LINUX.ORG.RU
ФорумAdmin

openvpn debian

 ,


0

1

клиент цепляется к серверу и дальше никуда, нужно пробросить маршрут в 40 подсеть.

система

debian 9
network в интернет ens18, в сеть ens18:0
allow-hotplug ens18
iface ens18 inet static
        address 192.168.0.35
        netmask 255.255.255.0
        gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.0.1


iface ens18:0  inet static
        address 192.168.40.35
        netmask 255.255.255.0
auto ens18:0
последний конфиг
cat /etc/openvpn/server.conf
local 192.168.0.35
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.40.0 255.255.255.0"
client-config-dir ccd
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 9
explicit-exit-notify 1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens18:0 -j MASQUERADE
sysctl -p
net.ipv4.ip_forward = 1
cat /etc/openvpn/ccd/client1

на клиенте

client
dev tun
proto udp
remote XX.XX.XX.XX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files\\OpenVPN\\config\\client1.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
auth-nocache
verb 9
cipher AES-256-CBC
mute 20
comp-lzo

Лог на клиенте

Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {E3CE95EA-2B8E-4A68-AD1B-89B9C5FE84C5} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Mar 13 12:44:02 2018 Successful ARP Flush on interface [12] {E3CE95EA-2B8E-4A68-AD1B-89B9C5FE84C5}
Tue Mar 13 12:44:02 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 13 12:44:02 2018 MANAGEMENT: >STATE:1520934242,ASSIGN_IP,,10.8.0.6,,,,
Tue Mar 13 12:44:07 2018 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Mar 13 12:44:07 2018 MANAGEMENT: >STATE:1520934247,ADD_ROUTES,,,,,,
Tue Mar 13 12:44:07 2018 C:\Windows\system32\route.exe ADD 192.168.40.0 MASK 255.255.255.0 10.8.0.5
Tue Mar 13 12:44:07 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Mar 13 12:44:07 2018 Route addition via IPAPI succeeded [adaptive]
Tue Mar 13 12:44:07 2018 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
Tue Mar 13 12:44:07 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Mar 13 12:44:07 2018 Route addition via IPAPI succeeded [adaptive]
Tue Mar 13 12:44:07 2018 Initialization Sequence Completed
при добавлении в client1 маршрута на 40 подсеть и ip адреса 192.168.40.2-результата не дало/


Покажи вывод

iptables-save

Ну и вот эта запись некорректная:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens18:0 -j MASQUERADE
ens18:0 заменяется просто на ens18, для iptables нет различия между ens18, ens18:0, ens18:1, для него всё это просто ens18, лучше убери указание интерфейса.

Ну и, если ничего не путаю, то для сети 192.168.40.0/24 VPN сервер должен быть шлюзом.

kostik87 ★★★★★ ()
Ответ на: комментарий от kostik87
iptables-save
# Generated by iptables-save v1.6.0 on Tue Mar 13 06:23:08 2018
*nat
:PREROUTING ACCEPT [4869:350878]
:INPUT ACCEPT [1283:165229]
:OUTPUT ACCEPT [12:962]
:POSTROUTING ACCEPT [14:1080]
-A POSTROUTING -s 192.168.0.0/24 -o ens18:0 -j MASQUERADE
COMMIT
# Completed on Tue Mar 13 06:23:08 2018
kresh1 ()
Ответ на: комментарий от kostik87
iptables-save
# Generated by iptables-save v1.6.0 on Tue Mar 13 06:42:00 2018
*filter
:INPUT ACCEPT [1248:116315]
:FORWARD ACCEPT [6:360]
:OUTPUT ACCEPT [42:8471]
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
COMMIT
# Completed on Tue Mar 13 06:42:00 2018
# Generated by iptables-save v1.6.0 on Tue Mar 13 06:42:00 2018
*nat
:PREROUTING ACCEPT [7146:511883]
:INPUT ACCEPT [1872:240899]
:OUTPUT ACCEPT [13:1038]
:POSTROUTING ACCEPT [17:1274]
-A POSTROUTING -s 192.168.0.0/24 -o ens18:0 -j MASQUERADE
COMMIT
# Completed on Tue Mar 13 06:42:00 2018

доступ к 40 подсети не появился.

kresh1 ()
Ответ на: комментарий от kresh1

Какой IP адрес прописан в качестве маршрута по умолчанию на узлах сети 192.168.40.0/24?

И прописан ли на них вообще шлюз?

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)

Ответ на удалённый коментарий.

Ну и как они по твоему будут знать, что сеть 10.8.0.0/30 доступна через 192.168.40.35?

kostik87 ★★★★★ ()
Ответ на: комментарий от kostik87

на клиенте

===========================================================================
Interface List
 14...00 ff e3 ce 95 ea ......TAP-Windows Adapter V9
 11...08 00 27 cd 43 91 ......  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0  12...00 00 00 00 00 00 00 e0 ===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1      192.168.0.2    266
          0.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6     20
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
   91.144.172.117  255.255.255.255      192.168.0.1      192.168.0.2     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6     20
      192.168.0.0    255.255.255.0         On-link       192.168.0.2    266
      192.168.0.2  255.255.255.255         On-link       192.168.0.2    266
    192.168.0.255  255.255.255.255         On-link       192.168.0.2    266
     192.168.40.0    255.255.255.0         10.8.0.5         10.8.0.6     20
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.0.2    266
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.0.2    266
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      192.168.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 14    276 fe80::/64                On-link
 14    276 fe80::1d26:776a:e62f:1b2d/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    276 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

kresh1 ()
Ответ на: комментарий от kresh1

На хостах сети 192.168.40.0 шлюзом должен быть хост 192.168.40.35, либо на их текущем шлюзе должен быть прописан маршрут, что VPN сеть 10.8.0.0/30 доступна через узел 192.168.40.35 и да, NAT (MASQUERADE) не нужно. Достаточно включить ip_forward.

kostik87 ★★★★★ ()
Ответ на: комментарий от kresh1

А как пакеты обратно пойдут?

В таком случае делай NAT

iptables -t nat -A POSTROUTING -s 10.8.0.0/30 -d 192.168.40.0/24 -j MASQUERADE

И на VPN клиентах прописывай маршрут до сети 192.168.40.0.

В любом случае маршрут до сети 10.8.0.0/30 должен быть прописан.

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kresh1

если на виртуалке openvpn разворачивать... предположил из 192.168.1.0/24 в 192.168.40.0/24 работает по такому принципу.

kresh1 ()
Ответ на: комментарий от kresh1

Понимаешь, что бы у тебя всё работало хосты из сети 192.168.40.0 должны знать, что пакеты до узлов 10.8.0.0/30 должны идти через 40.35, в этом случае прописывай NAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.8.0.0/30 -j MASQUERADE

Либо прописывай делай NAT

iptables -t nat -A POSTROUTING -s 10.8.0.0/30 -d 192.168.0.0/24 -j MASQUERADE
и тогда маршрут до 10.8.0.0/30 прописывать не нужно.

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.