LINUX.ORG.RU
ФорумAdmin

Настройка Openvpn


0

1

пытаюсь объединить два здания. В первом здании сеть 192.168.0.0/24 , во втором 192.168.50.0/24. Конфигурационный файл openvpn сервера

status /var/log/openvpn/status
local xxx.xxx.xxx.xxx
port 3334 
proto udp
dev tun0
comp-lzo
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/ta.key 0
server 192.168.201.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.50.0 255.255.255.0"
push "route 192.168.201.0 255.255.255.0"
client-to-client
duplicate-cn
client-config-dir /etc/openvpn/ccd
keepalive 10 120
auth SHA1
cipher AES-256-CBC
log-append /var/log/openvpn/openvpn_server.log
persist-key
persist-tun
verb 3
mute 20
Конфигурационный файл openvpn второго сервера
remote xxx.xxx.xxx.xxx 3334
client
dev tun
proto udp
resolv-retry infinite # this is necessary for DynDNS
nobind
user nobody
group nogroup
persist-key
persist-tun
verb 3
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server2.crt
key /etc/openvpn/server2.key
tls-auth /etc/openvpn/ta.key 1
log-append /var/log/openvpn.log
comp-lzo
ns-cert-type server
auth SHA1
cipher AES-256-CBC
mute 20
Суть проблемы в том что со второго сервера можно заходить на ресурсы первой сети, а из первой сети не могу попасть во вторую. Куда дальше смотреть настройки openvpn, iptables, маршрутизацию, чтобы из первой сети был доступ во вторую?

Насколько я понимаю первый сервер не знает маршрута ко второй сети, т.к. push route работает только для второго сервера. Попробуй для начала сделать трасировку ну и вручную прописать маршруты.

massive ()

Зачем столько push, нужен один с сеткой за сервером, и просто route с сеткой за клиентом.

lvi ★★★★ ()

А вообще для 2-х точек мультиклиентский сервер не нухен.

Поищи в примерах конфигурацию попроще.

server - не нужен

на сервере

ifconfig 192.168.201.1 192.168.201.2

На клиенте

ifconfig 192.168.201.2 192.168.201.1

Как-то так.

lvi ★★★★ ()
Ответ на: комментарий от lvi

Помимо второго офиса к серверу подключается еще около 50-60 удаленных клиентов. А возможность второй офис подключить появилась недавно, поэтому и пытаюсь прикрутить к тому что есть

wincentt ()
Ответ на: комментарий от wincentt

Никто не мешает еще один простой сервер поднять, еще один конфиг положить, только порт другой прописать и не tun0, тут тоже можно просто tun. Иначе того, что я писал в первом коментарии мало, нужно еще в ccd для данного клиента iroute прописать.

Да и отдельный конфиг гибче, и не путаем мух с котлетами.

lvi ★★★★ ()
Ответ на: комментарий от lvi

Да, ну промежуточные адреса в ifconfig чтоб в сетку server не попадали.

lvi ★★★★ ()

Опцию iroute будет Вася Рябый на сервере прописывать?

no-dashi ★★★★★ ()

Лучше всего научитесь пользоватся tcpdump'ом и точно определяйте до куда доходит нужный ip-пакет. И где пакет исчезает или уходит не в тот интерфейс, там и ищете проблему.

mky ★★★★★ ()
Ответ на: комментарий от wincentt

Из OpenVPN HOWTO:

Why the redundant route and iroute statements, you might ask? The reason is that route controls the routing from the kernel to the OpenVPN server (via the TUN interface) while iroute controls the routing from the OpenVPN server to the remote clients. Both are necessary.

Т.е. надо и route в конфиге сервера, и iroute в ccd клиента. Первый, заруливает в ОпенВПН-сервер, второй - сам ОпенВПН-сервер заруливает клиенту.

С первым все просто, это в таблице маршрутизации, покажет route, ip roure. А вот где и чем посмотреть, то что устанавливает iroute, я нигде не вычитал. Оно работает, но для меня напоминает ловлю рыбки в мутной воде. Поэтому если есть возможность, я поднимаю отдельный интерфейс.

Если кто знает как смотреть, поднялся/не поднялся маршрут по iroute, ткните, буду благодарен.

lvi ★★★★ ()
Ответ на: комментарий от lvi

Нашел в openvpn-status.log видно. Чет раньше не обращал внимание.

lvi ★★★★ ()
Ответ на: комментарий от wincentt

Сделал новый конфиг для центрального сервера server.conf

mode server
tls-server
daemon
ifconfig 192.168.210.1 255.255.255.0
port 1194
proto tcp-server
dev tap
ca /etc/openvpn/office/keys/ca.crt
cert /etc/openvpn/office/keys/office-0.crt
key /etc/openvpn/office/keys/office-0.key
dh /etc/openvpn/office/keys/dh1024.pem
client-config-dir /etc/openvpn/office/ccd
push "route 192.168.210.0 255.255.255.0 192.168.210.1"
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3

/etc/openvpn/office/ccd/client1

ifconfig-push 192.168.210.101 255.255.255.0
push "route 192.168.0.0 255.255.255.0 192.168.210.1"

конфиг клиента /etc/openvpn/client.conf

client
dev tap
proto tcp
remote xxx.zzz.yyy.aaa 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/office-1.crt
key /etc/openvpn/keys/office-1.key
log-append /var/log/openvpn.log
Все подключается нормально - из сети филиала пингую компьютеры центрального офиса, но не могу попасть из центральной сети во вторую. Пинги проходят только на локальный интерфейс сервера филиала. Что смотреть настройки iptables или маршрутизацию?

wincentt ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.