openvpn клиентам не присваивается шлюз!

Ему не нужен дефолт шлюз.

Смари, мне надоело и я удалил опенвпн, установил новый и пытался настроит по инструкции от сюдва:
http://domaintimes.net/ustanovka-i-nastrojka-linux-vpn-servera/

Что то где то накасячил ) не запускается опенвпн )
вот конфиг:
local 91.103.85.107
port 1194
proto tcp
dev tun
ca ca.crt
cert server2.crt
key server.key
dh dh1024.pem
server 192.168.6.135 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push «route 192.168.10.0 255.255.255.0»
push «redirect-gateway»
push «dhcp-option DNS 192.168.6.100»
client-to-client
keepalive 10 120
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 5
mute 20

Почему не запускается - Смотри лог /var/log/openvpn.log

push «redirect-gateway»

уверен что нужен default gateway??

push «route 192.168.10.0 255.255.255.0»

это как-то к твоей сетке относится??

И еще ты поменял proto udp на proto udp - а в клиенте указал?

мужики ! )
Я полностью пере установил openvpn, все запустилось, сделал по новому, бридж теперь не стал настраивать, возник вопрос, когда я захожу в вебмин и в раздел openvpn + ca, в настройка сервера есть красная строка:
Choose key No server keys configured
И так же почему то есть строки:

Certificate Server    automaticKey
Server    automatic

Хотя я ко всем ключам руками указал путь... как так ?
Вот мой конфиг:
local 91.103.85.107
port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server2.crt
key /etc/openvpn/easy-rsa/keys/server2.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 192.168.11.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/keys/ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push «route 192.168.11.254 255.255.255.0»
push «redirect-gateway»
push «dhcp-option DNS 192.168.6.100»
client-to-client
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group adm
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

management 91.103.85.107 1194

Я понимаю, если б ты webmin`ом упростил какие-то рутинные операции (и то можно заскриптовать), но настраивать с нуля - это плохо, ты уже не понимаешь что к чему. Сейчас-то все работает? Закрой webmin. Прочитай логи, если не работает, проверь все ли ключи сгенерированы.

Смотри, вроде как все запустил, сделал без бриджа, но у меня клиентам присваивается не тот шлюз!
Я поставил им новую подсеть, и у мен по умолчанию ставится шлю 192.168.11.1.
Если в принудительном порядке писать
push «route-gateway 192.168.11.254 255.255.255.0»
или
push «route 192.168.11.254 255.255.255.0»
То тогда шлюз вообще не присваивается, т.е. он пустой !
Как быть ГУРу ?

Т.е. получилось ТО, от чего я и пришел ))))) только тогда он у меня слетел от установки openssl или по каким либо еще причинам и была старая подсеть, а я хотел новую )
Теперь новая, но шлюз все еще не тот )

Клиентам под оффтопиком прописал

route-method

exe route-delay 2

?

push «redirect-gateway»

Это отвечает за маршрут по умолчанию для клиента. Читай свой конфиг и разбирай каждую строку, можешь в комментариях помечать для чего используется опция. У меня ощущение, что ты не понимаешь что делаешь.

Про что ты в начале я не понял... про route-method

а про push"redurect-gateway", я понимаю что это для шлюза по умолчанию, из названия и так понятно...
Просто если я уберу эту строку, то клиенту даже не верный шлюз не присваивается.

Оспаде, если клиент создает соединение, то в таблице маршрутизации будет маршрут к 192.168.11.0. Если тебе вообще весь трафик нужно завернуть к себе тогда и делай default gateway. В твоем случае тебе в конфиг нужно прописать только маршрут в сеть за сервером. И гугл в руки. В жизни тебе никто на блюдечке не преподнесет вкусный готовый пирог.

Да вроде бы уже и так испек пирок сам, остается вишенку сверху положить, вот и консультируюсь где взять эту вишенку ;)

Я и не пойму в чем проблема?

Клиент соединяется, все ок, только дело осталось чтоб клиенту маршрут за сервером прописать

ВОт я и хочу узнать какой коммандой это можно сделать...

Из твоего же первого поста копирую

push «route 192.168.6.254 255.255.255.0»

только замени на актуальную сеть... думать неохота, что ли?

Потвоему я это не делал ? ))))
Я это давным давно сдела, я уже извращаюсь как могу...
Вот последнйи конфиг:
local 91.103.85.107
port 1194
proto udp
dev tap
ca keys/steklonit/ca.crt
cert keys/steklonit/steklonit.crt
key keys/steklonit/steklonit.key
dh keys/steklonit/dh1024.pem
server 192.168.11.0 255.255.255.0
ifconfig-pool-persist keys/ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push «route-gateway 192.168.11.254 255.255.255.0»
;push «redirect-gateway»
push «dhcp-option DNS 192.168.6.100»
client-to-client
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group adm
persist-key
persist-tun
status var/log/openvpn-status.log
log var/log/openvpn.log
verb 3
mute 20

management 91.103.85.107 1194

Я уже и push «route 192.168.11.254 255.255.255.0» делал и route-gateway.

Я уже и push «route 192.168.11.254 255.255.255.0» делал и route-gateway.

А зачем?

push «route-gateway 192.168.11.254 255.255.255.0»

ты так и не понял, что все это значит. Иди читать гугл и понимать, какие цифры туда писать. Либо ты в своей сети поизменял и не в курсе.

Исходи из цели: «надо прописать клиентам маршрут за сервером, лезу в конфиг и прописываю ту сеть, которую должны видеть клиенты.»

Вот так всегда и бывает )
Я и так уже на протяжении двух дней гуглю, паралельно отписываюсь тута )
Просто пока я гуглю, удаленные офисы не работают, а за это я получаю по макушке )
я конечно понимаю что на ошибках учатся... но ошибки эти всегда не вовремя! )

И самое главное, вот так я тоже пробовал )
push «route 192.168.6.0 255.255.255.0 192.168.11.254»

Ох, а вот так пробовал?

push «route 192.168.6.0 255.255.255.0»

И самое главное, вот так я тоже пробовал )
push «route 192.168.6.0 255.255.255.0 192.168.11.254»

да, пробовал, не помогло.

Читать до посинения. И измени tap на tun.

есть СЭР!
Правда я там уж был, но пробегусь еще разок.

Ты главное измени на tun и пропиши push «route 192.168.6.0 255.255.255.0»

Да поставил я tun, и изменил на то, что ты выше писал, вот конфиг:
local 91.103.85.107
port 1194
proto udp
dev tun
ca keys/steklonit/ca.crt
cert keys/steklonit/steklonit.crt
key keys/steklonit/steklonit.key
dh keys/steklonit/dh1024.pem
server 192.168.11.0 255.255.255.0
ifconfig-pool-persist keys/ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push «route 192.168.6.0 255.255.255.0»
;route 192.168.11.0 255.255.255.0
;push «redirect-gateway»
push «dhcp-option DNS 192.168.6.100»
client-to-client
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group adm
persist-key
persist-tun
status var/log/openvpn-status.log
log var/log/openvpn.log
verb 3
mute 20

management 91.103.85.107 1194

Не помогло, все тоже самое... когда изменил с tan на tun, ключ пересоздал.
мало того, почему то поплыла маска подсети, была нормальная 255.255.255.0, а стала 255.255.255.252

Это все слова в воздух. Покажи маршруты на клиенте после установления соединения. покажи ifconfig на сервере. покажи конфиг клиента.

И это убери - management 91.103.85.107 1194

Это дырища просто. Я бы мог к примеру твоего впн клиента кильнуть.

оу ) ща сделаем )

роуте на серваке:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.11.2 * 255.255.255.255 UH 0 0 0 tun0
91.103.85.104 * 255.255.255.248 U 0 0 0 eth0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth1
192.168.6.0 * 255.255.255.0 U 0 0 0 eth2
192.168.11.0 192.168.11.2 255.255.255.0 UG 0 0 0 tun0
default 192.168.6.254 0.0.0.0 UG 0 0 0 eth1

И конфиг клиента! :
client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert stelmah.crt
key stelmah.key
remote 91.103.85.107 1194
cipher
user nobody
group adm
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

не убрал, так и палю твоих клиентов, кстати ты опять в конфиге не изменил.

Еще с какого то лешего у мну добавился в маршрутах на интерфейс tun шлюз 192.168.11.2.
Я конечно понимаю, что я много чего не понимаю... жесть.

)))) а подскажешь как ? ) даже интерестно стало )

теперь убрал.

Это прочитай openvpn клиентам не присваивается шлюз! (комментарий)

Все должно уже работать! Еще раз: Покажи маршруты на клиенте после установления соединения

nc (или telnet) 91.103.85.107 1194

это ipconfig на клиенте после установление соединения:
Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . : fe80::7038:dbba:2a9a:4b6c%21
IPv4-адрес. . . . . . . . . . . . : 192.168.11.6
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз. . . . . . . . . :

На клиенте route print :
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.110 276
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.102 276
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.51 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 On-link 192.168.10.51 276
192.168.10.0 255.255.255.0 On-link 192.168.10.102 276
192.168.10.0 255.255.255.0 On-link 192.168.10.110 276
192.168.10.51 255.255.255.255 On-link 192.168.10.51 276
192.168.10.102 255.255.255.255 On-link 192.168.10.102 276
192.168.10.110 255.255.255.255 On-link 192.168.10.110 276
192.168.10.255 255.255.255.255 On-link 192.168.10.51 276
192.168.10.255 255.255.255.255 On-link 192.168.10.102 276
192.168.10.255 255.255.255.255 On-link 192.168.10.110 276
192.168.11.4 255.255.255.252 On-link 192.168.11.6 286
192.168.11.6 255.255.255.255 On-link 192.168.11.6 286
192.168.11.7 255.255.255.255 On-link 192.168.11.6 286
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.110 276
224.0.0.0 240.0.0.0 On-link 192.168.11.6 286
224.0.0.0 240.0.0.0 On-link 192.168.10.102 276
224.0.0.0 240.0.0.0 On-link 192.168.10.51 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.110 276
255.255.255.255 255.255.255.255 On-link 192.168.10.102 276
255.255.255.255 255.255.255.255 On-link 192.168.10.51 276

А зачем мне ссылка на мой же пост ? ) ты говоришь, что на том конфиге все должно работать ?

не улавливаешь и половины того, что тебе написали! У клиента ты так и не прописал route method

сорри конечно, но опять же, я говорю что я в этом чайник и не скрываю это... всем мы когда то были чайниками.
Если бы у меня было бы тьма времени на чтение данной проблемы, то и не мучал бы ни кого...
Сорри что туплю конечно, но про route mothod, ты имеешь ввиду добавить строку
route method 192.168.11.254 255.255.255.0
в конфиг клиента ?
Если да, то добавил и эфект тот же.

Нет, надо добавить просто две строки:

route-method exe
route-delay 2

Прописал как ты написал в когфиге клиента, вот что получилось:
client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert stelmah.crt
key stelmah.key
remote 91.103.85.107 1194
route-method exe
route-delay 2
cipher
user nobody
group adm
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Эфект тот же...

Значит, если все так действительно плохо, ставь verb 4 на сервере и клиенте и изучай логи.

На сервере 
eth0 внешний ip 
eth1 192.168.6.0/24 
tun0 192.168.11.0/24

На клиенте 
1 - 192.168.10.x - local net 
2 - 192.168.11.6 - vpn net

и роут на 192.168.6.0/24 через vpn net.

P.S. ну пропиши ты этот роут руками в венде и посмотри, будет ли работать.

Слушай, позволь еще по пристаю к тебе с вопросами )
перенастроил все заново, почему когда клиент конектится к серваку, в логах пишут:

Thu Nov 18 09:27:11 2010 94.125.90.238:33701 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:11 2010 79.171.10.168:1323 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:11 2010 79.171.10.168:1359 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:11 2010 79.171.10.168:2074 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 94.125.90.238:20345 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:1359 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:2074 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:1424 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:1641 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 94.125.90.238:18156 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:1321 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:3125 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 94.125.90.238:18156 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 94.125.90.238:33701 write UDPv4 []: Network is unreachable (code=101)
Thu Nov 18 09:27:12 2010 79.171.10.168:1641 write UDPv4 []: Network is unreachable (code=101)

Сеть не доступна.

CRL: cannot read: keys/steklonit/crl.pem: Permission denied (errno=13)
Слушай, а как так получается, создаю в самом опенвпн новые файлы, им присваиваются нужные права, владелец каталага keys root. Но в логах пишит ошибку выше...
Если исходить из логики, при конфиге я сделал Пользователя nobody, а группу nobody, дал на каталог keys владельца nobody:nobody, и всеравно пишит permission denied.
Почему ? какой ему нужен доступ ?

user nobody
group adm

Это в твоем прошлом конфиге. Если права дал, смотри SELinux.

И вообще погугли как в redhat это настроить.

Слушай, совет твой нужен )))))
я все настроил, без бриджа и на новую подсеть, клиент подключается, но ему через push почему то не присваивается правильный маршрут...
С сервака пинг на клиенты идет, а вот с клиентов на сервак нет, даже внутренние интерфейсы сервака с клиента не пингуются.
Подскажите пожалуйста, как правильно надо писать ?
вот КОнфиг с сервака:
port 1194
proto udp
dev tap0
ca keys/steklonit/ca.crt
cert keys/steklonit/steklonit.crt
key keys/steklonit/steklonit.key
dh keys/steklonit/dh1024.pem
server 192.168.11.0 255.255.255.0
crl-verify keys/steklonit/crl.pem
cipher DES-CBC
user nobody
group adm
status servers/steklonit/logs/openvpn-status.log
log-append servers/steklonit/logs/openvpn.log
verb 2
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/steklonit/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
#up servers/steklonit/bin/steklonit.up
#plugin /usr/lib/openvpn/plugin/lib/openvpn-down-root.so «/etc/openvpn/servers/steklonit/bin/steklonit.down-root»
push «redirect-gateway defl»
push «route-gateway 192.168.11.0 255.255.255.0»

Я пробовал уже и pushe route и просто route и все что мог..
Вот параметр push «dhcp-option DNC 192.168.6.100» присваивается нормально...
Может проблема в синтаксисе ?

Если я поставлю :
push «redirect-gateway»

То при подключение у клиента логи пишут:
route addition failed using createIpForwardEntry: неверны один или несколько аргументов [if_index=13]
И пинга все равно нету, но уже в пинге пишут:
PING:сбой передачи. General failure.

Где касяк ?

УРА, вроде бы установил новую версию клиента 2.1.3 и начало работать. Но на ноутбуке получается так, что когда подключен впн, вайфай теряет сеть... это как то можно исправить?

Ты наступаешь на одни и теже грабли. Не нужно пробовать и так и сяк. Просто route и push route СОВЕРШЕННО разные настройки! И опять ты ставишь tap, хотя я тебе говорил уже два раза поменять на tun.

когда подключен впн, вайфай теряет сеть...

думаю что маршруты, хотя не факт. И ты опять поставил default gateway, но это уже дело твое.