со своим VPN сам. Удачи.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Если у тебя есть грамотное понимание сути проблемы, то велкоме.

Если у тебя есть грамотный мануал и ты по нему всё успешно настраивал, то велком.

В остальных случаях - у ар нот велкоме.

Вот скажи мне как фиревал влияет на маршрутизацию трафика между сетями? Разве этим не занимается роутер? Где доказательная база твоих утверждений, что надо включать файеры и роутинг на клиентах?

Ramirezkiv
() автор топика
Ответ на: комментарий от dhameoelin

Ты сдался. Я не думал, что такой обидчивый. Неужели мне придётся просить прощение и извиняться? Не заставляй меня это делать иначе мне придётся позвать своего друга Валеру.

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

Открою секрет, тут на тебя всем похрен. Можешь ничьи советы не слушать с таким подходом.

Ты забавный. Я послежу за темой и в каких выражениях тебе будут (если) рассказывать, где ты неправ (ладно, впн ты настроил) и что тебе нужно сделать (вдоль).

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Не надо выдавать желаемое за действительное, отвечай только за себя.

Есть люди, которым важно разобраться в чужой проблеме и помочь другому. А есть такие, вроде тебя, кинут сообщение и понимай как хочешь и на ответные сообщения не обращают внимания, главное засветиться со своими постами во многих темах, не так ли, уважаемый?

Да ты уж конечно проследи и проконтролируй, как же без этого?!

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

главное засветиться со своими постами во многих темах, не так ли, уважаемый?

Я здесь с 2006 года, а зарегистрировался в 2007. Ты правда думаешь, что мне есть дело до «засветиться»?

Не надо выдавать желаемое за действительное, отвечай только за себя.

Вот и поступай согласно своим словам.

Есть люди, которым важно разобраться в чужой проблеме и помочь другому. А есть такие, вроде тебя, кинут сообщение и понимай как хочешь...

Я честно пытался. Но ты - даже не хамло, а что-то ещё более мерзкое, так что охоту тебе помогать ты основательно у меня отбил.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

С 2006-го года - дааа представляю себе сколько банальных сообщений за это время ты мог сюда запостить. Помог кому-нибудь своими советами?

Давай проанализируем твою попытку. Ты написал про необходимость включения роутинга на клиенте и настройку айпитаблес на нём же. Я ответил, что файеры все отключены и роутинг включён на клиенте. Ииииии? Далее от тебя поступила дельная идея? Нет. Ты даже ссылку на мануал не приводишь, где чётко описано что да как, а говоришь, что ты пытался.

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

Давай проанализируем твою попытку.

А давай. Я:

Тебе надо маршрутизировать трафик между двумя сетями - lan и vpn. Через два интерфейса - ethX и tunX ... настрой в iptables forward между lan и vpn.

Ты же:

1) маршрутизация на клиенте не нужна и она не описана в мане
2) На клиенте всего одна сетевуха, а туннельный интерфейс - это всего лишь виртуальный интерфейс для безопасной связи.
3) файерволы у меня уже выключены

1) В общем случае она не нужна. Но тебе-то надо в сеть ЗА клиентом 2, как я понял.
2) Хочется матом сказать. Но не буду.
3) Кто будет обеспечивать хождение трафика между lan «клиента 2» и vpn, Пушкин?

dhameoelin ★★★★★
()
Ответ на: комментарий от Ramirezkiv

ты даже ссылку на мануал не приводишь, где чётко описано что да как

Тебе на какой мануал ссылку давать, если ты чуть ли не наxyz~ шлёшь сразу, как скажешь тебе что-то, идущее вразрез с твоей картиной мира, а?

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)
Ответ на: комментарий от dhameoelin

Хождение трафика к сети клиента 2 будет обеспечивать OpenVPN сервер. Если это не так, то приведи маны, где сказано, что это не так, а не свои предубеждения.

Нету никакого между лан и впн туннеля. Тунельный интерфейс работает внутри физики и служит для связи клиента и сервера.

Далее, роутинг на клиенте 2 у меня уже включен и маршруты приписаны, но не работает нужный доступ.

Ещё идеи?

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

Хождение трафика к сети клиента 2 будет обеспечивать OpenVPN сервер.

Только до самого «клиента 2». OpenVPN сервер никак не может повлиять на настройки фаервола «клиента 2», если ты не используешь на клиенте скрипты на поднятие/опускание интерфейса. А ты их или не используешь или забыл об этом упомянуть в ОП-посте, что эквифаллично.

Нету никакого между лан и впн туннеля. Тунельный интерфейс работает внутри физики и служит для связи клиента и сервера.

OpenVPN - это userspace-приложение. Ему недостаточно дать маршруты и успокоиться. Обеспечить хождение трафика между локалкой и впн - задача админа. Ты можешь путать с ipsec, но, так как мне похер (мы же так договорились?!), то разбирать это не будем.

Далее, роутинг на клиенте 2 у меня уже включен и маршруты приписаны, но не работает нужный доступ.

Ещё раз говорю - маршрутов мало. Но, так как man iptables для тебя, видимо, слишком сложен (а он реально с первого раза сложен), а ты не понимаешь, что форвардинг мало включить - его ещё и настроить надо, то я не знаю, что ещё тебе посоветовать.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Я же писал уже: мануал, в котором прописано необходимость включения роутинга на клиенте и настройка айпитаблеса и в соответствии с которым всё работает. Разве это невыполнимая просьба для благородного дона?

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

Хех, тогда ты подфорумом ошибся. С такими запросами тебе в раздел «Job».

dhameoelin ★★★★★
()
Ответ на: комментарий от Ramirezkiv

Я же писал уже: мануал, в котором прописано необходимость включения роутинга на клиенте и настройка айпитаблеса и в соответствии с которым всё работает. Разве это невыполнимая просьба для благородного дона?

Вот, прям, мануал, который по команде man something выводится, так ведь?

dhameoelin ★★★★★
()
Ответ на: комментарий от Ramirezkiv

А оно у вас есть вообще, это готовое решение?

Ну да, я через него сейчас подключен.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Нет, такой man something читайте сами, который по-сути памятка для тех кто уже всё знает и собаку съел на этой теме.

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

Ну и просил бы тогда «инструкцию» или «гайд» на худой конец. А то я аж потерялся, пытаясь понять, чем тебе маны по iptables, openvpn и ip не понравились.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

И знаете чтобы вы мне ответили на просьбу инструкции или гайда? man something или иди в раздел job. Вот ваш принцип: хрена лысого тебе готовое решение - думай сам

Ramirezkiv
() автор топика
Ответ на: комментарий от Ramirezkiv

И знаете чтобы вы мне ответили на просьбу инструкции или гайда?

Не угадал. Так как ты в начале ещё не хамил и бросался какахами, то я просто дал бы тебе ссылку на «быстрозагугленную» инструкцию, сначала проглядев её по диагонали на предмет вменяемости. Мне не трудно. Можешь об этом судить хотя бы по тому времени, которое я на тебя с твоей темой трачу.

man something

Было бы, если тебе инструкция оказалась «мала», но ты, хотя бы мог сформулировать, что ты хочешь. По факту прочтения мана ты бы просто уточнил ТЗ.

иди в раздел job

Только если затраты моего времени на решение твоей проблемы показались бы мне дороже моего свободного времени. Ну или ты хамить (бы) начал.

dhameoelin ★★★★★
()

<moderator hat> С таким отношением к пытающимся тебе помочь, а также за неоднократное нарушение правил 4.3 и 5.2 - пройдите-ка в бан, сударь </moderator hat>

Пользуясь случаем, выражаю одновременно негодование(за поддерживание срача) и благодарность(за то, что хоть попытался подсказать, пусть ТС тебя и не услышал) пользователю dhameoelin

Pinkbyte ★★★★★
()
Ответ на: комментарий от dhameoelin

Чтобы не расслаблялись. А то я смотрю хамство в техразделах становится нормой. И не хамство в стиле Луговского, а банальное, бытовое...

Pinkbyte ★★★★★
()
Ответ на: комментарий от dhameoelin

Я снова жив!!! ))

У меня получилось, только я с виртуальных машин перелез в реальную сетку: в качестве openvpn-сервера поднял VPS/VDS у провода, а в качестве клиентов использовал нубуки с лином и вином, а также смарт. На лине, куда нужно было прокидывать других клиентов таки поднял я netfilter/iptables и настроил NAT - так что всё в конечном итоге заработало.

Спасибо за советы, dhameoelin!

Ramirezkiv2
()
Ответ на: комментарий от dhameoelin

Если это решение ведёт к изменению конфигурации сети или к появлению брешей в безопасности, то не нужно. Да и не главное это сейчас.

Данное решение очень медленно работает ибо шифрование и я сейчас думаю, получится ли увеличить скорость передачи данных изменив алгоритм шифрования в настройках OpenVPN или изменив длину ключа шифрования.

Ramirezkiv2
()
Ответ на: комментарий от dhameoelin

В числа не могу, нет числов. Но есть веб-браузер на клиенте, который по сути должен отображать в реальном времени видео-поток с IP-камеры, но он отображает статическую картинку, которая меняется раз в 20 секунд примерно. В ЛВС - IP-камера работает прекрасно и без задержек.

Ramirezkiv2
()
Ответ на: комментарий от dhameoelin

А причем тут огнестенки? С разрешающими правилами iptables по умолчанию на клиентах все будет нормально работать. Форвардинг же между интерфейсами включается не iptables-ом.

rumgot ★★★★★
()
Ответ на: комментарий от schlae

Спасибо, это мы все знаем. Пруф, что конфигурация ТС заработает без дополнительных настроек фаервола.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Ну если говорить про необходимость пересылки пакетов между интерфейсами, то она включается в любом случае одинаково.

rumgot ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.