LINUX.ORG.RU
решено ФорумAdmin

Не работает iroute в ccd openvpn

 , ,


2

1

Доброе время суток.

Пытаюсь объединить две сети с помощью openvpn.

Надо соединить две подсети (192.168.0.0/24 сервер и 192.168.2.0/24 клиент).

Соединение проходит, виртуальные сети openvpn видят друг друга (клиент пингуется с сервера и наоборот).

В конфиге сервера (server.conf) прописано push «route 192.168.0.0 255.255.255.0» - на клиенте маршрут к подсети сервера добавляется нормально.

Прописываю клиентский конфиг (ccd/client) iroute 192.168.2.0/24 - и ВСЁ! Эта тварь не работает - на сервер маршрут к подсети клиента НЕ ДОБАВЛЯЕТСЯ! Во всех гуглах и доках написано, что должен добавляться! ПРи том, что судя по логам клиентский конфиг считывается и даже пишется что маршрут добавлен! Но в route его нифига нет.

Хелп плиз, уже второй час с этой херней долбусь!

Server: CentOS 5.8 x64, OpenVPN 2.1.4

Client: CentOS 6.3 x64, OpenVPN 2.2.2

Если в конфиге сервера жестко прописать route в сеть клиента - работает (правда почему-то сети видно только с серверов, с машин в подсетях нифига не видно - ещё один гемор)


На сервере: cat /etc/centos-release CentOS release 6.2 (Final)

openvpn.conf

mode server
tls-server
proto udp
dev tun
port 1200
topology subnet
tls-auth /etc/openvpn/keys/ta.key 0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
ifconfig 172.16.254.254 255.255.255.0
ifconfig-pool 172.16.254.1 172.16.254.4
user openvpn
group openvpn
verb 4
cipher DES-EDE3-CBC
duplicate-cn
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
comp-lzo
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
client-to-client
client-config-dir /etc/openvpn/ccd
route 192.168.2.0 255.255.255.0 172.16.254.2
route 192.168.1.0 255.255.255.0 172.16.254.1
route 192.168.3.0 255.255.255.0 172.16.254.3

/etc/openvpn/ccd/novisad

ifconfig-push 172.16.254.3 255.255.255.0
iroute 192.168.3.0 255.255.255.0

На клиенте:

tls-client
proto udp
remote XXX.XXX.XXX.XXX
dev tun
topology subnet
port 1200
cd /etc/openvpn
pull
tls-auth /etc/openvpn/keys/ta.key 1
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/novisad.crt
key /etc/openvpn/keys/novisad.key
cipher DES-EDE3-CBC
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user openvpn
group openvpn
verb 3
mssfix 1200
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log

И проверьте, нет ли на клиенте конфликта по подсетям. У меня была такая проблема, ISP выдавал по DHCP адрес из той же подсети, что у меня должна была быть доступна через VPN, соответственно правило маршрутизации не добавлялось.

maxt_t ()
Ответ на: комментарий от maxt_t

Спасибо, заработало вроде! Пока заработало. topology subnet значительно удобнее, не знал про него - конфиги писались лет 6 назад...

Saloed ()
Ответ на: комментарий от maxt_t

Кстати тоже за topology спасибо - пропустил в свое время.

zgen ★★★★★ ()
Ответ на: комментарий от maxt_t

В общем, огромное спасибо. С помощью этого topology всё настроилось быстро, решительно, красиво, и лучше чем было.

Saloed ()
Ответ на: комментарий от Saloed

А еще можно использовать просто dev tap. Тогда можно и без iroute обойтись, а роутить через сервер. Это на случай, если надо на нём контролировать трафик (iptables, tcpdump и т.п.) проходящий через него.

nstorm ()
Ответ на: комментарий от nstorm

Хм... Мне надо будет там настраивать QoS для IP-телефонии.

Saloed ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.