LINUX.ORG.RU
ФорумAdmin

OpenVPN и масочный ограничитель

 ,


0

1

Поставил OpenVPN с помощью скрипта Nyr (скорректировал в скрипте 172.16.0.0/12). При корректировке маски в server.conf (server 172.16.0.0 255.255.0.0) сервер OpenVPN запускается только при маске не более /16, т.е. при /15 и далее не стартует! Подскажите пожалуйста, где выставлен этот «масочный ограничитель» ?

Накинул iptables на всякий случай:

root@vps:~# iptables-save
# Generated by iptables-save v1.8.4 on Thu Dec  2 09:25:02 2021
*filter
:INPUT ACCEPT [601:52992]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [755:87570]
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.0.0/12 -j ACCEPT
COMMIT
# Completed on Thu Dec  2 09:25:02 2021
# Generated by iptables-save v1.8.4 on Thu Dec  2 09:25:02 2021
*nat
:PREROUTING ACCEPT [197:9974]
:INPUT ACCEPT [192:9437]
:OUTPUT ACCEPT [109:8241]
:POSTROUTING ACCEPT [109:8241]
-A POSTROUTING -s 172.16.0.0/12 ! -d 172.16.0.0/12 -j SNAT --to-source x.x.x.x
COMMIT
# Completed on Thu Dec  2 09:25:02 2021

масочный ограничитель

Ну пздц, подумал я, COVID стал передаваться по сетям.

Тут кроме около слабовой обслуги есть способные? Возможно, назовёте очередной «вирус» COVID’ом с характерными чертами, ради хохмы.

anonymous ()

Простите, а зачем вам столько галоперидола ? Уверены, что юзерспэйсный сервер пережует более 65к юзеров?

anc ★★★★★ ()
Ответ на: комментарий от anc

Простите, а зачем вам столько галоперидола ? Уверены, что юзерспэйсный сервер пережует более 65к юзеров?

Для транляции/кросировки одинаковых подсетей 192. -> 172. (192./16 - не хватит)

ramneak ()

Это может быть проблемой, но это не точно. Во всяком случае, у нас на pfSense пришлось знатно помордочкотыкаться, чтобы сделать жирную сеть. Но я уже ничерта не помню, что там было х)
#полезныесведения

izzholtik ★★★ ()
Ответ на: комментарий от ramneak

Брр, а это тут причем? В параметре --server указывается сеть из которой будут раздаваться ip клиентам. Т.е. адын клиент, адын ip.

anc ★★★★★ ()
Ответ на: комментарий от anc

делаю тарнсляцию типа:

Конфиг сервера:

route 172.16.3.0 255.255.255.0

/etc/openvpn/ccd:

iroute 172.16.3.0 255.255.255.0
push "client-nat snat 192.168.1.0 255.255.255.0 172.16.3.0"

3 строки и трансляция работает, без всякого netmap

ramneak ()
Ответ на: комментарий от anc

Так а причем здесь ip выдаваемый клиенту при соединении ?

Например: server назначает user02 IP-172.16.0.3 (ipp.txt). Я в ручную меняю на 172.16.10.0 и делаю трансляцию на эту подсеть. Всё норм, но дальше маски /16 не работает.

Ты как предлагаешь? чтобы у user02 было 172.16.0.3, а трансляция например в 172.25.0.0 ? И как это реализовать без netmap ?

ramneak ()
Ответ на: комментарий от anc

ЯННП что меняете вручную, где меняете…

Сервер присваивает сам IP юзерам по очереди и прописывает тут ipp.txt (ifconfig-pool-persist ipp.txt). Сервер присвоил типа: user02,172.16.0.3 (loc 192.168.1.0) далее я сменил на 172.16.3.0 и накинул трансляцию на эту подсеть (push «client-nat snat 192.168.1.0 255.255.255.0 172.16.3.0»). Это работает. Позже и возникла проблема, что маска /16 это предел. Так яснее ?

ramneak ()
Ответ на: комментарий от anc

user65534,172.16.255.255 Зачем больше?

Трасляция сетей, а не 1 адреса и 1 юзера, т.е.

user5,172.16.5.0/24 трансляция в его локалку 192,168.1.0/24

user6,172.16.6.0/24 трансляция в его локалку 192,168.1.0/24

user7,172.16.7.0/24 трансляция в его локалку 192,168.0.0/24

Ещё подробрее…. у юзера user5 есть устройство по адресу: 192.168.1.25, при трансляции мы пингуем 172.16.5.25

Итого мы можем транслировать тока 255 подсетей, а этого мало!

ramneak ()
Ответ на: комментарий от anc

user5,172.16.0.5

Накинул этому юзеру трансляцию 172.25.10.0/24 -> 192.168.1.0/24. С сервера могу пинговать устройство 172.25.10.25 (192.168.1.25), а с клиентских не пингуется выше 172.16.*, т.к. вопрос откртыт как 1-ом посте, " где этот масочный ограничитель?" ))

ccd/user5:

iroute 172.25.10.0 255.255.255.0
push "client-nat snat 192.168.1.0 255.255.255.0 172.25.10.0"

ccd/user3:

push "172.25.10.0 255.255.255.0"

сервер:

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.16.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 172.25.10.0 255.255.255.0
ramneak ()
Ответ на: комментарий от anc

возможно можно точнее скорректировать конфиги ? будь добр подскажи

ramneak ()
Ответ на: комментарий от ramneak

push «172.25.10.0 255.255.255.0»

push что? Вы когда конфиг меняете, хотя бы после соединения логи посмотрите.

anc ★★★★★ ()

Openvpn не стартует молча, или пишет в логи про «IFCONFIG_POOL_MAX variable»? Или «server directive netmask allows for too many host addresses »?

mky ★★★★★ ()
Последнее исправление: mky (всего исправлений: 1)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.