LINUX.ORG.RU
ФорумAdmin

Ubuntu server - mikrotik client openvpn client-to-client

 , , , ,


0

1

Доброй ночи! Не получается добиться client-to-client. Ubuntu server выступает в роли сервера с поднятым openVPN с такими конфигами:

ca /etc/easy-rsa/pki/ca.crt
cert /etc/easy-rsa/pki/issued/myserver.crt
key /etc/easy-rsa/pki/private/myserver.key
dh /etc/easy-rsa/pki/dh.pem
crl-verify /etc/easy-rsa/pki/crl.pem

proto tcp
dev tun
topology subnet
server 10.8.0.0 255.255.255.0
client-config-dir /etc/openvpn/ccd
client-to-client
route 192.168.91.0 255.255.255.0 10.8.0.2

push "route 192.168.4.0 255.255.255.0"

port 1194
push "route 10.128.0.0 255.255.255.0"
route-gateway 10.8.0.1
keepalive 10 120
persist-key
persist-tun
log         openvpn.log
log-append  openvpn.log
verb 3

маршутизация на сервере выглядит вот так:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.128.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
_gateway        0.0.0.0         255.255.255.255 UH    100    0        0 eth0
192.168.91.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0

Маршутизация на микротике выглядит вот так:

[admin@MikroTik] >> /ip route  print     
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          lte1                      2
 1 ADC  10.8.0.0/24        10.8.0.2        ovpn-out1                 0
 2 ADS  10.128.0.0/24                      10.8.0.1                  1
 3 ADC  100.75.164.233/32  100.75.164.233  lte1                      0
 4 ADS  192.168.4.0/24                     10.8.0.1                  1
 5 ADC  192.168.91.0/24    192.168.91.1    bridge                    0

ip_forward проставил на 1, маскаратингом пытался играться - не получилось, вернул все обратно. Не знаю куда дальше копать, трасировка ничего не показывает. Пинги не идут.С микротика пингуется - локальная сеть сервера, шлюз vpn. с сервера пингуется только vpn сеть микротика. Вот еще файл ccd:

ifconfig-push 10.8.0.2 255.255.255.0
push "route 10.128.0.0 255.255.255.0" #IP Range of OpenVPN
iroute 192.168.91.0 255.255.255.0

не вдавался сильно в подробности но у меня недавно было нечто похожее, клиент цеплялся к серверу, но маршруты даже поднятые врукопашную не работали.

нашел на нашем же форуме не работает маршрутизация? (комментарий)

это не оно? те интерфейс я поменял и вручную прописал на сервере маршрут, чтоб две сети друг друга увидели, попытка прописать route/iroute в конфиге openvpn ни к чему не приводила, хотя вроде и на ошибки никто не ругался fedora 34 если что

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от TobEP

Поменял. теперь

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.128.0.1      0.0.0.0         UG    100    0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
10.128.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.128.0.1      0.0.0.0         255.255.255.255 UH    100    0        0 eth0
192.168.91.0    10.8.0.2        255.255.255.0   UG    0      0        0 tap0

но пинги опять не идут, вот трасировка:

root@video:/home/martylee42# traceroute 192.168.91.1
traceroute to 192.168.91.1 (192.168.91.1), 30 hops max, 60 byte packets
 1  video (10.8.0.1)  3048.915 ms !H  3048.881 ms !H  3048.868 ms !H


вот пинг

From 10.8.0.1 icmp_seq=125 Destination Host Unreachable
From 10.8.0.1 icmp_seq=126 Destination Host Unreachable

TobEP ()

route 192.168.91.0 255.255.255.0 10.8.0.2

Убери 10.8.0.2 из команды. OpenVPN сам разрулит маршрутизацию. У тебя в ccd указано, через кого эта подсеть доступна.

Вот еще файл ccd

Напихал пуши во все файлы, чтобы наверняка?

Если что-то должно раздаваться всем, то пихаешь в общий конфиг. Если для конкретного клиента нужны конкретные костыли, то пихаешь в ccd.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

Убрал, файл сервера сейчас такой.

ca /etc/easy-rsa/pki/ca.crt
cert /etc/easy-rsa/pki/issued/myserver.crt
key /etc/easy-rsa/pki/private/myserver.key
dh /etc/easy-rsa/pki/dh.pem
crl-verify /etc/easy-rsa/pki/crl.pem

proto tcp
dev tun
topology subnet
server 10.8.0.0 255.255.255.0
client-config-dir /etc/openvpn/ccd
client-to-client

#routing


port 1194
#pushin
push "route 10.128.0.0 255.255.255.0"


route-gateway 10.8.0.1
keepalive 10 120
persist-key
persist-tun
log         openvpn.log
log-append  openvpn.log
verb 3

файл ccd

ifconfig-push 10.8.0.2 255.255.255.0
push "route 10.128.0.0 255.255.255.0" #IP Range of OpenVPN
iroute 192.168.91.0 255.255.255.0
TobEP ()
Ответ на: комментарий от TobEP

В ccd оставь только iroute. «route 10.128.0.0» сервер ему в любом случае пошлёт.

route 192.168.91.0 255.255.255.0

Зачем всю строку убрал? Я же русским по белому написал, что убрать надо только «10.8.0.2» из строки. Без этого route система на сервере про сеть 192.168.91.0/24 знать не будет.

А вот строку route-gateway грохни.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah
ca /etc/easy-rsa/pki/ca.crt
cert /etc/easy-rsa/pki/issued/myserver.crt
key /etc/easy-rsa/pki/private/myserver.key
dh /etc/easy-rsa/pki/dh.pem
crl-verify /etc/easy-rsa/pki/crl.pem

proto tcp
dev tap
topology subnet
server 10.8.0.0 255.255.255.0
client-config-dir /etc/openvpn/ccd
client-to-client

#routing
route 192.168.91.0 255.255.255.0 

port 1194
#pushin
push "route 10.128.0.0 255.255.255.0"
push "route 192.168.91.0 255.255.255.0"
;push "route 192.168.2.0 255.255.255.0"

keepalive 10 120
persist-key
persist-tun
log         openvpn.log
log-append  openvpn.log
verb 3

ccd

ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.91.0 255.255.255.0
TobEP ()