LINUX.ORG.RU
ФорумAdmin

OpenVPN на разных интерфейсах

 ,


0

1

Добрый день!

Шлюз на Linux, более 10 интерфейсов. На шлюзе OpenVPN сервер. Клиенты подключаются нормально по 4-м интерфейсам, а по остальным соединение не проходит. Подскажите, как сделать, чтоб работало на всех?

iptables -P ACCEPT

SNAT настроен.

iptables -A PREROUTING -p udp --dport 1194 -j DNAT --to-destination 10.0.0.1:1194 -t nat
(10.0.0.1 локальный интерфейс сервера)

В логах сервера тишина.

Вот лог клиента:

Thu Jan 31 21:14:49 2013 UDPv4 link local: [undef]

Thu Jan 31 21:14:49 2013 UDPv4 link remote: **.**.**.**:1194

Висит минуту

Thu Jan 31 21:15:49 2013 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Thu Jan 31 21:15:49 2013 TLS Error: TLS handshake failed

Thu Jan 31 21:15:49 2013 TCP/UDP: Closing socket

Thu Jan 31 21:15:49 2013 SIGUSR1[soft,tls-error] received, process restarting

Thu Jan 31 21:15:49 2013 Restart pause, 2 second(s)

Конфиг клиента:

auth MD5

cipher BF-CBC
 
client

dev tun
 
 
proto udp

remote **.**.**.** 1194

resolv-retry infinite
 
log         /etc/openvpn/openvpn.log

log-append  /etc/openvpn/openvpn.log
 
 
nobind

persist-key

persist-tun

ca "/etc/openvpn/ca.crt"

cert "/etc/openvpn/zavod.crt"

key "/etc/openvpn/zavod.key"

tls-auth "/etc/openvpn/ta.key" 1
 
tls-client

tls-remote server

ns-cert-type server

comp-lzo

mssfix

fragment 1200

verb 3

mute 20

конфиг сервера:

local 10.0.0.1
 
proto udp

daemon
 
dev tun0

ca /etc/openvpn/ca.crt

cert /etc/openvpn/server.crt

key /etc/openvpn/server.key  # This file should be kept secret

tls-auth /etc/openvpn/ta.key 0
 
dh dh1024.pem

server 192.168.100.0 255.255.255.0

tls-server

auth MD5

cipher BF-CBC

keepalive 10 120
 
client-config-dir /etc/openvpn/ccd

client-to-client

comp-lzo

persist-key

persist-tun

fragment 1200

status /etc/openvpn/openvpn-status.log
 
log         /etc/openvpn/openvpn.log

log-append  /etc/openvpn/openvpn.log
 
mssfix 1200

verb 3

management 127.0.0.1 3333

route 192.168.2.0 255.255.255.0 192.168.100.2

route 10.1.0.0 255.255.0.0 192.168.100.2

route 10.2.0.0 255.254.0.0 192.168.100.2

route 10.4.0.0 255.255.0.0 192.168.100.2

route 10.6.0.0 255.254.0.0 192.168.100.2

route 10.8.0.0 255.248.0.0 192.168.100.2

route 10.16.0.0 255.240.0.0 192.168.100.2

конфиг клиента на сервере (папка ccd):

ifconfig-push 192.168.100.6 192.168.100.5

iroute 192.168.2.0 255.255.255.0 192.168.100.2

iroute 10.2.0.0 255.255.255.0 192.168.100.2

push "route 10.0.0.0 255.224.0.0"

push "route 192.168.1.0 255.255.255.0"

Таки откройте для себя тэг [code].

hizel ★★★★★ ()

Запускайте на сервере на не работающем интерфейсе tcpdump и смотрите, уходят ли к клиенту udp-пакеты. Подозреваю, что вы намудрили с маршрутизацией на сервере и он отвечает клиенту через другой интерфейс.

mky ★★★★★ ()

чтобы OpenVPN работал на всех интерфейсах, в конфиге сервера не уразывается строчка

local 10.0.0.1
соответственно правила для iptables уже будут другие.

odm1n ()
Ответ на: комментарий от anonymous

такая ошибка, как у автора, была у меня в случае плохого линка, решилась упразднением TLS аутентификации. В iptables с VPN сетью были цепочки INPUT, OUTPUT и FORWARD с указание сетей куда можно, по умолчанию правила для цепочек - DROP. Пакеты не маркировал.

odm1n ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.