LINUX.ORG.RU
решено ФорумAdmin

OpenVPN

 ,


0

1

Здравствуйте. Помогите пожалуйста, с настройкой OpenVPN. Суть такова. Имеются две сети, каждая со своим шлюзом. Между собой сети связаны через OpenVPN. Клиент - 192.168.1.0, сервер - 192.168.0.0. Из сети клиента сеть сервера доступна, пакеты летают, сетевые шары видны. Из сети сервера в сеть клиента доступа почему-то нет. Маршруты подняты, в файрволе разрешения на форварды во всех вариантах разрешены. Но пинги дальше шлюза 192.168.0.1 не уходят.



Последнее исправление: MaxDamage (всего исправлений: 6)

Используй LORCODE, не возможно же читать. На клиенте forward разрешен? Маршруты чем добавляешь? iroute в client-config-dir или вручную?

nike-tesla
()
Ответ на: комментарий от nike-tesla

да, на клиенте форвард тоже разрешал. Маршруты добавлялись вручную в конфиг клиента и в конфиг сервера, впрочем и через push добавлял, без разницы. Судя по выхлопу ip route, маршруты есть.

MaxDamage
() автор топика
Ответ на: комментарий от MaxDamage

На клиенте точно sysctl net.ipv4.ip_forward = 1 ? Я маршруты делаю так: на сервере

client-config-dir /etc/openvpn/ccd
В одноименном файле наименованию клиента:
push "route 192.168.0.0 255.255.255.0"
iroute 192.168.1.0 255.255.255.0
Помню что когда добавлял вручную через route add - не работало. Покажи конфиги сервера\клиента.

nike-tesla
()
Ответ на: комментарий от nike-tesla

клиент

client

;dev tap

dev tun

;dev-node MyTap

;proto tcp

remote 94.181.191.99 64999

;remote 37.61.179.77 64999

route 192.168.0.0 255.255.255.0

;remote-random

resolv-retry infinite

nobind

user nobody

group nogroup

persist-key

persist-tun

;http-proxy-retry # retry on connection failures

;http-proxy [proxy server] [proxy port #]

;mute-replay-warnings

ca ca.crt

cert xxx.crt

key xxx.key

ns-cert-type server

tls-auth ta.key 1

auth SHA512

tls-version-min 1.2

;cipher x

cipher AES-128-CBC

comp-lzo

verb 3

log /var/log/openvpn.log

;mute 20
сервер
local 37.61.179.77

port 64999

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key
  
dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

route 192.168.1.0 255.255.255.0

keepaltls-auth ta.key 0 

cipher AES-128-CBC   # AES

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

verb 3

log /var/log/openvpn.log

MaxDamage
() автор топика
Ответ на: комментарий от MaxDamage

Ну, дык? Помог iroute в client-config-dir? OpenVPN' серверу же нужно сообщить через какого именно из клиентов направлять этот маршрут. То что в сервере прописано route - он то маршрут задаст до своего внутреннего шлюза, но тому же нужно понимать за каким из клиентов, которых может быть много, спрятана твоя сеть.

nike-tesla
()
Ответ на: комментарий от MaxDamage

Нет, не в конфиг клиента, а в конфиг сервера прописать:

client-config-dir /путь/к/папке
эту папку создать и в нее поместить файл по названию клиента (если я правильно понял, то «xxx»). В этот файл прописать
iroute 192.168.1.0 255.255.255.0
этим самым мы скажем шлюзу OpenVPN'а (10.8.0.2) что сеть 192.168.1.0 находится за клиентом xxx

nike-tesla
()
Ответ на: комментарий от MaxDamage

Еще - я смотрю у тебя 2 провайдера? Вероятно понадобится опция

--multihome
    Configure a multi-homed UDP server. This option can be used when OpenVPN has been configured to listen on all interfaces, and will attempt to bind client sessions to the interface on which packets are being received, so that outgoing packets will be sent out of the same interface. Note that this option is only relevant for UDP servers and currently is only implemented on Linux.
Но думается мне что она не будет нормально работать, т.к. при нескольких провайдерах трафик нужно маркировать и разносить по разным таблицам. Сейчас у тебя в таблице main сервера «default via 94.181.191.254 dev eth2», соответственно если клиент будет стучаться на 37.61.179.77, то ответ он будет получать не от того кому послал запрос, а от 94.181.191.99. Оффтоп: негоже делать
:INPUT ACCEPT [56:5310]
:FORWARD ACCEPT [852:384734]
и выкладывать в интернет свои айпишники. Надеюсь хотя бы fail2ban используешь для SSH.

nike-tesla
()
Ответ на: комментарий от nike-tesla

Провайдеры у меня меняются в конфигах вручную, при смене провайдера на шлюзе. Доступ по SSH у меня по ключам, а не по паролям.

MaxDamage
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.