OpenVPN - маршрутизация

0

0

В продолжение вот этого топика http://www.linux.org.ru/profile/Morphine/view-message.jsp?msgid=1962279

Разобрался с поднятием VPN. теперь он поднимается, маршруты прописываю руками, но трафик не проходит.

вот таблица маршрутизации с сервера: Destination Gateway Genmask Flags Metric Ref Use Iface

hm 10.1.1.1 255.255.255.255 UGH 0 0 0 tap0

vhg-m22-2-lo10. * 255.255.255.255 UH 0 0 0 ppp0

192.168.6.0 * 255.255.255.0 U 0 0 0 eth0

192.168.5.0 * 255.255.255.0 U 0 0 0 eth0

10.1.1.0 * 255.255.255.0 U 0 0 0 tap0

default * 0.0.0.0 U 0 0 0 ppp0

вот таблица маршрутизации с клиента: Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.6.0 av54923.oops 255.255.255.0 UG 0 0 0 tap0

83.167.107.0 * 255.255.255.0 U 0 0 0 eth0

10.1.1.0 * 255.255.255.0 U 0 0 0 tap0

default 83.167.107.* 0.0.0.0 UG 0 0 0 eth0

Когда пингуешь сервер с клиента в лог ничего не пишет, а когда наоборот то в лог пишет вот это:

Sat Jun 9 14:35:55 2007 worm/83.167.107.*:45264 read TCPv4_SERVER []: No route to host (code=113)

Ссылка

←	OpenVPN - объединение нескольких сетей

jabberd

→

Попробовал, ради эксперемента, поднять через tun, хотя нужно через tap, все поднимается, но пакеты все равно не ходят. на сервере в лог пишет вот что:

Sat Jun 9 15:38:46 2007 worm/83.167.107.116:48182 MULTI: bad source address from client [10.1.1.2], packet dropped

Помогите пожалуйста. За выходные надо поднять vpn.

Заранее спасибо.

Morphine ★
(09.06.07 15:53:32 MSD) автор топика

Ответ на: комментарий от Morphine 09.06.07 15:53:32 MSD

Там разрешения на подсетки клиентов надо писать я сам пол дня на это убил нашел в самом конце документации. В сервер конф добовляешь client-config-dir /home/cdd/ туда создаешь файлики название должно соответствовать CN слиента имя при генерации задаеться. в этот файл пишем iroute 192.168.0.0 255.255.255.0 и после этого покеты с этой сетки дропаться не будт. есть еще варианты типа disabled туда написать с таким ключем потом не войти клиентские конфиги можно динамически менять.

Openvpn штука мощная. роутов только если много писать собираешься то надо исходники в обном месте поправить а так 3-6 сеток максимум получаеться.

phantom7 ★
(10.06.07 00:46:24 MSD)

Ответ на: комментарий от phantom7 10.06.07 00:46:24 MSD

а через TAP в режиме моста делать надо ( поддержку этого дела в ядре надо включать и бридж-утилс еще ставить) тоже интересный вариант если ip клиентам выдаешь из той же сети куда конектишься, в таком режиме широковещательные рассылки тоже проходят хотя они не всегда нужны :-)

phantom7 ★
(10.06.07 00:49:12 MSD)

Ответ на: комментарий от phantom7 10.06.07 00:49:12 MSD

Вот конфиг:

mode server

tls-server

proto udp

dev tap0

port 5555

#up /etc/openvpn/vserver/upscript.sh

#down /etc/openvpn/vserver/downscript.sh

tls-auth /etc/openvpn/vserver/keys/auth.key 0

ca /etc/openvpn/vserver/keys/ca.crt

cert /etc/openvpn/vserver/keys/gate.crt

key /etc/openvpn/vserver/keys/gate.key

dh /etc/openvpn/vserver/keys/dh1024.pem

ifconfig 10.10.10.10 255.255.255.248

ifconfig-pool 10.10.10.11 10.10.10.14

duplicate-cn

user nobody

group nogroup

persist-key

persist-tun

verb 3

cipher DES-EDE3-CBC

log-append /var/log/openvpn.log

status /var/log/openvpn-status.log

comp-lzo

Строки up и down закомментировал т.к. эти маршрут поднимается вместе с сервером и клиент не может законектится, т.к. ответные пакеты уходят в сеть 10.10.10.8...

а вот содержимое upscript.sn downscript.sh:

up: route add -host *.*.*.* gw 10.10.10.10

down: route del -host *.*.*.*

Попробую сделать то что советовали...

Morphine ★
(10.06.07 10:36:43 MSD) автор топика

Ответ на: комментарий от Morphine 10.06.07 10:36:43 MSD

Что то я не могу понять..... Я, после того как vpn поднялся, добавил маршрут (route add -net 192.168.5.0/24 gw 10.10.10.10) только на клиенте, и все заработало! А если добавляю маршрут на сервере (route add -host *.*.*.* gw 10.10.10.11) то все перестает работать...

Видимо мне надо хорошенько почитать про маршрутизацию...

Или всетаки что-то не так?

Morphine ★
(10.06.07 11:46:54 MSD) автор топика

Ответ на: комментарий от Morphine 10.06.07 11:46:54 MSD

И вот еще.... Подскажите получится ли реализовать вот такую конфигурацию.

у меня в офисе есть 2 сети 192,168,0,0 и 192,168,1,0, они не пересекаются и пересекаться не должны (в целях конфиденциальности). Есть еще один офис там тоже 2 сети 192,168,5,0 и 192,168,6,0 они тоже не должны пересекаться. И есть 3 магазина с сетями 2,0 3,0 и 4,0. В каждом офисе и магазине по одному гейту, и сети 1,0 и 6,0 доступа к нему не имеют. Сечас объединены vpn-ами сети 0,0 0,2 0,3 0,4, к ним надо миконектить сеть 0,5. Это я сделаю без проблем.

Но! вот вопрос: Получится ли через те же гейты объединить еще и сети 0,1 и0,6, так чтобы они не пересекались с остальными. Если да то подскажите хватит ли для этого только маршрутов и на сколько это будет надежно?

Заранее спасибо.

Morphine ★
(10.06.07 11:55:22 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN - объединение нескольких сетей

Admin

jabberd

→

Похожие темы