openvpn клиентам не присваивается шлюз!

#push «route 192.168.6.254 255.255.255.0»

Закоментарена строка передающая маршрут клиенту, не?

Хотя бы это почитай.

И коментарий убери от push - это и есть маршрут, выдаваемый клиентам.

На самом деле я комент уберал, прост когда писал пост, снова поставил т.к. не помогла... Меня смущает, что ранее ее небыло... Где то в инете наткнулся на инфу, что после устаноки openssl что то надо в конфиге настраивать... только что, сказано не было...

говорю, с Push комент убрал, не помогло... смущает что его раньше небыло, это я уже в поисках инфы поставил сам. Сейчас читаю ссылку что ты дал, могло оно все слелеть от установки openssl ?

В любом случае полезно поменять verb 2 на verb 4 и читать логи, все будет там: кому что выдается и т.п. Сомневаюсь, что могло что-то слететь из-за этого.

настройка openssl к выдаче маршрута не имеет никакого отношения.

ЧИтаю страничку что ты дал, понять не могу кое что... ВО первых у меня не запускается скрипт bridge-start и через mc пробовал, и в файле openvpn-ssl.cnf не могу найти строки про которые говорят на этой странице...

Сейчас сменю на verb 4 и скину логи. ВОпрос, когда я делаю ifconfig у меня не отоброажается интерфейс tap1 хотя openvpn запущен. Если я делаю ifconfig tap1 то он показывает его... Это может быть связано все в одну кучу ?

Я создал ключ с именем test, вот кусок лога:
Sun Nov 14 14:02:42 2010 us=357650 MULTI: multi_create_instance called
Sun Nov 14 14:02:42 2010 us=357725 91.103.85.108:1769 Re-using SSL/TLS context
Sun Nov 14 14:02:42 2010 us=357764 91.103.85.108:1769 LZO compression initialized
Sun Nov 14 14:02:42 2010 us=357884 91.103.85.108:1769 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Nov 14 14:02:42 2010 us=357910 91.103.85.108:1769 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Nov 14 14:02:42 2010 us=357952 91.103.85.108:1769 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher DES-CBC,auth SHA1,keysize 64,key-method 2,tls-server'
Sun Nov 14 14:02:42 2010 us=357970 91.103.85.108:1769 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher DES-CBC,auth SHA1,keysize 64,key-method 2,tls-client'
Sun Nov 14 14:02:42 2010 us=358001 91.103.85.108:1769 Local Options hash (VER=V4): '36a3722a'
Sun Nov 14 14:02:42 2010 us=358029 91.103.85.108:1769 Expected Remote Options hash (VER=V4): 'ed464ff7'
Sun Nov 14 14:02:42 2010 us=358076 91.103.85.108:1769 TLS: Initial packet from 91.103.85.108:1769, sid=0c5c4f3d 5017c7a7
Sun Nov 14 14:02:42 2010 us=790060 91.103.85.108:1769 CRL CHECK OK: /C=US/ST=NY/L=Moscow/O=steklonit/emailAddress=d.kulikov@steklonit.com
Sun Nov 14 14:02:42 2010 us=790115 91.103.85.108:1769 VERIFY OK: depth=1, /C=US/ST=NY/L=Moscow/O=steklonit/emailAddress=d.kulikov@steklonit.com
Sun Nov 14 14:02:42 2010 us=790412 91.103.85.108:1769 CRL CHECK OK: /C=US/ST=NY/L=Moscow/O=steklonit/OU=Office/CN=test/emailAddress=d.kulikov@steklonit.com
Sun Nov 14 14:02:42 2010 us=790455 91.103.85.108:1769 VERIFY OK: depth=0, /C=US/ST=NY/L=Moscow/O=steklonit/OU=Office/CN=test/emailAddress=d.kulikov@steklonit.com
Sun Nov 14 14:02:42 2010 us=873215 91.103.85.108:1769 Data Channel Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Sun Nov 14 14:02:42 2010 us=873243 91.103.85.108:1769 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 14 14:02:42 2010 us=873266 91.103.85.108:1769 Data Channel Decrypt: Cipher 'DES-CBC' initialized with 64 bit key
Sun Nov 14 14:02:42 2010 us=873288 91.103.85.108:1769 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 14 14:02:42 2010 us=889577 91.103.85.108:1769 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Nov 14 14:02:42 2010 us=889613 91.103.85.108:1769 [test] Peer Connection Initiated with 91.103.85.108:1769
Sun Nov 14 14:02:42 2010 us=889670 test/91.103.85.108:1769 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/servers/steklonit/ccd/test
Sun Nov 14 14:02:44 2010 us=110359 test/91.103.85.108:1769 PUSH: Received control message: 'PUSH_REQUEST'
Sun Nov 14 14:02:44 2010 us=110420 test/91.103.85.108:1769 SENT CONTROL [test]: 'PUSH_REPLY,dhcp-option DNS 192.168.6.100,route-gateway 192.168.6.135,ifconfig 192.168.6.208 255.255.255.0' (status=1)
Sun Nov 14 14:02:48 2010 us=368977 test/91.103.85.108:1769 MULTI: Learn: 00:ff:a2:37:0c:88 -> test/91.103.85.108:1769

Посмотри в настройках сети лучше. По дебиан: /etc/network/interfaces на предмет pre-up и в /etc/network/if-pre-up.d

а в centos не помнишь где они ?

[root@server2 openvpn]# ls /etc/sysconfig/network-scripts/
ifcfg-eth0 ifdown-routes ifup-plip
ifcfg-eth1 ifdown-sit ifup-plusb
ifcfg-eth2 ifdown-sl ifup-post
ifcfg-lo ifdown-tunnel ifup-ppp
ifdown ifup ifup-routes
ifdown-bnep ifup-aliases ifup-sit
ifdown-eth ifup-bnep ifup-sl
ifdown-ippp ifup-eth ifup-tunnel
ifdown-ipsec ifup-ippp ifup-wireless
ifdown-ipv6 ifup-ipsec init.ipv6-global
ifdown-isdn ifup-ipv6 net.hotplug
ifdown-post ifup-ipx network-functions
ifdown-ppp ifup-isdn network-functions-ipv6



оно ? но тут нету интерфейса tap1

попробуй вместо route использовать route-gateway в push

push «route-gateway 192.168.6.254 255.255.255.0»

Попробовал, не помогло... (
Но блин не понимаю, клиент же получает DNS-сервер, почему шлюз не получает... загадка...

Еще меня смущает маршрутизация... я в ней нифига не понимаю:
[root@server2 openvpn]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
91.103.85.104 * 255.255.255.248 U 0 0 0 eth0
192.168.6.0 * 255.255.255.0 U 0 0 0 br0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth1
192.168.6.0 * 255.255.255.0 U 0 0 0 eth2
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
default 192.168.6.254 0.0.0.0 UG 0 0 0 br0

но почему у меня два раза повторяется eth2 и на хрен знает какой йп 169.254.0.0

Сам я бридж на опенвпн не делал, но предполагаю, куда их можно засунуть в правильное место. Смотри файлы всех интерфейсов, которые поднимаются на машине. И ты так и не раскоментировал тот push.

Люди а подскажите пожалуйста, если полностью переустановить опенвпн, то есть шанс сохраниьт старые ключи ?

Почему не раскоментировал... все норм, раскоментировал.
Вот конфиг:
local **.**.**.**
port 1194
proto udp
dev tap1
ca keys/steklonit/ca.crt
cert keys/steklonit/steklonit.crt
key keys/steklonit/steklonit.key
dh keys/steklonit/dh1024.pem
server-bridge 192.168.6.135 255.255.255.0 192.168.6.206 192.168.6.230 #@@ br0 eth1
crl-verify keys/steklonit/crl.pem
cipher DES-CBC
user nobody
group adm
status servers/steklonit/logs/openvpn-status.log
log-append servers/steklonit/logs/openvpn.log
verb 4
mute 20
max-clients 100
#keepalive 10 120
client-config-dir /etc/openvpn/servers/steklonit/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
#up servers/steklonit/bin/steklonit.up
#plugin /usr/share/openvpn/ovpn_plugin/openvpn-down-root.so «/etc/openvpn/servers/steklonit/bin/steklonit.down-roo
push „dhcp-option DNS 192.168.6.100“
push „route-gateway 192.168.6.254 255.255.255.0“
ping 10
ping-restart 120

management **.***.**.*** 1194

если при этом не удалять ключи, то да. Надо как обычно понимать, что делаешь. А по поводу предыдущего моего совета: в руководстве написано, что для устройства «tap» надо использовать route-gateway вместо route в push. Посмотри внимательнее, может ты забыл перезапустить опенвпн после правки?

Подскажи пожалуйста, я сейчас сморю на лог что я писал выше и вижу: Sun Nov 14 14:02:44 2010 us=110420 test/91.103.85.108:1769 SENT CONTROL [test]: 'PUSH_REPLY,dhcp-option DNS 192.168.6.100,route-gateway 192.168.6.135,ifconfig 192.168.6.208 255.255.255.0' (status=1)

что якобы он ему должен почемуто присвоится ДНС 192.168.6.100 Шлюз 192.168.6.135 ( непонятно почему имено 135 когда я прописал 254)

А присвоилось только йп 192.168.6.208, как так ? почему даже шлюз 135 не присвоился...

Я бы тебе советовал разобраться сначала с бриджем, потом с бриджем на опенвпн, понимать как все происходит и какие скрипты основные работают, далее поймешь как должна прописываться маршрутизация. Переустановка дела не изменит. Либо заново просто настраивать. Так только пальцем в небо тыкать.

SENT CONTROL [test]: 'PUSH_REPLY,dhcp-option DNS 192.168.6.100,route-gateway 192.168.6.135,ifconfig 192.168.6.208 255.255.255.0' (status=1)

А это то, что выдается клиенту.

Ключи я уже забекапил... Конфиг выложил выше где показано что я поставил route-gateway. ДА и после каждого изменения я делаю service openvpn restart.

А раз оно выдается, почему оно не присвоилось ? )
ВОпрос, а бридж вообще мне нужен ?
Расскажу в кратце, это сервер с внешним йп и внутренним йп, удаленные клиенты конектятся к внешнему йп и надо чтобы им присваиались внутренние йп, чтобы могли пользоватся внутренними ресурсами которые находятся внутри локальной сети.
Для таких целей бридж нужен вообще ?

192.168.6.135 - Это ip сервера. На клиенте тоже смотреть надо, детальнее.

Вообще в зависимости от сети и ее сервисов. Как ты описал хватит и tun

всмысле это отдельный йп для сервера опенвпн, или для всего сервер ?
Т.к. прошлый админ зачем то сделал 3 интерфейса, 1 внешний и 2 внутренних, объяснив это тем, что один внутренний ( который 192.168.6.135) для впн.
Вот лог клиента test:
Sun Nov 14 14:14:39 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Sun Nov 14 14:14:39 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Nov 14 14:14:39 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Nov 14 14:14:39 2010 LZO compression initialized Sun Nov 14 14:14:39 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Sun Nov 14 14:14:39 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Sun Nov 14 14:14:39 2010 Local Options hash (VER=V4): 'ed464ff7'
Sun Nov 14 14:14:39 2010 Expected Remote Options hash (VER=V4): '36a3722a'
Sun Nov 14 14:14:39 2010 UDPv4 link local: [undef] Sun Nov 14 14:14:39 2010 UDPv4 link remote: 91.103.85.107:1194 Sun Nov 14 14:14:39 2010 VERIFY OK: depth=1, /C=US/ST=NY/L=Moscow/O=steklonit/emailAddress=d.kulikov@steklonit.com
Sun Nov 14 14:14:39 2010 VERIFY OK: depth=0, /C=US/ST=NY/L=Moscow/O=steklonit/OU=Office/CN=steklonit/emailAddress=d.kulikov@steklonit.com
Sun Nov 14 14:14:40 2010 Data Channel Encrypt: Cipher 'DES-CBC' initialized with 64 bit key Sun Nov 14 14:14:40 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sun Nov 14 14:14:40 2010 Data Channel Decrypt: Cipher 'DES-CBC' initialized with 64 bit key Sun Nov 14 14:14:40 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sun Nov 14 14:14:40 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Sun Nov 14 14:14:40 2010 [steklonit] Peer Connection Initiated with 91.103.85.107:1194 Sun Nov 14 14:14:41 2010 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{A2370C88-7B29-4813-9F4A-C33E3E45F284}.tap
Sun Nov 14 14:14:41 2010 TAP-Win32 MTU=1500 Sun Nov 14 14:14:41 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.6.206/255.255.255.0 on interface {A2370C88-7B29-4813-9F4A-C33E3E45F284} [DHCP-serv: 192.168.6.0, lease-time: 31536000] Sun Nov 14 14:14:41 2010 Successful ARP Flush on interface [4] {A2370C88-7B29-4813-9F4A-C33E3E45F284}
Sun Nov 14 14:14:42 2010 Initialization Sequence Completed

Ну клиентам надо будет заходиьт на веб ресурс
Http://192.168.6.33
http://192.168.6.252:3000
и на файловый сервер samba
\\192.168.6.33

а, да, если уж совсем тяжко будет, можно пересобрать старый опенвпн на новой либе (если позволяет) (и да, изврат, согласен)

А что такое новая либа ? Я уже думал установить новый впн если старые ключи останутся. НО ни разу этого не делал, а завтра уже все должно наботать... Мало того, я хотел на впн настройиьт новый пул адресов, чтобы клиентам присваивались адреса из подсети 192.168.11.*, но для этого я так понял надо настраивать маршрутизацию, опыть упирается в навык... (((

Тогда бридж необходим. Выводы ifconfig, route на сервере и клиенте.

Сервер:
[root@server2 openvpn]# ifconfig
br0 Link encap:Ethernet HWaddr 00:15:F2:D0:D7:9C
inet addr:192.168.6.136 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3148 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

eth0 Link encap:Ethernet HWaddr 00:15:F2:D0:D4:B1
inet addr:91.103.85.107 Bcast:91.103.85.111 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10320 errors:0 dropped:0 overruns:0 frame:0
TX packets:1956 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Interrupt:74

eth1 Link encap:Ethernet HWaddr 00:14:D1:10:82:08
inet addr:192.168.6.135 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:506458 errors:0 dropped:0 overruns:0 frame:0
TX packets:456406 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Interrupt:225 Base address:0xac00

eth2 Link encap:Ethernet HWaddr 00:15:F2:D0:D7:9C
inet addr:192.168.6.252 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:577754 errors:0 dropped:0 overruns:0 frame:0
TX packets:113338 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Memory:e7ee0000-e7f00000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1013387 errors:0 dropped:0 overruns:0 frame:0
TX packets:1013387 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0



[root@server2 openvpn]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
91.103.85.104 * 255.255.255.248 U 0 0 0 eth0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth1
192.168.6.0 * 255.255.255.0 U 0 0 0 br0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth2
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
default 192.168.6.254 0.0.0.0 UG 0 0 0 eth1

up servers/steklonit/bin/steklonit.up

еще этот скрипт посмотри

Клиент:
C:\Documents and Settings\User>ipconfig

Настройка протокола IP для Windows


Беспроводное сетевое соединение - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.0.128
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254

Подключение по локальной сети - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена

Подключение по локальной сети 3 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.6.206
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Подключение по локальной сети 2 - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена

#!/bin/bash

/opt/webmin/openvpn/br_scripts/bridge_start --setbr br=br0 eth=eth1 tap=tap0 ip=192.168.6.
135 netmask=255.255.255.0 > /dev/null

##### add your commands below #####
### Add your commands here ###

Не понимаю, зачем нужно было объединять 192.168.6.252 и 192.168.6.135 в бридж.

Вот и я не понимаю... Вообще как основной внутренний адрес на этом серваке идет 192.168.6.252

#push «route 192.168.6.254 255.255.255.0»

замени на push «route-gateway 192.168.6.0 255.255.255.0»

Заменил, рестартонул openvpn, все тоже самое... не присваивается шлюз.

Вообще виндовым клиентам рекомендуют

route-method exe

route-delay 2

И вообще, если раньше все работало и ничего в конфигах не менялось (с bridge я не работал, не могу однозначно сказать как правильно или увидеть явную ошибку), то надо копать от того, что могло меняться, кроме этой либы.

ИМХО все заморочено.

eth0 eth1 tap0 и вперед. Убрать server-bridge из openvpn. Либо есть какие-то задачи, которые требуют этого. Спроси у админа что и как в сети сконфигурировано. И зачем.

И кстати вот [link]http://habrahabr.ru/blogs/linux/67238/[/link]

Все правильно тот админ сделал

ладно, спасибо за помощь, буду рыть глубже... Но тема не закрыта ! ЛЮДИ!)

Короче, все же для твоих целей не нужен даже tap, не говоря про бридж. Проверил, самба работает. В крайнем случае, если все нужен tap, то можно сделать так:

eth0 91.103.85.107
eth1 192.168.6.135
tun0 172.16.0.0 (обнаружение самбы работать не будет)
и прописать на серверах с нужными сервисами
route add -net 172.16.0.0 netmask 255.255.255.0 gw 192.168.6.135 dev <ethx>


или tap 192.168.6.0 (маску считай сам. ipcalc в помощь)

Слушай, наткнулся на одну ссылку в инете, где рассказывается как настраивать через webmin, и я понял что у меня в настройке модуля почти ссылки на каталг и birdge девайсы не правильные...
Сделал как тут:
http://www.debian-netams.web-works.ru/index.php?page=4&from=1
Правда у меня немного отличались название скрипта для запуска bridge device, я поставил вот такие:
Command to start Bridge /etc/openvpn/sample-scripts/bridge-start
Command to stop Bridge /etc/openvpn/sample-scripts/bridge-stop

Path to DOWN-ROOT- PLUGIN /etc/openvpn/servers/steklonit/bin/steklonit.down-root

и у меня теперь не запускается openvpn, и в первые в жизни перед тем как сделать изменния, я забыл сохранить то, что было до изменений... ЖУТЬ )
НО с другой стороны, как оно могло раньше работать, когда были ссылки на каталоги которых даже нету... ?

Так же там есть раздел Full path to ssl (*), куда у меня путь по умолчанию /usr/bin/openssl, но там этого каталога нету...

вру, есть каталог такой... я про openssl, просто криво ввел в первый рраз в поиске.

СЛушай, мне кажется что тупо не запустились скрипты у меня для создания бриджа. Подскажешь пожалуйста как запустить скрипт который bridge-start ?

Который в конфиге, что ли? Так и запускай, как прописал. на свой же первый пост посмотри. И еще ведь маршрутов никаких и не надо, если используется одна сеть для впн.

push «redirect-gateway def1»