Openvpn и все все все

0

1

Всем ку. Поможите чем можите. Есть OpenVPN сервер, находящийся за NAT. Проброшен порт 1194 по tcp.

Клиент к нему подключается без проблем, может пинговать как и IP адрес сервера в локальной сети, так и в VPN. Сам тоже пингуется. А больше ничего в локальной сети клиент не видит. Вот конфиги:

Сервер

port 1194

tls-auth ta.key 0
cipher DES-EDE3-CBC
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

proto tcp
dev tun
server 10.8.0.0 255.255.255.0
client-to-client

ifconfig-pool-persist ipp.txt
client-config-dir ccd

push "route 192.168.1.0 255.255.255.0"

keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3

Клиент:

client
tls-auth ta.key 1
cipher DES-EDE3-CBC
dev tun
proto tcp
remote a.b.c.d 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert andrey.crt
key andrey.key
ns-cert-type server
comp-lzo
log /var/log/openvpn.log
verb 3

Роуты на клиенте:

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         78.46.111.49    0.0.0.0         UG        0 0          0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG        0 0          0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
78.46.111.48    0.0.0.0         255.255.255.240 U         0 0          0 eth0
192.168.1.0     10.8.0.5        255.255.255.0   UG        0 0          0 tun0

# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:168 (168.0 B)  TX bytes:336 (336.0 B)

Роуты на сервере:

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 br0
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 br0

ЧТЯДНТ?

Ссылка

←	exim ratelimit

Идеология [авто] настройки и конфигурирования пакетов в Gentoo

→

А в сети на GW роут прописан до сети 10.8.0.0 255.255.255.0

Откуда устройства в сети узнают где находится ваша сеть VPN

aeX1pu2b ★
(23.04.15 17:38:35 MSK)

Ответ на: комментарий от aeX1pu2b 23.04.15 17:38:35 MSK

Мне важно, чтобы клиент видел внутреннюю сеть. Сети клиента видеть необязательно.

teamfighter ★
(23.04.15 17:39:50 MSK) автор топика

Ответ на: комментарий от teamfighter 23.04.15 17:39:50 MSK

балда, остам сети для ответа надо тоже иметь маршрут до клиента. Поэтому либопрописывай на каждом хосте маршруты, либо вынеси шлюз опенвпн в отдельный сегмент локалки

anonymous
(23.04.15 17:45:08 MSK)

Внутренняя сеть это какая? 192.168.1.0?

generator ★★★
(23.04.15 17:45:25 MSK)

Ответ на: комментарий от generator 23.04.15 17:45:25 MSK

Да, верно

teamfighter ★
(23.04.15 17:46:39 MSK) автор топика

Ответ на: комментарий от anonymous 23.04.15 17:45:08 MSK

Хм. Мысль светлая. А может имеет смысл роуты до OpenVPN сети на шлюзе добавить?

teamfighter ★
(23.04.15 17:47:12 MSK) автор топика

Ответ на: комментарий от teamfighter 23.04.15 17:46:39 MSK

Ну смотри, клиент маршрут до неё получил. Чтобы хосты из сети были «доступны» надо:
а) Разрещить в sysctl на шлюзе роутинг
б) Прописать на хостах в сети маршрут до сети vpn-a. Ну или vpn-сервер должен быть default gateway для этих хостов.

У тебя так?

generator ★★★
(23.04.15 17:49:11 MSK)

Ответ на: комментарий от generator 23.04.15 17:49:11 MSK

Пункт б) запилил. Спасибо, помогло!)

teamfighter ★
(23.04.15 17:53:13 MSK) автор топика

Ссылка

Ответ на: комментарий от teamfighter 23.04.15 17:47:12 MSK

попробуй и увидишь, что всё равно путаница будет.

anonymous
(23.04.15 17:53:40 MSK)

Ссылка

Ответ на: комментарий от generator 23.04.15 17:49:11 MSK

Так, рано обрадовался.
На шлюзе 192.168.1.1 добавил маршрут до сети 10.8.0.0/24

Из локалки теперь VPN клиенты пингуются
Из VPN локалка недоступна. Доступен только сам VPN сервер и шлюз.

teamfighter ★
(23.04.15 18:53:43 MSK) автор топика

Да, шлюз и openvpn сервер разные сущности. У openvpn ip 192.168.1.7

teamfighter ★
(23.04.15 18:58:55 MSK) автор топика

Ссылка

Ответ на: комментарий от teamfighter 23.04.15 18:53:43 MSK

На шлюзе 192.168.1.1 добавил маршрут до сети 10.8.0.0/24

Это не очень хорошо. Получается несимметричная маршрутизация.
От хостов до сети vpn пакеты идут так:

host->192.168.1.1->vpn-server->vpn-client

А обратно так:

vpn-client->vpn-server->host

Лучше если хосты в сети 192.168.1.0/24, прописать маршрут на каждом через vpn-сервер. Впрочем, работать должно и так.

Из локалки теперь VPN клиенты пингуются
Из VPN локалка недоступна. Доступен только сам VPN сервер и шлюз.

Странно. Возможно, виноват фаервол где-нибудь? NAT-а никакого на шлюзе или vpn-сервере нет (это ведь не один и тот же хост, если я правильно понял)?

generator ★★★
(23.04.15 19:03:41 MSK)

Ответ на: комментарий от generator 23.04.15 19:03:41 MSK

Да, это разные хосты.
А VPN сервер за натом
Короче, такая получается схема:

VPN-serv (192.168.1.7) --> (192.168.1.1) Шлюз (a.b.c.d) <-- Клиент

teamfighter ★
(23.04.15 19:16:14 MSK) автор топика

Ответ на: комментарий от teamfighter 23.04.15 19:16:14 MSK

Локалка, откуда пингуются vpn-клиенты это какая сеть? 192.168.1.0/24? Если да, то пропиши на каждом хосте в локалке маршрут до 10.8.0.0/24 через 192.168.1.7, либо послушай мудрого анона и вынеси vpn-сервер в отдельный vlan.

generator ★★★
(23.04.15 19:35:36 MSK)
Последнее исправление: generator 23.04.15 19:36:02 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	exim ratelimit

General

Идеология [авто] настройки и конфигурирования пакетов в Gentoo

→

Похожие темы