Тонкая настройка OpenVPN

0

3

Есть домашний минисервер на Ubuntu. На нём установлен OpenVPN. Есть рабочий комп, который умеет подключаться к минисерверу через openVPN. Рабочая сеть имеет выход в интернет через Forefront. Как сделать так, чтобы при подключении по VPN: 1) весь интернет трафик шёл через минисервер? 2) была полностью доступна рабочая локалка?

push «redirect-gateway» не проходит, при этом вообще полностью отваливается интернет и даже рабочая локалка.

Ссылка

←	Пересборка initrd на Debian

ipsec (openswan) + l2tp (xl2tpd) + win клиент = проблема

→

← 1 2 →

Ответ на: комментарий от sonkkorh 07.09.12 08:19:41 MSK

и так...

Убрал все push route, оставил только push «redirect-gateway»

весь инет сразу после подключения отвалился.

лог клиента

Fri Sep 07 10:14:06 2012 NOTE: --user option is not implemented on Windows
Fri Sep 07 10:14:06 2012 NOTE: --group option is not implemented on Windows
Fri Sep 07 10:14:06 2012 us=765000 Current Parameter Settings:
Fri Sep 07 10:14:06 2012 us=765000   config = 'client.ovpn'
Fri Sep 07 10:14:06 2012 us=765000   mode = 0
Fri Sep 07 10:14:06 2012 us=765000   show_ciphers = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   show_digests = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   show_engines = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   genkey = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   key_pass_file = '[UNDEF]'
Fri Sep 07 10:14:06 2012 us=765000   show_tls_ciphers = DISABLED
Fri Sep 07 10:14:06 2012 us=765000 Connection profiles [default]:
Fri Sep 07 10:14:06 2012 us=765000   proto = tcp-client
Fri Sep 07 10:14:06 2012 us=765000   local = '[UNDEF]'
Fri Sep 07 10:14:06 2012 us=765000   local_port = 0
Fri Sep 07 10:14:06 2012 us=765000   remote = '*.*.*.*'
Fri Sep 07 10:14:06 2012 us=765000   remote_port = 443
Fri Sep 07 10:14:06 2012 us=765000   remote_float = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   bind_defined = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   bind_local = DISABLED
Fri Sep 07 10:14:06 2012 us=765000   connect_retry_seconds = 5
Fri Sep 07 10:14:06 2012 us=765000   connect_timeout = 10
Fri Sep 07 10:14:06 2012 us=765000 NOTE: --mute triggered...
Fri Sep 07 10:14:06 2012 us=765000 253 variation(s) on previous 20 message(s) suppressed by --mute
Fri Sep 07 10:14:06 2012 us=765000 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri Sep 07 10:14:06 2012 us=765000 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Sep 07 10:14:06 2012 us=765000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Sep 07 10:14:06 2012 us=937000 LZO compression initialized
Fri Sep 07 10:14:06 2012 us=937000 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Sep 07 10:14:06 2012 us=968000 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri Sep 07 10:14:06 2012 us=968000 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Sep 07 10:14:06 2012 us=968000 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Sep 07 10:14:06 2012 us=968000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Sep 07 10:14:06 2012 us=968000 Local Options hash (VER=V4): '69109d17'
Fri Sep 07 10:14:06 2012 us=968000 Expected Remote Options hash (VER=V4): 'c0103fa8'
Fri Sep 07 10:14:06 2012 us=968000 Attempting to establish TCP connection with *.*.*.*:443
Fri Sep 07 10:14:07 2012 us=640000 TCP connection established with *.*.*.*:443
Fri Sep 07 10:14:07 2012 us=640000 TCPv4_CLIENT link local: [undef]
Fri Sep 07 10:14:07 2012 us=640000 TCPv4_CLIENT link remote: *.*.*.*:443
Fri Sep 07 10:14:07 2012 us=656000 TLS: Initial packet from *.*.*.*:443, sid=88fd55fd bf297fd4
Fri Sep 07 10:14:07 2012 us=906000 VERIFY OK: depth=1, /C=RU/ST=MO/L=Moscow/O=Mosbot/CN=Mosbot_CA/emailAddress=sonkkorh@gmail.com
Fri Sep 07 10:14:07 2012 us=906000 VERIFY OK: depth=0, /C=RU/ST=MO/L=Moscow/O=Mosbot/CN=server/emailAddress=sonkkorh@gmail.com
Fri Sep 07 10:14:08 2012 us=437000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 07 10:14:08 2012 us=437000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 07 10:14:08 2012 us=437000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 07 10:14:08 2012 us=437000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 07 10:14:08 2012 us=437000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Sep 07 10:14:08 2012 us=437000 [server] Peer Connection Initiated with *.*.*.*:443
Fri Sep 07 10:14:10 2012 us=906000 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Sep 07 10:14:11 2012 us=46000 PUSH: Received control message: 'PUSH_REPLY,redirect-private,redirect-gateway,route 10.10.1.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.1.6 10.10.1.5'
Fri Sep 07 10:14:11 2012 us=46000 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 07 10:14:11 2012 us=46000 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 07 10:14:11 2012 us=46000 OPTIONS IMPORT: route options modified
Fri Sep 07 10:14:11 2012 us=62000 ROUTE default_gateway=192.168.11.249
Fri Sep 07 10:14:11 2012 us=62000 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{C87CD75D-2922-41B6-A075-062A9C1AB484}.tap
Fri Sep 07 10:14:11 2012 us=62000 TAP-Win32 Driver Version 9.9 
Fri Sep 07 10:14:11 2012 us=62000 TAP-Win32 MTU=1500
Fri Sep 07 10:14:11 2012 us=62000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.1.6/255.255.255.252 on interface {C87CD75D-2922-41B6-A075-062A9C1AB484} [DHCP-serv: 10.10.1.5, lease-time: 31536000]
Fri Sep 07 10:14:11 2012 us=62000 Successful ARP Flush on interface [3] {C87CD75D-2922-41B6-A075-062A9C1AB484}
Fri Sep 07 10:14:16 2012 us=312000 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Fri Sep 07 10:14:16 2012 us=312000 C:\WINDOWS\system32\route.exe ADD *.*.*.* MASK 255.255.255.255 192.168.11.249
Fri Sep 07 10:14:16 2012 us=312000 Route addition via IPAPI succeeded [adaptive]
Fri Sep 07 10:14:16 2012 us=312000 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.11.249
Fri Sep 07 10:14:16 2012 us=312000 Route deletion via IPAPI succeeded [adaptive]
Fri Sep 07 10:14:16 2012 us=312000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.10.1.5
Fri Sep 07 10:14:16 2012 us=312000 Route addition via IPAPI succeeded [adaptive]
Fri Sep 07 10:14:16 2012 us=328000 WARNING: potential route subnet conflict between local LAN [10.10.1.4/255.255.255.252] and remote VPN [10.10.1.0/255.255.255.0]
Fri Sep 07 10:14:16 2012 us=328000 C:\WINDOWS\system32\route.exe ADD 10.10.1.0 MASK 255.255.255.0 10.10.1.5
Fri Sep 07 10:14:16 2012 us=328000 Route addition via IPAPI succeeded [adaptive]
Fri Sep 07 10:14:16 2012 us=328000 Initialization Sequence Completed
Fri Sep 07 10:14:38 2012 us=609000 Connection reset, restarting [-1]
Fri Sep 07 10:14:38 2012 us=609000 TCP/UDP: Closing socket
Fri Sep 07 10:14:38 2012 us=609000 SIGUSR1[soft,connection-reset] received, process restarting
Fri Sep 07 10:14:38 2012 us=609000 Restart pause, 5 second(s)
Fri Sep 07 10:14:43 2012 us=609000 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Sep 07 10:14:43 2012 us=609000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Sep 07 10:14:43 2012 us=609000 Re-using SSL/TLS context
Fri Sep 07 10:14:43 2012 us=609000 LZO compression initialized
Fri Sep 07 10:14:43 2012 us=609000 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Sep 07 10:14:43 2012 us=609000 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri Sep 07 10:14:43 2012 us=609000 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Sep 07 10:14:43 2012 us=609000 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Sep 07 10:14:43 2012 us=609000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Sep 07 10:14:43 2012 us=609000 Local Options hash (VER=V4): '69109d17'
Fri Sep 07 10:14:43 2012 us=609000 Expected Remote Options hash (VER=V4): 'c0103fa8'
Fri Sep 07 10:14:43 2012 us=609000 Attempting to establish TCP connection with *.*.*.*:443

белый IP в логе заменил на *.*.*.*

sonkkorh
(07.09.12 10:18:46 MSK) автор топика

Ответ на: комментарий от sonkkorh 07.09.12 10:18:46 MSK

Убрал все push route, оставил только push «redirect-gateway»
весь инет сразу после подключения отвалился.

1) убери из пуша redirect-private, если используешь redirect-gateway.

2) роуты более-менее корректны, кмк, у тебя не форвадит мини-сервер.

3) tracert до нужного хоста дай.

dhameoelin ★★★★★
(07.09.12 10:39:33 MSK)

Ответ на: комментарий от sonkkorh 07.09.12 10:18:46 MSK

Tue Sep 04 14:33:13 2012 PUSH: Received control message: 'PUSH_REPLY,ping 10,ping-restart 60,ip-win32 dynamic,route-method exe,route 192.168.0.0 255.255.255.0,dhcp-option DNS 192.168.0.1,dhcp-option WINS 192.168.0.1,comp-lzo yes,redirect-private,route 192.168.2.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.2.6 192.168.2.5'
Tue Sep 04 14:33:13 2012 OPTIONS IMPORT: timers and/or timeouts modified
Tue Sep 04 14:33:13 2012 OPTIONS IMPORT: LZO parms modified
Tue Sep 04 14:33:13 2012 OPTIONS IMPORT: --ifconfig/up options modified
Tue Sep 04 14:33:13 2012 OPTIONS IMPORT: route options modified
Tue Sep 04 14:33:13 2012 OPTIONS IMPORT: route-related options modified
Tue Sep 04 14:33:13 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Sep 04 14:33:13 2012 ROUTE default_gateway=10.86.64.1
Tue Sep 04 14:33:13 2012 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{89AB1578-C4B6-4BD9-8588-5C33B251EC12}.tap
Tue Sep 04 14:33:13 2012 TAP-Win32 Driver Version 9.9 
Tue Sep 04 14:33:13 2012 TAP-Win32 MTU=1500
Tue Sep 04 14:33:13 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.2.6/255.255.255.252 on interface {89AB1578-C4B6-4BD9-8588-5C33B251EC12} [DHCP-serv: 192.168.2.5, lease-time: 31536000]
Tue Sep 04 14:33:13 2012 Successful ARP Flush on interface [13] {89AB1578-C4B6-4BD9-8588-5C33B251EC12}
Tue Sep 04 14:33:18 2012 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Sep 04 14:33:18 2012 C:\WINDOWS\system32\route.exe ADD a.b.c.d MASK 255.255.255.255 10.86.64.1
Tue Sep 04 14:33:18 2012 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.5
Tue Sep 04 14:33:18 2012 C:\WINDOWS\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 192.168.2.5
Tue Sep 04 14:33:18 2012 Initialization Sequence Completed

Вот так я попадаю в локальную сеть 192.168.0.0/24 через openvpn-сеть 192.168.2.0/24

форвардинг 192.168.0.0/24 <-> 192.168.2.0/24 разрешён, естественно

a.b.c.d - белый адрес сервера

dhameoelin ★★★★★
(07.09.12 10:48:43 MSK)

Ссылка

Ответ на: комментарий от sonkkorh 07.09.12 10:18:46 MSK

о чудо, наконец то мы увидели логи клиента!

~~xtraeft~~ ★★☆☆
(07.09.12 15:35:41 MSK)

Ответ на: комментарий от sonkkorh 07.09.12 10:18:46 MSK

WARNING: potential route subnet conflict between local LAN [10.10.1.4/255.255.255.252] and remote VPN [10.10.1.0/255.255.255.0]

facepalm

~~xtraeft~~ ★★☆☆
(07.09.12 15:36:21 MSK)

Ответ на: комментарий от dhameoelin 07.09.12 10:39:33 MSK

1) убери из пуша redirect-private, если используешь redirect-gateway.

плюсую
хотелось бы еще увидеть текущий вариант конфига, ибо там какой то винегрет в совокупности с полным непониманием топикстартера принципа работы openvpn

~~xtraeft~~ ★★☆☆
(07.09.12 15:37:24 MSK)

Ответ на: комментарий от xtraeft 07.09.12 15:35:41 MSK

о чудо, наконец то мы увидели логи клиента!

Да ладно тебе, человек исправляется. Глядишь, и мануалы, наконец, читать начнёт))

dhameoelin ★★★★★
(07.09.12 17:43:09 MSK)

Ссылка

Ответ на: комментарий от xtraeft 07.09.12 15:36:21 MSK

Да ладно

WARNING: potential route subnet conflict between local LAN [10.10.1.4/255.255.255.252] and remote VPN [10.10.1.0/255.255.255.0]

facepalm

Чего такого-то? OpenVPN способен разрулить эти конфликты, при желании настраивающего и наличии у него прямых рук.

dhameoelin ★★★★★
(07.09.12 17:44:39 MSK)

Ответ на: комментарий от xtraeft 07.09.12 15:37:24 MSK

хотелось бы еще увидеть текущий вариант конфига, ибо там какой то винегрет в совокупности с полным непониманием топикстартера принципа работы openvpn

плюсую (с)

dhameoelin ★★★★★
(07.09.12 17:45:06 MSK)

Ссылка

Ответ на: Да ладно от dhameoelin 07.09.12 17:44:39 MSK

Чего такого-то? OpenVPN способен разрулить эти конфликты, при желании настраивающего и наличии у него прямых рук.

Нормальные люди другую подсеть выделят для впна.

greyl
(07.09.12 18:00:41 MSK)

Ответ на: комментарий от dhameoelin 07.09.12 10:39:33 MSK

уезжаю на неделю, продолжу эксперименты по возвращении

sonkkorh
(07.09.12 19:54:29 MSK) автор топика

Ответ на: комментарий от greyl 07.09.12 18:00:41 MSK

Нормальные люди другую подсеть выделят для впна.

Это не всегда реально - вот взбзднулось провайдеру сделать wifi-сеточку по городку с диапазоном адресов 10.0.0.0/8 - а оно у тебя на VPN задано - и штоделоц?

У меня такое попадалово в ГПРСе МТСовском точно было, ещё где-то ловил, но не вспомню - OpenVPN разруливает.

dhameoelin ★★★★★
(07.09.12 23:10:02 MSK)

Ответ на: комментарий от sonkkorh 07.09.12 19:54:29 MSK

уезжаю на неделю, продолжу эксперименты по возвращении

При всём моём уважении, за время, которое тут висит Ваш вопрос, можно было документацию по OpenVPN выучить наизусть. За сим откланиваюсь, ибо надоело.

dhameoelin ★★★★★
(07.09.12 23:11:22 MSK)

Ответ на: комментарий от sonkkorh 07.09.12 19:54:29 MSK

ты не переживай, нам же интереснее, чем тебе

~~xtraeft~~ ★★☆☆
(07.09.12 23:17:41 MSK)

Ссылка

Ответ на: комментарий от dhameoelin 07.09.12 23:11:22 MSK

да что уж там, обычно такие вопросы за сутки максимум (на лоре) решаются.

~~xtraeft~~ ★★☆☆
(07.09.12 23:18:26 MSK)

Ссылка

Ответ на: комментарий от dhameoelin 07.09.12 23:10:02 MSK

оно у тебя на VPN задано - и штоделоц?

192.168.0.0

greyl
(08.09.12 17:09:34 MSK)

Ответ на: комментарий от greyl 08.09.12 17:09:34 MSK

192.168.0.0

и?

dhameoelin ★★★★★
(08.09.12 22:39:37 MSK)

Ответ на: комментарий от dhameoelin 08.09.12 22:39:37 MSK

и?

Ты не видишь разницы между 10.0.0.0/8 и 192.168.0.0?

greyl
(08.09.12 23:04:34 MSK)

Ответ на: комментарий от greyl 08.09.12 23:04:34 MSK

Ты не видишь разницы между 10.0.0.0/8 и 192.168.0.0?

Ты не видишь разницы между рабочим конфигом и теоретическим примером?

dhameoelin ★★★★★
(08.09.12 23:32:22 MSK)

Ссылка

Ответ на: комментарий от greyl 08.09.12 23:04:34 MSK

не вижу

~~xtraeft~~ ★★☆☆
(08.09.12 23:57:48 MSK)

Ответ на: комментарий от xtraeft 08.09.12 23:57:48 MSK

Я вернулся. Если кто-то ещё хочет помочь, то немного добавлю

В рабочей сети есть несколько сегментов. В том числе 10.0.0.0/8, но реально 10.10.0.0/16 не используется. Поэтому конфликта нет. Тем более к минисерверу я подключаюсь без проблем. Проблему возникают именно с редиректом.

sonkkorh
(18.09.12 09:47:14 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Пересборка initrd на Debian

Admin

ipsec (openswan) + l2tp (xl2tpd) + win клиент = проблема

→

Да ладно

Похожие темы