LINUX.ORG.RU
ФорумAdmin

Доступ с ovpn сервера в сеть клиента

 , ,


0

1

Всем привет. У меня не ходят пинги с debian, на которой openvpn сервер на клиент на роутере с tomatousb. Ну, верней не только пинги, вообще траффик не ходит с сервера на клиент. Клиент же ходит на некоторые хосты через сервер. Что я делаю не так?

Конфиг сервера:

port 27100
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 172.16.61.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-128-CBC   # AES
auth SHA512
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

Фаерволл на сервере пустой.

Конфиг клиента:

daemon
client
dev tun11
proto udp
remote supermegavpnserver.net 27100
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo yes
cipher AES-128-CBC
route-nopull
verb 3
tls-auth static.key 1
ca ca.crt
cert client.crt
key client.key
status-version 2
status status
auth SHA512

Маршруты на клиенте прописаны статически, если это играет какую-то роль.

netfilter на клиенте:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N wanin
-N wanout
-A INPUT -i tun12 -j ACCEPT
-A INPUT -i tun11 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 5/sec -j ACCEPT
-A FORWARD -i tun12 -j ACCEPT
-A FORWARD -i tun11 -j ACCEPT
-A FORWARD -m account--aaddr 192.168.11.0/255.255.255.0 --aname lan 
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --rsource -j DROP

Судя по iptables на клиенте куча интерфейсов. Вы уверены, что разрешили там нужные пакеты? Без описания схемы сети за вас на этот вопрос ответят только телепаты, но они в отпуску.

mky ★★★★★ ()
Ответ на: комментарий от mky

tun11 - это как раз клиент ovpn, о котором идёт речь
tun12 - другой ovpn клиент, но с ним та же проблема
br0 - 4 lan-порта (это роутер)
vlan2 - это wan-порт

сервер - это vps с реальным ip и не настроенным пока что фаерволлом; клиент - это роутер за NAT'ом провайдера

на клиенте у меня вызывает непонимание вот это:

tun11      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
           inet addr:172.16.61.14  P-t-P:172.16.61.13  Mask:255.255.255.255
а конкретно маска

tommytnt ()
Последнее исправление: tommytnt (всего исправлений: 2)

На сервере должен быть конфиг для клиента (в ccd который) с iroute'ами тех сетей, которые доступны за клиентом.

Deleted ()
Ответ на: комментарий от tommytnt

Интерфейс типа P-t-P (точка-точка), маска смысла/значения не имеет, команда ″ip addr″ вобще не выводит маску для таких интерфейсов.

не ходят пинги с debian, на которой openvpn сервер на клиент

С сервера не ходит пинг на 172.16.61.14?

mky ★★★★★ ()
Ответ на: комментарий от mky

На сервере должен быть конфиг для клиента (в ccd который) с iroute'ами тех сетей, которые доступны за клиентом.

это нужно, если мне за клиент ходить не надо, а только на сам клиент?

С сервера не ходит пинг на 172.16.61.14?

нет, увы

tommytnt ()
Ответ на: комментарий от tommytnt

Нет, не нужен. Не распарсил на ночь глядя, читая ОП пост.

Запусти tcpdump -i tun<что-там-у-тебя> icmp на обоих хостах и попингуй. И посмотри долетают ли пакеты до клиента.

Deleted ()
Ответ на: комментарий от tommytnt

Попробуйте запустить пинг одновременном и с клиента и с сервера, может у провайдера на udp время жизни записи в NAT-таблице всего 5 секунд.

mky ★★★★★ ()
Ответ на: комментарий от Deleted

Пинг сервер - клиент:

tcpdump: listening on tun11, link-type RAW (Raw IP), capture size 262144 bytes 20:40:40.029134 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 172.16.61.1 > 172.16.61.6: ICMP echo request, id 20420, seq 1, length 64 ~ 9 packets captured 9 packets received by filter 0 packets dropped by kernel

Обратно - тишина. Как я понял - из-за этого я не получаю ответов на пинг сервер-клиент, но причину всего этого всё равно пока не понял.

Попробуйте запустить пинг одновременном и с клиента и с сервера, может у провайдера на udp время жизни записи в NAT-таблице всего 5 секунд.

Попробовал, но никакого результата не увидел

tommytnt ()
Последнее исправление: tommytnt (всего исправлений: 1)
Ответ на: комментарий от tommytnt

А с клиента на сервер пинг идет?

172.16.61.1 > 172.16.61.6

Выше был 172.16.61.14, он поменялся, или ты не то пингуешь?

Deleted ()
Ответ на: комментарий от Deleted

Не идут, в tcp также никакой активности не видно, когда пингую

tommytnt ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.