LINUX.ORG.RU
ФорумAdmin

OpenVPN пинг с сервера до лок. сети

 ,


0

1

OpenVPN развёрнут на VPS, также на этом VPS развёрнут мониторинг сети, не пингуется с сервера лок. подсеть 192.168.10.0. Пожалуйста подскажите!

Конфиг сервера:

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

;client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0

Конфиг user03.ovpn::

iroute 192.168.10.0 255.255.255.0
 

Ответ на: комментарий от BOOBLIK

Пинг делаю с сервера.

root@vps:~# ip route show
default via 169.254.254.254 dev eth0
default via 169.254.254.254 dev eth0 onlink
169.254.254.254 dev eth0 scope link
172.17.0.0/24 dev tun0 proto kernel scope link src 172.17.0.1
192.168.10.0/24 via 172.17.0.2 dev tun0

user03 куда делается пинг с сервера имеет IP 172.17.0.3

ramneak ()

Я правильно понимаю, клиент цепляется к серверу, у клиента поднимается маршрут на локалку сервера и клиент нормально работает, но пинг с сети сервера не пингует сеть клиента? Ну или самого клиента.

Летом мудохался именно с этим и вроде даже писал рецепт, но меня похоже игнорят :))))

не работает маршрутизация? (комментарий)

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от anc

@anc сам давно поднимал таким образом? Что то поменялось в консерватории, я лет 10 назад поднимал vpn между офисом и заводом, и все было так.

Но этим летом обновлял сервера и наступил на грабли никакие iroute не помогали.

alex_sim ★★★ ()
Ответ на: комментарий от anc

Пока работает.

Я понимаю, что работает, но поднимал то поди давно? я вот тоже 10 лет назад поднял и 10 лет работало а на 11 годе решил обновить сервера и дистрибутив… УПС, а правила то уже поменялись.

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от anonymous

Уверен тут дело на в tun/tap.

Продолжай и держи нас в курсе. Я летом выходные провел на работе тоже так думал, весь инет перерыл пока не нашел это сообщение.

Системные маршруты с tun не работают пиши что хочешь на клиенте, сервер не поднимет маршрут присланный ему клиентом. Да оно и верно, настроил я ноутбук Финдиру, он свалил на КИПР прицепился к серверу все у него работает. А что я с серверной сетки или с сервера должен иметь достут к локалке кипра. А клиента вообще должен знать какая там на кипре будет локалка.

alex_sim ★★★ ()
Ответ на: комментарий от anonymous

OpenVPN. Соединение двух сетей (комментарий)

нашел ссылку на оригинал, ссылка 17 года

OpenVPN. Соединение двух сетей (комментарий)

OpenVPN. Соединение двух сетей (комментарий)

А маршрут надо самому, системный прописать

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от alex_sim

Я понимаю, что работает, но поднимал то поди давно?

По разному.

я вот тоже 10 лет назад поднял и 10 лет работало а на 11 годе решил обновить сервера и дистрибутив…

Если вы 10 лет не обновляли ovpn посмею предположить, что проблема в параметрах конфига. Ну и именно «10 лет» немного смущает.
ЗЫ Да и с самими сертами может быть.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Если вы 10 лет не обновляли ovpn посмею предположить, что проблема в параметрах конфига. Ну и именно «10 лет» немного смущает.

Нет я не использовал старые конфиги, тренировался на кошечках на двух виртуалках. Сьемулировать сеть за виртуалками не придумал как, поэтому и наступил на грабли маршрутизации уже на этапе замены думал сейчас включу и все взлетит, ан нет.

Ну и именно «10 лет» немного смущает.

Не понял, а что тут смущает? В качестве серверов работали обычные компы селероны, на fedore 16, подумал что после 10 лет непрерывной работы, пора обновить сервера и уж купить именно сервера с raid, а операционка поспела к тому времени fedora 34

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

А! Вспомнил, в этом году в мае поднимал новый сервак с несколькими сетями за ним, всё взлетело и работает нормально. В смысле у клиентов несколько подсетей.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Что ж вы эти iroute мучаете. Эта директива не имеет никакого отношения к системным таблицам роутинга, а управляет только внутренней кухней openvpn.

У ТС где-то в конфигах сервера (которые он нам не показывает) или ccd других клиентов вписаны кривые роутинги.

BOOBLIK ★★ ()
Ответ на: комментарий от BOOBLIK

Эта директива не имеет никакого отношения к системным таблицам роутинга, а управляет только внутренней кухней openvpn.

Правильно.

в конфигах сервера (которые он нам не показывает)

А в топипе это простите что?

anc ★★★★★ ()
Ответ на: комментарий от ramneak

Убрать в конфиге сервера:

route 192.168.10.0 255.255.255.0

Добавить туда же:

route 192.168.10.0 255.255.255.0 172.17.0.3

В специальном файле /etc/openvpn/ccd/user03 убедится в наличии там директивы:

iroute 192.168.10.0 255.255.255.0
BOOBLIK ★★ ()
Ответ на: комментарий от anc

Так эта строчка там и была с самого 1-го поста )

Конфиг user03.ovpn: - подразумевалось содержимого /etc/openvpn/ccd Тока щас заметил что по ошибке указал что это .ovpn

В данный момент:

  1. user03 (/etc/openvpn/ccd)
iroute 192.168.10.0 255.255.255.0
  1. Конфиг сервера - как в 1-ом посте
local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

;client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0
  1. /etc/sysctl.conf net.ipv4.ip_forward = 1

Это не пока не работает!

anonymous ()
Ответ на: комментарий от anc
root@vps:~# traceroute 192.168.10.102
traceroute to 192.168.10.102 (192.168.10.102), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
anonymous ()
Ответ на: комментарий от anc

Хм, а traceroute -n 192.168.10.10.

во во, самое интересное, что от юзера к юзеру пингуется сеть 192.168.10.0 (ты помог настроить), а с сервера сопротивляется!

root@vps:~# traceroute -n 192.168.10.10
traceroute to 192.168.10.10 (192.168.10.10), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
  • накинул на всяких случай iptables:
root@vps:~# iptables-save
# Generated by iptables-save v1.8.4 on Mon Nov 22 16:49:21 2021
*filter
:INPUT ACCEPT [180886:13081970]
:FORWARD ACCEPT [200:80056]
:OUTPUT ACCEPT [186930:15553703]
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.17.0.0/24 -j ACCEPT
COMMIT
# Completed on Mon Nov 22 16:49:21 2021
# Generated by iptables-save v1.8.4 on Mon Nov 22 16:49:21 2021
*nat
:PREROUTING ACCEPT [13409:972352]
:INPUT ACCEPT [11080:496829]
:OUTPUT ACCEPT [15786:952938]
:POSTROUTING ACCEPT [15427:938896]
-A POSTROUTING -s 172.17.0.0/24 ! -d 172.17.0.0/24 -j SNAT --to-source x.x.x.x
COMMIT
# Completed on Mon Nov 22 16:49:21 2021
anonymous ()
Ответ на: комментарий от ramneak

Держу в курсе, дело не в tap )

Странное дело, все, что я делал с TUN не работало ( ну вернее наполовину работало), а стоило поменять на TAP все взлетело махом, разбираться больше не было времени, воскресенье было на исходе. Причем раньше у меня 9 лет назад все работало и с TUN. Рад за Вас.

alex_sim ★★★ ()