LINUX.ORG.RU
ФорумAdmin

Друзья , помогите с маршрутизацией внутри OpenVPN сети ((

 


1

1

вот пошла вторая неделя как не могу разобраться , может поможет кто найти решение ? Поиском здесь не нашел ( гугл тоже не помог ( Итак есть сервер , поднял на нем openVPN . к нему подключены несколько роутеров , каждый из них расшаривает свою сеть которая за ним 192.168.1.0; 192.168.2.0; 192.168.3.0; 192.168.4.0 и тд. с Этим все в порядке. Все работает . я к примеру client01 подключаюсь к шлюзу , и прекрасно вижу все эти сети и что за ними без проблем . Но стоит задача в другом : как подправить конфиг или файлы в /etc/openvpn/client/ чтобы client01 видел ТОЛЬКО сеть 192.168.1.0 client02 видел ТОЛЬКО сеть 192.168.2.0; client03 видел ТОЛЬКО сеть 192.168.3.0; и тд вот какой у меня конфиг сервера :

port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
auth SHA512
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS *.*.*.*"
push "dhcp-option DNS *.*.*.*"
client-config-dir /etc/openvpn/client
keepalive 10 120
cipher AES-256-CBC
client-to-client
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
в мануале на скрипт есть описание этого случая,( https://openvpn.net/community-resources/how-to/#policy) но при добавлении новых правил в иптайбелс
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT
они какбудто не работают, по крайней мере статистика нулевая(( Опускаются руки , хелп ((

Ответ на: комментарий от anc

без подключения ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 35:b1:fb:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 15656sec preferred_lft 15656sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::8323:a027:eb5a:9853/64 scope link flags 800 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip r s
default via 192.168.2.1 dev wlp6s0 proto dhcp metric 600 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 
169.254.0.0/16 dev tun0 scope link metric 1000 
192.168.2.0/24 dev wlp6s0 proto kernel scope link src 192.168.2.28 metric 600 

а вот с подключением: root@ru4:/home/ru4# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 15345sec preferred_lft 15345sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::8323:a027:eb5a:9853/64 scope link flags 800 
       valid_lft forever preferred_lft forever
9: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.10 peer 10.8.0.9/32 brd 10.8.0.10 scope global noprefixroute tun1
       valid_lft forever preferred_lft forever
    inet6 fe80::8414:1261:ed3d:f818/64 scope link flags 800 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip r s
default via 10.8.0.9 dev tun1 proto static metric 50 
default via 192.168.2.1 dev wlp6s0 proto dhcp metric 600 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 
10.8.0.0/24 via 10.8.0.9 dev tun1 proto static metric 50 
10.8.0.1 via 10.8.0.9 dev tun1 proto static metric 50 
10.8.0.9 dev tun1 proto kernel scope link src 10.8.0.10 metric 50 
89.36.221.69 via 192.168.2.1 dev wlp6s0 proto static metric 600 
169.254.0.0/16 dev tun0 scope link metric 1000 
192.168.1.0/24 via 10.8.0.9 dev tun1 proto static metric 50 
192.168.2.0/24 dev wlp6s0 proto kernel scope link src 192.168.2.28 metric 600 
192.168.2.1 dev wlp6s0 proto static scope link metric 600 

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

1.

4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
Это что такое?
2.
default via 10.8.0.9 dev tun1 proto static metric 50 
Опять что-то нахимичили.

anc ★★★★★
()
Ответ на: комментарий от anc

это на стороне сервера ? какой то интефейс tun1 появился да вроде ничего не делал с того момента , чуть причесал конфиг и все (

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

Двадцать раз повторять вопросы?
1. Откуда у вас на ноуте tun0, что это за соединение ? Может и нужное но тогда поясните.
2. Почему клиент получаеит дэфроут на tun1 ? Вариантов больше одного либо пушим с сервера либо у вас локальные настройки такие.

anc ★★★★★
()
Ответ на: комментарий от anc

вот , уже чтото проясняется , спасибо . на ноуте tun0 видать чемто занято, но точно не нужно , поэтому и выдается по дефолту tun1 . как мне убить tun0?

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

как мне убить tun0?

Найти кто его поднимает, ваш КО

Но второй пункт моего поста это не отменяет.

anc ★★★★★
()
Ответ на: комментарий от anc

снёс openVpn который стоял на ноуте , ситуация улучшилась , хотябы пропал tun1, но инет так и не появился теперь вот так :

без туннеля

root@ru4:/home/ru4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 22558sec preferred_lft 22558sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.10 peer 10.8.0.9/32 brd 10.8.0.10 scope global noprefixroute tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::edf6:74de:49c0:c1fb/64 scope link flags 800 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 22445sec preferred_lft 22445sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip r s
default via 192.168.2.1 dev wlp6s0 proto dhcp metric 600 
192.168.2.0/24 dev wlp6s0 proto kernel scope link src 192.168.2.28 metric 600 

это с туннелем

root@ru4:/home/ru4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 22382sec preferred_lft 22382sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.10 peer 10.8.0.9/32 brd 10.8.0.10 scope global noprefixroute tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::d53:ba62:cdd3:9178/64 scope link flags 800 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip r s
default via 10.8.0.9 dev tun0 proto static metric 50 
default via 192.168.2.1 dev wlp6s0 proto dhcp metric 600 
10.8.0.0/24 via 10.8.0.9 dev tun0 proto static metric 50 
10.8.0.1 via 10.8.0.9 dev tun0 proto static metric 50 
10.8.0.9 dev tun0 proto kernel scope link src 10.8.0.10 metric 50 
89.36.221.69 via 192.168.2.1 dev wlp6s0 proto static metric 600 
169.254.0.0/16 dev tun0 scope link metric 1000 
192.168.1.0/24 via 10.8.0.9 dev tun0 proto static metric 50 
192.168.2.0/24 dev wlp6s0 proto kernel scope link src 192.168.2.28 metric 600 
192.168.2.1 dev wlp6s0 proto static scope link metric 600 

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

прошшу прощения , вот без туннеля :

root@ru4:/home/ru4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 21636sec preferred_lft 21636sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip r s
default via 192.168.2.1 dev wlp6s0 proto dhcp metric 600 
192.168.2.0/24 dev wlp6s0 proto kernel scope link src 192.168.2.28 metric 600 
root@ru4:/home/ru4# 

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

а вот с туннелем :

root@ru4:/home/ru4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.28/24 brd 192.168.2.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 21210sec preferred_lft 21210sec
    inet6 fe80::f0e6:6257:ed03:a4fa/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
13: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.10 peer 10.8.0.9/32 brd 10.8.0.10 scope global noprefixroute tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::3fea:dbfa:bcc2:6ede/64 scope link flags 800 
       valid_lft forever preferred_lft forever
root@ru4:/home/ru4# ip r s
default via 10.8.0.9 dev tun0 proto static metric 50 
default via 192.168.2.1 dev wlp6s0 proto dhcp metric 600 
10.8.0.0/24 via 10.8.0.9 dev tun0 proto static metric 50 
10.8.0.1 via 10.8.0.9 dev tun0 proto static metric 50 
10.8.0.9 dev tun0 proto kernel scope link src 10.8.0.10 metric 50 
89.36.221.69 via 192.168.2.1 dev wlp6s0 proto static metric 600 
169.254.0.0/16 dev tun0 scope link metric 1000 
192.168.1.0/24 via 10.8.0.9 dev tun0 proto static metric 50 
192.168.2.0/24 dev wlp6s0 proto kernel scope link src 192.168.2.28 metric 600 
192.168.2.1 dev wlp6s0 proto static scope link metric 600 

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

default via 10.8.0.9 dev tun0 proto static metric 50

Чтобы два раза не вставать. Покажите:
1. Конфиг сервера
2. Конфиг ccd для этого клиента
3. Конфиг клиента
4. Лог с сервера при подключении клиента
5. Лог с клиента при подключении

anc ★★★★★
()
Ответ на: комментарий от anc

конфиг сервера

port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
auth SHA512
topology net30
server 10.8.0.0 255.255.255.0
push "dhcp-option DNS 62.149.128.4"
push "dhcp-option DNS 62.149.132.4"
#route 10.8.1.0 255.255.255.0
#route 10.8.2.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
client-config-dir /etc/openvpn/client
keepalive 10 120
cipher AES-256-CBC
push "route 10.8.0.0 255.255.255.0"
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

конфиг клиента

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 89.36.221.69 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
setenv opt block-outside-dns
key-direction 1
verb 3
конфиг ccd клиента
ifconfig-push 10.8.0.10 10.8.0.9
push "route 192.168.1.0 255.255.255.0"
лог сервера
OpenVPN CLIENT LIST
Updated,Tue Nov 13 18:29:18 2018
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
client1,33.173.7.191:36402,238206,7361,Tue Nov 13 18:12:45 2018
router1,33.173.7.191:50597,19170821,926884,Tue Nov 13 16:34:43 2018
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,router1,33.173.7.191:50597,Tue Nov 13 16:53:25 2018
192.168.1.0/24,router1,33.173.7.191:50597,Tue Nov 13 16:34:47 2018
10.8.0.10,client1,33.173.7.191:36402,Tue Nov 13 18:29:17 2018
GLOBAL STATS
Max bcast/mcast queue length,2
END


лог с клиета при  продглючении  я не знаю  где посмотреть ( у меня ноут  на дебиан 9 , может  подскажете?
ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

лог с клиета при продглючении я не знаю где посмотреть ( у меня ноут на дебиан 9 , может подскажете?

Например добавить в конфиг клиента

log-append /var/log/openvpn-test.log

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Лог а не status плиз

так вроде в конфиге не логинируется , не подскажете как настроить?

log-append /var/log/openvpn-test.log

добавил, лога нет ((

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

Может и прав не хватает, что бы не ломать голову, замените на /tmp/openvpn-test.log должен создастся.

anc ★★★★★
()
Ответ на: комментарий от ruchechnik

Кстати openvpn-status.log где создается? Это просто интересно не более того, к задаче не имеет отношения.

anc ★★★★★
()
Ответ на: комментарий от anc

вообще перестали ключи добавляться (( зависает и все . мистика не иначе .

сейчас переустановлю клиент

openvpn-status.log где создается? Это просто интересно не более того, к задаче не имеет отношения.

там же где лежит конфиг сервера VPN

/etc/openvpn

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

сейчас переустановлю клиент

Какой смысл? Если только одна строка в конфиге мешает? Этоже не винда.

Сейчас глянул на тестовый ovpn под deb9. Создан каталог /var/log/openvpn/ и в конфиге клиента
log-append /var/log/openvpn/openvpn.log
Файл лога создаеться.

anc ★★★★★
()
Ответ на: комментарий от anc

> Какой смысл? Если только одна строка в конфиге мешает? Этоже не винда. вам ли не знать, виндовские привычки не искоренить, особенно когда чтото не получается.

в общем чуйка не подвела, снес плагин из нетворк менеджера и установил gadmin OPENvpn и все заработало.

в любом случае без вас бы не разобрался , откуда бы я узнал про tun1, tun0 то был занят.

log-append /var/log/openvpn-test.log

Что интересно тут лог по прежнему не создается . Но я всеравно разберусь.

Сейчас пришлю ip a ip r s , в люом случае , если не сложно гляньте .

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

вот, подключился к шлюзу:

root@ru4:/home/ru4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 74:e6:e2:0c:bb:cf brd ff:ff:ff:ff:ff:ff
3: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 38:b1:db:c5:1c:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.43.147/24 brd 192.168.43.255 scope global noprefixroute dynamic wlp6s0
       valid_lft 2998sec preferred_lft 2998sec
    inet6 fe80::3caf:fd9b:5962:10cd/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.10 peer 10.8.0.9/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::1468:1a9f:25b:ce0d/64 scope link flags 800 
       valid_lft forever preferred_lft forever

root@ru4:/home/ru4# ip r s
default via 192.168.43.1 dev wlp6s0 proto dhcp metric 600 
10.8.0.0/24 via 10.8.0.9 dev tun0 
10.8.0.1 via 10.8.0.9 dev tun0 
10.8.0.9 dev tun0 proto kernel scope link src 10.8.0.10 
169.254.0.0/16 dev tun0 scope link metric 1000 
192.168.1.0/24 via 10.8.0.9 dev tun0 
192.168.43.0/24 dev wlp6s0 proto kernel scope link src 192.168.43.147 metric 600 

ruchechnik
() автор топика
Ответ на: комментарий от anc

Да , робит как надо! спасибо Вам) тогда риторический вопрос , почему же роутер асус не робит!? или можно прописать в конфиге клиента , чтобы он не брал интеренет из шлюза, а брал от провайдера ? Вообще не понимаю, дорогой роутер, а не позволяет использовать ovpn не в качестве провайдера интернета.

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

Что интересно тут лог по прежнему не создается . Но я всеравно разберусь.

Смотреть от кого стартует ovpn, ну и раздать права.

anc ★★★★★
()
Ответ на: комментарий от anc

разобрался , дело было в том нетворк менеджере , кривой какойто

сейчас все красиво , пишет ) Вы как кладезь информации , не могу успокоиться ))

В это простыне , чуть выше , дали правило для iptables

 
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 89.36.221.69
в тот раз я его добавлять не стал , ибо удалил прежнее ( с восклицательным знаком) в все заработало как я хотел. Но на днях прочитал описание что вы написали - В вашем исходном варианте (включая настройки ovpn) все клиенты с ip 10.8.0.0/24. Выходили в инет через ваш шлюз.

В варианте поправленном мной в этом посте только iptables сохраняет тот же вариант. Но может вам это вообще и не нужно. Я лишь поправил само правило.

сегодня добавил правило , оно никак не влияет . Его добавлять ?

и отсюда еще маленький вопросик - существует ли такое правило , чтобы так же просто , в одну строчку , можно было бы разрешить клиенту пользоваться моим ovpn сервером в качестве шлюза в интернет ?

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

почему же роутер асус не робит!?

Это уже вторая часть от вашего поста (вы там что-то про асус писали), но не имеющее отношение к текущей решенной задаче?
Тут простите, точно не ко мне, я не знаток сохо как роутеров. У меня стоит asus AC66U но в режиме AP со стоковой прошивкой. Мне хватает :)
Как рекомендация, если стоковая себя «плохо ведет», перешить на wrt и на нем настроить.

anc ★★★★★
()
Ответ на: комментарий от anc

да , это уже вторая задача, и как я уже понял , не имеющая отношение к первой. Буду перепрошивать его под OWRT/ Еще раз огромное ВАМ спасибо! Сам всегда помогаю людям, наверное поэтому вы мне и попались на жизненном пути )

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

и отсюда еще маленький вопросик - существует ли такое правило , чтобы так же просто , в одну строчку , можно было бы разрешить клиенту пользоваться моим ovpn сервером в качестве шлюза в интернет ?

1. В ccd клиента пропишите
push "redirect-gateway def1 bypass-dhcp"
2. Приведенное правило iptables добавьте

anc ★★★★★
()
Ответ на: комментарий от anc

нет. Не робит , вообще инет пропал при 1) и 2)

push «redirect-gateway def1 bypass-dhcp»

может эти правила рубят ?

-A FORWARD -s IP_CLIENT1/32 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -s IP_CLIENT2/32 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -s IP_CLIENT3/32 -d 192.168.3.0/24 -j ACCEPT
-A FORWARD -d IP_CLIENT1/32 -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -d IP_CLIENT2/32 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -d IP_CLIENT3/32 -s 192.168.3.0/24 -j ACCEPT

-A FORWARD -s IP_CLIENT1/32 -j DROP
-A FORWARD -s IP_CLIENT2/32 -j DROP
-A FORWARD -s IP_CLIENT3/32 -j DROP
Сказать честно , мне уже неудобно вас спрашивать ((

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

А, ну да, оно самое, я же не знаю какие вы в конце концов добавили :) Уберите правило с нужным клиентом которое -j DROP

anc ★★★★★
()
Ответ на: комментарий от anc

ну привильно еще столько диалогов было , все это в голове держать )

Все робит!!

Еще раз моя вам благодарность! Если я могу чтото сделать для вас , тоже обращайтесь !

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

В части именно iptables, рекомендую прочитать iptables tutorial, есть на русском. Это займет какое-то время, но не так что бы сильно много.
В данном совете есть нюанс. iptables рано или поздно похоронят. Но имхо сам tutorial очень полезный.

anc ★★★★★
()
Ответ на: комментарий от anc

Спасибо , буду изучать , настолько интересно , что незамечаю как наступает утро порой )

ruchechnik
() автор топика
Ответ на: комментарий от anc

Многоуважаемый anc ! продолжаю изучать работу ovpn в нужном мне режиме, спасибо вам, что подсказываете , иначе опустил бы руки. Если найдете минутку , прошу просвятить по вот этим вопросам

1. номерная емкость net30 неумолимо расходуется , и мне пришла в голову такая идея - я ведь могу включить в кофиг сервера вот это :

duplicate-cn # включает возможность использования одного ключа несколькими клиентами
а то без этой функции каждому приходится раздавать несколько ключей, один для мобильного, другой для ноута. Так будет работать ?

2. заметил такой глюк ( с которым мы с вами попытались разобраться ) те клиенты , который подключаются с андроидов - без проблем юзают трафик мобильного оператора. Если же клиенты подключаются через ноут , жалются , что нет инета, когда шлюз подключен. У меня было также , когда мы с вами разбирались. я поставил другой клиент ovpn и инет от моего провайдера заработал при работающем шлюзе, но как оказалось это не был гглюк клиента. Можете чтото посоветовать ?

и отсюда еще маленький вопросик - существует ли такое правило , чтобы так же просто , в одну строчку , можно было бы разрешить клиенту пользоваться моим ovpn сервером в качестве шлюза в интернет ?

> push "redirect-gateway def1 bypass-dhcp"

попробовал , но стоит иметь ввиду , что те клиенты что имеют это в ccd автоматически будут иметь доступ ко всем сетям ( если iptables не задействован)

Буду очень благодарен если подскажете

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

1. Нет. Разговор же один клиент один ip. Вы выдаете его в ccd. Но я вам писал как «решить вопрос».
2. Это не глюк. Смотрите что в таблице роутинга на клиенте.

попробовал , но стоит иметь ввиду , что те клиенты что имеют это в ccd автоматически будут иметь доступ ко всем сетям ( если iptables не задействован)

Так же писал выше, читайте документацию по iptables, и вроде вы «собрались» это сделать.

anc ★★★★★
()
Ответ на: комментарий от anc

1. Нет. Разговор же один клиент один ip. Вы выдаете его в ccd. Но я вам писал как «решить вопрос»

Вылетел из головы этот пункт , точно - у нас же жествкое присовоение ип адресов.

Да ,я помню как решить - поднимать второй ВПН по соседству на сервере, но на другом порту . Пока это неактуально , но буду прикидывать насколько это сложно или просто .

Так же писал выше, читайте документацию по iptables, и вроде вы «собрались» это сделать.

начал изучать, не все так просто ) буду углубляться , спасибо !

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

1.

Вылетел из головы этот пункт , точно - у нас же жествкое присовоение ип адресов.

«Ну вы блин даете» (с) Создали об этом тему и забыли зачем?
1.1
Может и p2p подойдет. Я же не знаю, вдруг у вас винды нэма или оно уже заработало и на ней...

2.

начал изучать, не все так просто ) буду углубляться , спасибо !

Честно говоря, на бытовом (нужном вам уровне) там все достаточно просто. Единственное что надо потратить какое-то время на прочтение, имхо не отвлекаясь (через предложение) на другие задачи. Пишу по собственному опыту, очень годный материал. При переезде c ipchains весьма помог.
Не будет получаться с конкретными правилами, обращайтесь. Начнем все сначала. Благо правил у вас не так уж и много.

anc ★★★★★
()
Ответ на: комментарий от anc

«Ну вы блин даете» (с) Создали об этом тему и забыли зачем?

я создавал тему с другими исходными условиями : задача стояла не пускать других пользователей , с другими ключами , а про то что каждому присваивать свой ип это вынужденные условия, которые потом всплыли

Может и p2p подойдет. Я же не знаю, вдруг у вас винды нэма или оно уже заработало и на ней...

У меня видны действительно нема , но за потенциальных пользователей не скажу. А вот заработало ли на ней или нет , этот вопрос к сожалению даже не погуглить (( Никто не знает . Только личным опытным путем проверять, может займусь, если в манул по iptables не нырну с головой

Спасибо за поддержку , каждый раз , когда чтото делаю в шлюзе , делаю с оглядкой на вас , думаю если попаду в тупик , мне поможет тот добрый anc с форума )))

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

кстати , меня посетила еще одна бредовая идея )) как вы думаете , если я не виндовым клиентам буду присваивать ип адреса «не из списка [1,2] [5,6] [9,10]» а из [3,4] [7,8] ведь шлюз будет работать ? ведь они не виндовские ?

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

У меня видны действительно нема , но за потенциальных пользователей не скажу. А вот заработало ли на ней или нет , этот вопрос к сожалению даже не погуглить (( Никто не знает .

Вот и я о том же. Вроде и есть подопытная, но тестить лениво, пока хватает «старого конфига». А если сюда добавить что их шиндей больше одной по версии, то становиться лениво в разы :) Поэтому ориентируюсь на оф. документацию. Тестировать на «кроликах» без необходимости не вижу смысла. Могу лишь посоветовать самому попробовать, а вдруг взлетит :)

anc ★★★★★
()
Ответ на: комментарий от ruchechnik

Бредовая. Читаем документацию(выше скидывал ссылку), причем по обычной адресации/роутингу v4 также стоит почитать, что бы не писать такие глупости. К винде не имеет отношения.
/30
0 - сеть
1,2 - адреса
3 - broadcast

Существуют варианты, когда можно и адрес сети и броадкаст попользовать, но это скажем так, совсем не про ваш вариант.

anc ★★★★★
()
Ответ на: комментарий от anc

уже сделал , все какбудто заработало ) успел обрадоваться , но прочитав ваше сообщение переделал на все как и было

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

ЗЫ На всякий случай повторюсь с p2p смена ip со стороны юзера не приведет к «положительным результатам». Получите кучу матов в логах сервера не более того. Работать оно не будет. ЧТД.

anc ★★★★★
()
Ответ на: комментарий от anc

мда... ну что ж хватит изобретать велосипед , остается параллельный сервер на другом порту , тем более это поможет распределить нагрузку )

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

Да может вам и softether (с родным протоколом) поможет. И голову ломать не будете. Говорят из каробки работает, но я его еще «не тыкал палочкой» :) Или wireguard, про него правда говорят только точка точка, норм работает. Может и врут...
Пока пользую все по старинке, ipsec и «другие» ovpn настроенные вручную :)

anc ★★★★★
()
Ответ на: комментарий от ruchechnik

Без базовых знаний, ничего как нужно хотите сделать работать не будет. Мышкотыкать/копипастить конечно возможно. Но вот понимать зачем ты это сделал? И как оно работает? Совсем другое.
Поймите правильно, это без подколов. Чуть подтянуть теорию и большинство вопросов уйдут сами по себе.

ЗЫ Но сами вопросы конечно могут появиться. Напомнили. Несколько раз попадал на ipsec с сохо(и не только) роутерами. Впрочем я об этом на лоре уже писал. Поднимаешь strongswan( логи у него, как и у всех «лебедей» полностью кумарные). Помогает ракун. Подняли его, почитали логи, поняли в чем было дело, поправили конфиг «лебедя», профит.

anc ★★★★★
()
3 июля 2019 г.
Ответ на: комментарий от anc

и снова здвавствуйте ))

почти год назад подробно записал что делать в случае переезда на другой север , и вот настал этот момент . поднял OpenVpN на другом сервере , поставил топологию net30 усе клиенты получили нужные адреса . правила в иптаблес сдделал точно таки ми же ( тольк изменил ип адреса) . Но как по волшебству , или издевательству свыше , до заветного 192.168.1.1достучаться не получается . отправыется только в локалке openvpn 10.8.0.6 ((( хотябы так (( помошите плиз , с маршрутизацией вторые сутки пошли(((

ruchechnik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.