Обсуждение VPN сервера OpenVPN

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-02-09 18:42:27

на дефолт.шлюзе 10.0.0.1 (не впн) я настраиваю еще одну таблицу маршрутизации, в которой для сети 10.10.100.0/24

как-то запутанно у вас все....они же в разных 10.0.0.1/24?????
Схемка..неоднозначна и непонятна...рисуем?

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-09 19:01:38

да хреновый из меня художник)
mak_v_ писал(а):они же в разных 10.0.0.1/24?????

согласен, не так выразился
просто нарисовал еще одну таблицу с помощью iproute2 (каюсь, это на пингвине))
две строчки

Код: Выделить всё

ip ro add via 10.0.0.9 dev eth0 table ovpn
ip ru add from 10.0.0.0/24 to 10.10.100.0/24 lookup ovpn

собсно, в первой устанавливается маршрут по умолчанию
во второй мы говорим, в какой таблице искать маршрут..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-02-09 20:03:05

запросы через вторую таблицу......а ответы от клиентов?
тассировочку бы

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2012-02-10 8:11:46

Код: Выделить всё

#cat /usr/local/etc/openvpn/ccd/admin1
ifconfig-push 10.10.100.2 10.10.100.1
#cat /usr/local/etc/openvpn/ccd/admin2
ifconfig-push 10.10.100.6 10.10.100.5


Вот что не могу понять, у вас тут у второго клиента admin2 выдается IP 10.10.100.6 но вы почему-то усердно пингуете 10.10.100.5

IP адрес сервера всегда 10.10.100.1

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2012-02-10 8:22:37

А вот почему не пингует 10.10.100.5, нужно читать документацию и узнавать, возможно это какой-то виртуальный маршрут который и нельзя пинговать =). Пойду попробую найти ответ.

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-10 9:35:34

ну таки да, усердно)
а вы хочите сказать, что это нормально, и у вас тоже не пингуется 10.10.100.13??
С содержанием:
ifconfig-push виртуальный IP клиента

ifconfig-push 10.10.100.14 10.10.100.13

этож виртуальный ип впн сервера в клиентской паре
мне кажется, он должен пинговаться, разве нет?
Пробуем пинговать офис и филиалы.

кстати, после скрина в статье у вас нет результата пинга)
былоб интересно
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2012-02-10 9:40:20

Пинговал я IP клиентов типа 10.10.100.6
и локальную сеть за ним

И да у меня тоже не пингуется 10.10.100.13

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-10 13:21:26

mak_v_ писал(а):запросы через вторую таблицу......а ответы от клиентов?
тассировочку бы

короче, рассматриваем конструкцию снова, пинаем хост 10.0.0.37 в корп.сетке 10.0.0.0/24:

1. рабочий вариант (коннектится одмин1)
смотрим на клиенте

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    10.207.166.59    10.207.166.62    306
         10.0.0.0    255.255.255.0      10.10.100.1      10.10.100.2     30
         10.0.3.0    255.255.255.0      10.10.100.1      10.10.100.2     30
      10.10.100.0    255.255.255.0      10.10.100.1      10.10.100.2     30
      10.10.100.0  255.255.255.252         On-link       10.10.100.2    286
      10.10.100.2  255.255.255.255         On-link       10.10.100.2    286
      10.10.100.3  255.255.255.255         On-link       10.10.100.2    286
     10.207.166.0    255.255.255.0         On-link     10.207.166.62    306
    10.207.166.62  255.255.255.255         On-link     10.207.166.62    306
   10.207.166.255  255.255.255.255         On-link     10.207.166.62    306
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       10.10.100.2    286
        224.0.0.0        240.0.0.0         On-link     10.207.166.62    306
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       10.10.100.2    286
  255.255.255.255  255.255.255.255         On-link     10.207.166.62    306
===========================================================================

C:\Users\user>tracert 10.0.0.37

Трассировка маршрута к GUEST-9 [10.0.0.37]
с максимальным числом прыжков 30:

  1  1136 ms   377 ms   299 ms  10.10.100.1
  2   470 ms   224 ms   275 ms  GUEST-9 [10.0.0.37]

Трассировка завершена.

одновременно с этим, вывод тцпдамп на впн-сервере:

Код: Выделить всё

[16:03] /home/dekloper>tcpdump -i tun0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
16:06:22.809962 IP 10.10.100.2.137 > 10.0.0.53.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:23.369730 IP 10.10.100.2.137 > 10.0.0.53.137: NBT UDP PACKET(137): MULTIHOMED REGISTRATION; REQUEST; UNICAST
16:06:33.269930 IP 10.10.100.2.56595 > 10.0.0.1.53: 803+ PTR? 37.0.0.10.in-addr.arpa. (40)
16:06:33.272222 IP 10.0.0.1.53 > 10.10.100.2.56595: 803- 0/13/6 (383)
16:06:33.630814 IP 10.10.100.2.56595 > 10.0.3.2.53: 803+ PTR? 37.0.0.10.in-addr.arpa. (40)
16:06:33.643108 IP 10.0.3.2.53 > 10.10.100.2.56595: 803- 0/13/6 (383)
16:06:34.089987 IP 10.10.100.2.56595 > 10.0.0.53.53: 803+ PTR? 37.0.0.10.in-addr.arpa. (40)
16:06:34.090585 IP 10.0.0.53.53 > 10.10.100.2.56595: 803 NXDomain* 0/1/0 (124)
16:06:34.570164 IP 10.10.100.2.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:34.570611 IP 10.0.0.37.137 > 10.10.100.2.137: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
16:06:36.209871 IP 10.10.100.2.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:36.210233 IP 10.0.0.37.137 > 10.10.100.2.137: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
16:06:39.170568 IP 10.10.100.2 > 10.0.0.37: ICMP echo request, id 1, seq 69, length 72
16:06:39.170577 IP 10.10.100.1 > 10.10.100.2: ICMP time exceeded in-transit, length 36
16:06:39.489742 IP 10.10.100.2 > 10.0.0.37: ICMP echo request, id 1, seq 70, length 72
16:06:39.489749 IP 10.10.100.1 > 10.10.100.2: ICMP time exceeded in-transit, length 36
16:06:39.773172 IP 10.10.100.2 > 10.0.0.37: ICMP echo request, id 1, seq 71, length 72
16:06:39.773179 IP 10.10.100.1 > 10.10.100.2: ICMP time exceeded in-transit, length 36
16:06:40.049412 IP 10.10.100.2.137 > 10.0.0.53.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:40.089687 IP 10.10.100.2.59312 > 10.0.0.1.53: 37283+ PTR? 1.100.10.10.in-addr.arpa. (42)
16:06:40.091971 IP 10.0.0.1.53 > 10.10.100.2.59312: 37283- 0/13/6 (385)
16:06:40.329377 IP 10.10.100.2.59312 > 10.0.3.2.53: 37283+ PTR? 1.100.10.10.in-addr.arpa. (42)
16:06:40.331782 IP 10.0.3.2.53 > 10.10.100.2.59312: 37283- 0/13/6 (385)
16:06:40.669409 IP 10.10.100.2.59312 > 10.0.0.53.53: 37283+ PTR? 1.100.10.10.in-addr.arpa. (42)
16:06:40.672351 IP 10.0.0.53.53 > 10.10.100.2.59312: 37283 NXDomain 0/1/0 (119)
16:06:41.292424 IP 10.10.100.2.137 > 10.10.100.1.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:41.292435 IP 10.10.100.1 > 10.10.100.2: ICMP 10.10.100.1 udp port 137 unreachable, length 36
16:06:41.491163 IP 10.10.100.2.137 > 10.0.0.53.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:42.789506 IP 10.10.100.2.137 > 10.10.100.1.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:42.789516 IP 10.10.100.1 > 10.10.100.2: ICMP 10.10.100.1 udp port 137 unreachable, length 36
16:06:43.069464 IP 10.10.100.2.137 > 10.0.0.53.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:44.350400 IP 10.10.100.2.137 > 10.10.100.1.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:44.350408 IP 10.10.100.1 > 10.10.100.2: ICMP 10.10.100.1 udp port 137 unreachable, length 36
16:06:46.571237 IP 10.10.100.2 > 10.0.0.37: ICMP echo request, id 1, seq 72, length 72
16:06:46.571357 IP 10.0.0.37 > 10.10.100.2: ICMP echo reply, id 1, seq 72, length 72
16:06:46.931225 IP 10.10.100.2 > 10.0.0.37: ICMP echo request, id 1, seq 73, length 72
16:06:46.931338 IP 10.0.0.37 > 10.10.100.2: ICMP echo reply, id 1, seq 73, length 72
16:06:47.230661 IP 10.10.100.2 > 10.0.0.37: ICMP echo request, id 1, seq 74, length 72
16:06:47.230776 IP 10.0.0.37 > 10.10.100.2: ICMP echo reply, id 1, seq 74, length 72
16:06:47.549986 IP 10.10.100.2.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:47.550124 IP 10.0.0.37.137 > 10.10.100.2.137: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
16:06:49.071856 IP 10.10.100.2.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:06:49.071981 IP 10.0.0.37.137 > 10.10.100.2.137: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST



2. проблемный вариант (коннектится одмин2)
на клиенте:

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    10.207.166.59    10.207.166.62    306
         10.0.0.0    255.255.255.0      10.10.100.5      10.10.100.6     30
         10.0.3.0    255.255.255.0      10.10.100.5      10.10.100.6     30
      10.10.100.0    255.255.255.0      10.10.100.5      10.10.100.6     30
      10.10.100.4  255.255.255.252         On-link       10.10.100.6    286
      10.10.100.6  255.255.255.255         On-link       10.10.100.6    286
      10.10.100.7  255.255.255.255         On-link       10.10.100.6    286
     10.207.166.0    255.255.255.0         On-link     10.207.166.62    306
    10.207.166.62  255.255.255.255         On-link     10.207.166.62    306
   10.207.166.255  255.255.255.255         On-link     10.207.166.62    306
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       10.10.100.6    286
        224.0.0.0        240.0.0.0         On-link     10.207.166.62    306
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       10.10.100.6    286
  255.255.255.255  255.255.255.255         On-link     10.207.166.62    306
===========================================================================

C:\Users\user>tracert 10.0.0.37

Трассировка маршрута к 10.0.0.37 с максимальным числом прыжков 30

  1   352 ms   339 ms   358 ms  10.10.100.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.


одновременно с этим, вывод тцпдамп на впне:

Код: Выделить всё

[16:03] /home/dekloper>tcpdump -i tun0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
16:03:25.352424 IP 10.10.100.6.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:03:26.312300 IP 10.10.100.6.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:03:27.731647 IP 10.10.100.6.137 > 10.0.0.37.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:03:29.251771 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 44, length 72
16:03:29.251780 IP 10.10.100.1 > 10.10.100.6: ICMP time exceeded in-transit, length 36
16:03:29.892858 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 45, length 72
16:03:29.892865 IP 10.10.100.1 > 10.10.100.6: ICMP time exceeded in-transit, length 36
16:03:30.613078 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 46, length 72
16:03:30.613085 IP 10.10.100.1 > 10.10.100.6: ICMP time exceeded in-transit, length 36
16:03:31.371931 IP 10.10.100.6.137 > 10.10.100.1.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:03:31.371938 IP 10.10.100.1 > 10.10.100.6: ICMP 10.10.100.1 udp port 137 unreachable, length 36
16:03:32.893327 IP 10.10.100.6.137 > 10.10.100.1.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:03:32.893334 IP 10.10.100.1 > 10.10.100.6: ICMP 10.10.100.1 udp port 137 unreachable, length 36
16:03:34.392024 IP 10.10.100.6.137 > 10.10.100.1.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
16:03:34.392031 IP 10.10.100.1 > 10.10.100.6: ICMP 10.10.100.1 udp port 137 unreachable, length 36
16:03:36.494232 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 47, length 72
16:03:39.972512 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 48, length 72
16:03:44.411560 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 49, length 72
16:03:47.952100 IP 10.10.100.6 > 10.0.0.37: ICMP echo request, id 1, seq 50, length 72
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-02-10 14:09:39

так
не надо самодеятельности
покажите трассировку с клиента до ПК в локали (от 1 и от 2)
Покажите трассировку от ПК в локали до 1 и 2

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-10 14:47:19

mak_v_ писал(а):покажите трассировку с клиента до ПК в локали (от 1 и от 2)

в пред.посте есть трассировка, чуть ниже таблиц маршрутизации
mak_v_ писал(а):Покажите трассировку от ПК в локали до 1 и 2

а тут самое интересное :cz2:
одмин1:

Код: Выделить всё

C:\Documents and Settings\Администратор>ipconfig

Настройка протокола IP для Windows


Подключение по локальной сети 3 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 10.0.0.37
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 10.0.0.1

C:\Documents and Settings\Администратор>tracert 10.10.100.2

Трассировка маршрута к 10.10.100.2 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  hp3 [10.0.0.9]
  2   131 ms   119 ms   109 ms  10.10.100.2

Трассировка завершена.


одмин2:

Код: Выделить всё

C:\Documents and Settings\Администратор>tracert 10.10.100.6

Трассировка маршрута к 10.10.100.6 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  hp3 [10.0.0.9]
  2    <1 мс    <1 мс    <1 мс  gray-gw [10.0.0.1]
  3    <1 мс    <1 мс    <1 мс  hp3 [10.0.0.9]
  4    <1 мс    <1 мс    <1 мс  gray-gw [10.0.0.1]
  5    <1 мс    <1 мс    <1 мс  hp3 [10.0.0.9]
  6    <1 мс    <1 мс    <1 мс  gray-gw [10.0.0.1]
  7    <1 мс    <1 мс    <1 мс  hp3 [10.0.0.9]
  8    <1 мс    <1 мс    <1 мс  gray-gw [10.0.0.1]
  9    <1 мс    <1 мс    <1 мс  hp3 [10.0.0.9]
 10    <1 мс    <1 мс  ^C


ээээ.. я какбэ.. поколено в.. шоке :cz2:
как избавиться от петли?
это на пингвине чота сюда дорисовывать..?

Код: Выделить всё

ip ro add via 10.0.0.9 dev eth0 table ovpn
ip ru add from 10.0.0.0/24 to 10.10.100.0/24 lookup ovpn
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-02-10 14:57:49

ip ro add via 10.0.0.9 dev eth0 table ovpn
ip ru add from 10.0.0.0/24 to 10.10.100.0/24 lookup ovpn

Что имеем:
Трафик роутится сначала на 10.0.0.9, где шлюзом указан 10.0.0.1, а оттуда роутится на шлюз 10.0.0.9 - петля.
Думаю поправив таблицу маршрутизации - добъетесь нужного эфекта, НО! два маршрутера в одном сегменте 10.0.0.1/24 - только извратом (лучше дать им "общую" сеть например 172.16.0.2/30) и уже через неё роутить.

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-10 15:39:25

mak_v_ писал(а):а оттуда роутится на шлюз 10.0.0.9 - петля

а почему в первом случае этого не происходит?
потому что на интерфейсе есть ип 10.10.100.1
во втором случае ему "хотелось бы" видеть там 10.10.100.5, но его там нет..
мне так кажется.. :cz2:
mak_v_ писал(а):НО! два маршрутера в одном сегменте 10.0.0.1/24 - только извратом (лучше дать им "общую" сеть например 172.16.0.2/30) и уже через неё роутить.

да у меня их там далеко не два.. и табличек тоже.. там и циски и вифи.. и никто не петляет.. :pardon:
по моему, второго правила должно бы быть достаточно
ip ru add from 10.0.0.0/24 to 10.10.100.0/24 lookup ovpn

"маршрут в сеть 10.10.100.0/24 искать в табличке овпн, остальных - в другие таблицы.."
мошт чота на впне "доделать"?
Cancer писал(а):Вы используете topology ?

к примеру, что значит эта опция?
или вот эта

Код: Выделить всё

push "redirect-gateway.....
??
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-02-10 15:51:46

Вобщем в ваших "сетях" рыбацких, черт ногу сломит....распутывайте
push "redirect-gateway.....
man openvpn (сменить дефолтный маршрут на "тот конец" тунеля)
а почему в первом случае этого не происходит?
потому что на интерфейсе есть ип 10.10.100.1
во втором случае ему "хотелось бы" видеть там 10.10.100.5, но его там нет..

Бред, он вам ответит и по 5 и по 1....бред, крутите сети....

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-12 15:31:23

вобщем разобрался, чисто в теории, на практике починить нельзя, ибо "физика" старая..
короче, на овпн-серваке у меня, как оказалось, тоже не одна табличка.. чего спъяни не нагородишь.. :-D
setfib 0 через свой влан глядит в мир с гейтом на циску
setfib 1 нативным вланом глядит в корпоративку с гейтом 10.0.0.1
в принимающей нулевой таблице интерфейс находится в своём влане, и, поскольку получатель пакета (10.10.100.6) в данном влане отсутствует, он считается "чужим", и летит по дефолту.. обратно..
в рабочем варианте получатель (10.10.100.2) одновременно являлся вирт.интерфейсом впна, потому работало..
по идее, на пенгвинячьем шлюзе сменить гейт на интерфейс впна в нулевой таблице, но он таги не понимает..

Код: Выделить всё

ip ro add via 10.0.0.9_local_if dev eth0 table ovpn

сменить на

Код: Выделить всё

ip ro add via xxx.xxx.xxx.xxx_global_if dev eth0 table ovpn

воть :drinks:
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-02-12 15:52:40

Наплели вы очень понятную и юзабельную схему
Просьба: кто вкурил вышеописанное товарищем dekloper - поднимите руки вверх! Чисто поржать интересно

dms
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dms » 2012-03-13 0:34:53

OpenVPN на Windows при попытке подключиться наблюдаю в логах такое: UDPv4: Connection reset by peer (WSAECONNRESET)(code=10054).

Что не так? Может кто-то сталкивался.

balamut
рядовой
Сообщения: 33
Зарегистрирован: 2010-11-25 11:34:43

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение balamut » 2012-03-28 20:17:38

Добрый вечер!подскажите плиз!можно ли сделать так чтобы с клиента видеть компы за опенвпн сервером у которых шлюз прописан другой или вообще не прописан?

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-03-28 21:18:11

1)
а)если шлюзом другой - на "внутренних ПК" прописать статические маршруты к впн-щикам
б)нат на сервере для впн-клиентов внутрь
в) хитрая маршрутизация с редиректами
2) если вообще без шлюза - только нат

balamut
рядовой
Сообщения: 33
Зарегистрирован: 2010-11-25 11:34:43

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение balamut » 2012-03-29 10:47:03

Благодарю!Сделал NAT!))

prostrelov
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-08-22 11:40:08

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение prostrelov » 2012-08-22 15:43:54

Код: Выделить всё

ifconfig-push 10.10.100.2 10.10.100.1
iroute 192.168.1.0 255.255.255.0

Код: Выделить всё

ifconfig-push 10.10.100.6 10.10.100.5
iroute 192.168.2.0 255.255.255.0

Код: Выделить всё

ifconfig-push 10.10.100.10 10.10.100.9
iroute 192.168.3.0 255.255.255.0


я правельно рассуждаю ?
Создаются к одному серверу(одному виртуальному интерфейсу) три тунеля (с трёх разных виртуальных интерфейсов) (30е сетки , каждая по 4е айпишника и по 2 узла - клиент и сервер).
То-есть получается что за виртуальным интерфейсом TUN0 у нас закрепляется 3 "виртуальных" ip-адреса:
10.10.100.1
10.10.100.5
10.10.100.9
То-есть получается что т.к. у нас устройство типа TUN (режим routing) на виртуальный интерфейс будет приходить пакет адресованный ранее указаным серверным айпишникам 10.10.100.1, 10.10.100.5, 10.10.100.9 ; которые в свою очередь на виртуальном интерфейсе будут роутится или в другие тунели минуя интерфейс ETH0 или в подсеть центрального оффиса уже через ETH0 192.168.0.0\24

ТОГДА:
01. не очень понятно почему в статье при проверке подключения с филиалов,
все трасерты проходят через один и тотже айпишник 10.10.100.1
ведь этот айпишник присвоен серверу только для 1го филиала тоесть 1го тунеля.

02. правильно ли я понял: так как мы используем client-config-dir ccd
то в настройках на стороне клиентов (гейтов в филалах) мы указываем реальный айпишник.
То-есть в данном примере рассматривается OpenVPN-Server уже стоящий за гейтом(например cisco'й) который перенаправляет на него пакеты.
Тогда получается что cisco уже знает что
10.10.100.2 соответствует белому айпишнику 1го филиала
10.10.100.6 соответствует белому айпишнику 2го филиала
10.10.100.10 соответствует белому айпишнику 3го филиала

Но как тогда происходит передача пакетов с ETH1 на TUN0 если в статье нигде не сказано что был включен forwarding или настроен iptables ?
И в какой момент интерфейс ETH1 узнаёт что вышеперечисленные айпишники закреплены за интерфейсов TUN0 ?
03. если вдрук кому-то будет не лень обьясните пожалуйста как будет проходить пакет туда и обратно например если
ip 192.168.1.13 выполнит ping до 192.168.2.13
Где будут использоватся какие таблицы маршрутизации.

вот небольшая схема для наглядности:
Изображение

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2012-08-22 16:03:46

вы немного бреда несете:
01. - 10.10.100.1 IP адресс сервера....в данной конфе для "прозрачности" сделано "точка-точка"-"сервер-клиент" - 5-6, 9-10, и т.д.
02 - тут у вас знания хромают...., ничего никому не соответствует...демон опенвпн создает виртуальный интерфейс, пакетики в шифрованом виде бегают между реальными IP, попадая на порт опенвпн - дешифруются и "заворачиваются" в виртуальный тунельный интерфейс.
03. - ping 192.168.1.13
1) на хосте 192.168.1.13 ищется маршрут к 192.168.2.13 - через маршрутер
2) на маршрутере ищется маршрут к 192.168.2.13, пакетик направляется в тунель
3) шифруется демоном опенвпн, отправляется по реальному интерфейсу уже "шифрованый пинг" "завернутый" по порту опенвпн к серверу.
4) принимается на сервере демоном опенвпн, дешифруется, ишется маршрут к 192.168.2.13
5) ищется маршрут к 192.168.2.13
6) и т.д.

Yeah!
проходил мимо
Сообщения: 7
Зарегистрирован: 2012-04-24 2:21:32

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Yeah! » 2012-08-30 5:46:45

Спасибо за отличную статью, но есть вопросец: это нормально что ifconfig tun0 на сервере в офисе показывает 10.10.100.1 --> 10.10.100.2, а на клиенте в филиале 10.10.100.5 --> 10.10.100.6? то есть как мне кажется в филиале должен быть адрес 10.10.100.2. При этом с клиента пингую всю сеть стоящую за сервером (192.168.0.0), а с сервера не пингую ни клиента ни компов за ним (192.168.1.0).

Подскажите где копать?

Yeah!
проходил мимо
Сообщения: 7
Зарегистрирован: 2012-04-24 2:21:32

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Yeah! » 2012-09-04 0:46:48

Разобрался :smile:

Заметил что в логах вываливается следующая строчка "FreeBSD route add command failed: external program exited with error status: 1"

Загвоздка была в следующем: файл конфига клиента в папке ccd должен называться так же как мы указываем "Common name" при создании сертификата этого же клиента.

Надеюсь, кому нибудь поможет :smile:

andresyto
проходил мимо
Сообщения: 3
Зарегистрирован: 2012-09-11 8:15:07

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение andresyto » 2012-09-11 8:49:23

Айлоха великие Гуру.
настроил впн сервер по данному ману один к одному как говорится как корова языком слизала :oops:
только не как не могу понять что нужно добавить на стороне клиента
суть следующем Головной офис Debian 6 реальный ip на нем крутятся почта, шлюз, squid и squidGuard, DHCP, NAT внутренняя сеть диапазон ip 192.168.0.0/24 ip servera 192.168.0.1
Windows клиенты из главного офиса видят windows клиентов из филиала1
сервер филиала1 Debian 6 серый ip на нем крутятся шлюз, squid и squidGuard, DHCP, NAT внутренняя сеть диапазон ip 192.168.1.0/24 ip servera 192.168.1.1
Windows клиенты из филиала1 видят только 192,168,0,1 и все а дальше не чего не видят
подскажите что добавить на сервере филиала ? чтобы всем клиентам радовалось автоматом или к крайнем слушании через постоянный маршрут буду добавлять.

slesarvm
рядовой
Сообщения: 18
Зарегистрирован: 2011-07-04 19:39:59

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение slesarvm » 2012-09-14 9:04:55

Всем привет, выкладываю свои конфиги OpenVPN с рабочего сервера
для понимаю обрисую ситуацию:
Сеть: 192.168.0.0/24 - сеть основного предприятия. (внешний статический ip)
Сеть: 192.168.3.0/24 - сеть филиала, файл в папке cdd под названием 4etagka, интернет раздается всем кто в этой сети через канал VPN. ( внешний статический IP)
Сеть: 192.168.22.0/24 - сеть филиала, файл в папке cdd под названием apteka462, интернет не раздается использует свое соединение с провайдером. (внешний динамический ip)
Сеть: 192.168.24.0/24 - сеть филиала, файл в папке cdd под названием otdelitk-1, интернет не раздается использует свое соединение с провайдером. (внешний динамический ip)
Для админа: 10.10.100.10 - для одного компа, файл в папке cdd под названием polk2, интернет раздается через канал VPN. (внешний статический ip)
Каждый филиал видит сети других филиалов и наоборот (ниже часть фаервола для сервера,). Все клиенты windows для включения маршрутизации чтобы сети видели друг друга необходимо включить службу маршрутизации.

Файл ipp служит для выдачи статических адресов (сеть 10.10.100.0/24)
Собственно файлы для сервера:
OPENVPN serv.rar
FreeBSD
(1.34 КБ) 36 скачиваний


Файл настройки для клиента (сеть 192.168.3.0/24)
4etagka.rar
(327 байт) 38 скачиваний

Файл настройки для клиента (сеть 192.168.22.0/24)
apteka462.rar
(331 байт) 35 скачиваний

другие файлы по аналогии в принципе с этими

Кусок фаервола фряхи:

#!/bin/sh -
ipfw -q -f flush

out="rl1" внешняя
in="rl0" внутренняя
cmd="ipfw -q"

....
$cmd add 70 pass ip from any to any via tun0
$cmd add 71 pass udp from any to 192.168.1.6 1194 in via $out (192.168.1.6 внешний ip сервера)
$cmd add 72 pass ip from 10.10.100.0/24 to 192.168.0.0/24 out via $in
$cmd add 73 pass ip from 192.168.0.0/24 to 10.10.100.0/24 in via $in
$cmd add 75 pass ip from 192.168.24.0/24 to 192.168.0.0/24 out via $in
$cmd add 77 pass ip from 192.168.0.0/24 to 192.168.24.0/24 in via $in
$cmd add 78 pass ip from 192.168.3.0/24 to 192.168.0.0/24 out via $in
$cmd add 79 pass ip from 192.168.0.0/24 to 192.168.3.0/24 in via $in
$cmd add 80 pass ip from 192.168.22.0/24 to 192.168.0.0/24 out via $in
$cmd add 81 pass ip from 192.168.0.0/24 to 192.168.22.0/24 in via $in
...

Ну вот в принципе и всё )


Вернуться в «Софт»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей