Перевод конфига OpenVPN сервера

[serge]

Собственно сабж.
http://www.lissyara.su/?id=1553
Хотелось бы услышать поправки, т.к. местами по русски было тяжело написать и кое-где мог перевести неточно.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[froz]

спасибо хороший перевод!

[mymymy]

не удается увидеть подсеть за впн сервером. OpenVPN соединяет, видит ip vpn сервера и видит его ip во внутренней подсети. А саму подcеть не пингует. Файрвол отключен. посоветуйте решение проблемы. спасибо.
Делалось по статье http://www.lissyara.su/?id=1549

[serge]

не удается увидеть подсеть за впн сервером. OpenVPN соединяет, видит ip vpn сервера и видит его ip во внутренней подсети. А саму подcеть не пингует. Файрвол отключен. посоветуйте решение проблемы. спасибо.
Делалось по статье http://www.lissyara.su/?id=1549

Конфиг бы показал чтоли
Возможно необходимо включить режим шлюза (gateway).

[mymymy]

server.conf

Код: Выделить всё

port 2000
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 10.1.1.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
ifconfig-pool-persist ipp.txt
client-to-client
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5 #
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

client

Код: Выделить всё

ifconfig-push 10.10.200.2 10.10.200.1

rc.conf

Код: Выделить всё

gateway_enable="YES"
openvpn_enable="YES" # YES or NO
openvpn_if="tun" # driver(s) to load, set to "tun", "tap" or "tun tap"
openvpn_configfile="/usr/local/etc/openvpn/server.conf" # --config file
openvpn_dir="/usr/local/etc/openvpn" # --cd directory

[serge]

По аналогии

Код: Выделить всё

%cat /usr/local/etc/openvpn/ccd/serge
ifconfig-push 10.10.200.14 10.10.200.13
iroute 192.168.1.0 255.255.255.0

[mymymy]

По аналогии

Код: Выделить всё

%cat /usr/local/etc/openvpn/ccd/serge
ifconfig-push 10.10.200.14 10.10.200.13
iroute 192.168.1.0 255.255.255.0

Пробывал я так..

tracert 10.1.1.204

Трассировка маршрута к 10.1.1.204 с максимальным числом прыжков 30

1 10 ms 5 ms 6 ms 10.10.200.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * *

tcpdump

Код: Выделить всё

..
15:07:27.835156 IP 10.10.200.2 > 10.1.1.204: ICMP echo request, id 768, seq 27651, length 72
..

[serge]

Я не понял что и как ты пробовал.

[mymymy]

Я не понял что и как ты пробовал.

Пробывал добавить клиенту подсеть

Код: Выделить всё

ifconfig-push 10.10.200.2 10.10.200.1
iroute 10.1.1.0 255.255.255.0

В итоге дальше vpn сервера не пингуется
все что есть на самой фряхе из дампа- это строка выше

[serge]

За сервером-клиентом получается сеть 10.1.1.0 255.255.255.0 ?
Сервер VPN туда маршрут знает?

[mymymy]

Код: Выделить всё

За сервером-клиентом получается сеть 10.1.1.0 255.255.255.0 ?

да, именно так.
какой машрут нужно приписать,чтобы впн сервер видел подсеть 10.1.1.0 ? разве gateway в rc.conf не заставит видеть все свои интерфейсы ?

[serge]

У меня все работает.
Схему сети рисуйте. Че куда, где и как настроено пишите. Имхо, дело элементарно в мелочи.

[mymymy]

Код: Выделить всё

xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=9<RXCSUM,VLAN_MTU>
        inet 10.1.1.202 netmask 0xfffff000 broadcast 10.1.15.255
        ether 00:xx:xx:xx:xx:xx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet xx.xx.254.4 netmask 0xfffff800 broadcast xx.xx.255.255
        ether 00:xx:xx:xx:xx:xx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
        inet 10.10.200.1 --> 10.10.200.2 netmask 0xffffffff
        Opened by PID 855

Внутренний интерефейс смотрит сеть 10.1.1 , внешний с прямый ip. Вот,собствнно и все..
netstat -rn

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            xx.xx.254.1       UGS         1     6143    rl0
10&0xa0101ca       0.0.0.0            UGS         0       64    rl0
10.1/20            link#1             UC          0        0    xl0
10.1.1.8           00:чч:чч:чч:чч:чч  UHLW        1      130    xl0   1198
10.1.1.37          00:чч:чч:чч:чч:чч  UHLW        1      120    xl0   1078
10.1.1.200         00:чч:чч:чч:чч:чч  UHLW        1      170    xl0   1198
10.1.1.201         00:чч:чч:чч:чч:чч  UHLW        1      130    xl0   1198
10.1.1.202         00:чч:чч:чч:чч:чч  UHLW        1        0    lo0
10.1.1.205         00:чч:чч:чч:чч:чч  UHLW        1      325    xl0    327
10.10/16           10.10.200.1        UGS         0        2   tun0
10.10.200/30       10.10.200.2        UGS         1        9   tun0 =>
10.10.200/24       10.10.200.2        UGS         0        0   tun0
10.10.200.2        10.10.200.1        UH          2       73   tun0
xx.xx.248/21      link#2             UC          0        0    rl0
xx.xx.254.1       00:xx:xx:xx:xx:xx  UHLW        2        0    rl0   1183
xx.xx.254.4       00:xx:xx:xx:xx:xx  UHLW        1       14    lo0
127.0.0.1          127.0.0.1          UH          0     1875    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#4                        UHL         lo0
ff01:4::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

xx-внешний адрес

[mymymy]

и еще, с самой фряхи пингуется впн клиент (10.10.200.2), а сам сервер (10.10.200.1) не пингуется. Должно ли так быть с tun ?
какая должна быть правильная маршрутизация?

[mymymy]

забил, ушел на mpd, все завелось, там и останусь

[serge]

забил

эх... не выдержали сложностей

[mymymy]

да честно говоря,я решил,что реализация vpn с мелкомягкой машины мне удобней посредством штатной звонилки, нежели подготовка,раздача сертификатов и гуя опенвпн-а. По сему и проблема с маршрутизацией тоже отпала, дело не сложностях
А Овпн оставил На потом,поковыряюсь.Мало ли, потребуется еще.

[smertnik]

Столкнулся с такой же проблемой, с клиента сеть за сервером видно, а вот с сервера сеть за клиентом не видно.

Сервер: Внешн: 111.111.111.1 сеть 192.168.0.0/24
Клиент: Внешн: 111.111.112.1 сеть 192.168.8.0/21
Конфиги:

Код: Выделить всё

server.conf:
port 2000
proto udp 
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
route 192.168.8.0 255.255.248.0
tls-server
tls-auth keys/ta.key 0
tls-timeout 120 
auth MD5 #
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user root
group wheel
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3

ccd:
ifconfig-push 10.10.200.2 10.10.200.1
iroute 192.168.8.0  255.255.248.0

Клиент:

Код: Выделить всё

dev tun
proto udp
remote 111.111.111.1
port 2000
client
resolv-retry infinite
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/client.crt
key /usr/local/etc/openvpn/keys/client.key
tls-client
tls-auth keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
user root
group wheel
up /usr/local/etc/openvpn/openvpn_up.sh
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3

openvpn_up.sh:
#!/bin/sh
/sbin/route add -net 192.168.0.0 10.10.200.1

Код: Выделить всё

Сервер:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            111.111.111.1     UGS         1     8102    em0
10.10.200.0/30     10.10.200.2        UGS         0        0   tun0 =>
10.10.200.0/24     10.10.200.2        UGS         0        0   tun0
10.10.200.2        10.10.200.1        UH          3        0   tun0
111.111.111.1/28  link#1             UC          0        0    em0
111.111.111.1     00:1a:e3:1d:f8:19  UHLW        2        0    em0   1181
111.111.111.1     00:1e:8c:93:fe:59  UHLW        1       15    lo0
127.0.0.1          127.0.0.1          UH          0       13    lo0
192.168.0.0/24     link#2             UC          0        0    em1
192.168.0.1        00:1e:8c:93:fe:58  UHLW        1        5    lo0
192.168.0.202      00:1b:38:b4:5f:f2  UHLW        1     1273    em1   1189
192.168.8.0/21     10.10.200.2        UGS         0        1   tun0

Клиент:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            111.111.112.1     UGS         0    13304    em1
10.10.200.1        10.10.200.2        UH          2        0   tun0
127.0.0.1          127.0.0.1          UH          0    12702    lo0
192.168.0.0/24     10.10.200.1        UGS         0        4   tun0 =>
192.168.0.0/16     10.10.200.1        UGS         0        0   tun0
192.168.8.0/21     link#1             UC          0        0    em0
192.168.10.14      00:07:e9:10:d0:0e  UHLW        1        9    em0   1199
192.168.10.19      00:0e:0c:6a:64:9c  UHLW        1       33    em0   1199
192.168.10.31      00:1e:8c:72:c7:b5  UHLW        1       22    lo0
192.168.10.81      00:1b:11:74:5d:e0  UHLW        1      174    em0    917
192.168.10.251     00:1e:8c:ba:21:cf  UHLW        1     2313    em0   1191
192.168.11.41      00:1d:60:6e:19:b7  UHLW        1       72    em0   1159
192.168.11.88      00:17:f2:d4:dc:ed  UHLW        1     4833    em0    478
192.168.11.105     00:1e:8c:78:7b:3f  UHLW        1       36    em0   1128
192.168.11.117     00:1e:8c:9f:6b:28  UHLW        1     1231    em0   1124
192.168.11.136     00:1a:92:8f:a4:a6  UHLW        1      263    em0   1138
192.168.11.141     00:1e:8c:78:7b:3c  UHLW        1        4    em0   1081
192.168.11.169     00:1a:92:8f:3f:89  UHLW        1        7    em0    930
111.111.112.1/28  link#2             UC          0        0    em1
111.111.112.1     00:17:59:af:79:cc  UHLW        2        0    em1    899

ifconfig:

Код: Выделить всё

Сервер:
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:1e:8c:93:fe:59
        inet 111.111.111.1 netmask 0xfffffff0 broadcast XXX.XXX.XXX.XXX
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:1e:8c:93:fe:58
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.10.200.1 --> 10.10.200.2 netmask 0xffffffff
        Opened by PID 49782

Клиент:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:1e:8c:72:c7:b5
        inet 192.168.10.31 netmask 0xfffff800 broadcast 192.168.15.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:1e:8c:72:c7:b4
        inet 111.111.112.1 netmask 0xfffffff0 broadcast XXX.XXX.XXX.XXX
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.10.200.2 --> 10.10.200.1 netmask 0xffffffff
        Opened by PID 80697

[serge]

tcpdump'ом если смотреть на сервере-клиенте интерфейс tun0, то пакеты пытаются с сервера в 8 подсеть ходить? В 8 подсети для раб. станций шлюзом указан сервер-клиент?
===
Щас внимательно еще посмотрел... получается сервер-клиент не IP адреса из диапазона 8 подсети , хотя судя по маршрутам это должен быть алиас на интерфейсе em0.

[smertnik]

tcpdump -i tun0

Код: Выделить всё

C клиента(openvpn) на клиента за сервером:
11:20:14.725891 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 36415, seq 0, length 64
11:20:14.726221 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 36415, seq 0, length 64
11:20:15.727335 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 36415, seq 1, length 64
11:20:15.727699 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 36415, seq 1, length 64
11:20:16.728340 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 36415, seq 2, length 64
11:20:16.728682 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 36415, seq 2, length 64
С клиента за клиентом(шлюзом): пинг проходит только до 10.10.200.2(т.е до клиента openvpn)
Попытка пингануть внутрений IP сервера: 11:17:48.598827 IP fonarik.domain.ru > 192.168.0.1: ICMP echo request, id 1280, seq 14346, length 40 и.т.д 
Попытка пиговать 10.10.200.1: 11:26:17.887839 IP fonarik.domain.ru > 10.10.200.1: ICMP echo request, id 1280, seq 29962, length 40 и.т.д
C клиента(openvpn) на клиента за сервером (tcpdump -i tun0 на сервере):
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
11:31:33.002912 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 58943, seq 0, length 64
11:31:33.003239 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 58943, seq 0, length 64
11:31:34.003997 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 58943, seq 1, length 64
11:31:34.004347 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 58943, seq 1, length 64
11:31:35.004960 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 58943, seq 2, length 64
11:31:35.005327 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 58943, seq 2, length 64
11:31:36.006069 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 58943, seq 3, length 64
11:31:36.006437 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 58943, seq 3, length 64
11:31:37.006952 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 58943, seq 4, length 64
11:31:37.007293 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 58943, seq 4, length 64
11:31:38.007910 IP 10.10.200.2 > 192.168.0.254: ICMP echo request, id 58943, seq 5, length 64
11:31:38.008152 IP 192.168.0.254 > 10.10.200.2: ICMP echo reply, id 58943, seq 5, length 64
Попытка пинга с клиента за сервером:
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
11:24:53.628529 IP 192.168.0.254.61385 > 192.168.10.11.snmp:  GetRequest(63)  25.3.2.1.5.1 25.3.5.1.1.1 [|snmp]
11:25:03.674451 IP 192.168.0.254.61385 > 192.168.10.11.snmp:  GetRequest(63)  25.3.2.1.5.1 25.3.5.1.1.1 [|snmp]
11:25:13.813940 IP 192.168.0.254.61385 > 192.168.10.11.snmp:  GetRequest(63)  25.3.2.1.5.1 25.3.5.1.1.1 [|snmp]
11:25:53.654996 IP 192.168.0.254.61385 > 192.168.10.11.snmp:  GetRequest(63)  25.3.2.1.5.1 25.3.5.1.1.1 [|snmp]

В общем проблема с маршрутизацией, осталось это поправить, но

[smertnik]

фуф, все заработало, проблема была с маршрутизацией, лишних правил много было.
Итоговый конфиг:
Сервер:

Код: Выделить всё

port 2000
proto udp 
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
daemon
server 192.168.240.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
#push "route 192.168.9.0 255.255.255.0" # 2 сеть
client-config-dir ccd
# route 10.10.200.0 255.255.255.252 # это лишнее
route 192.168.8.0 255.255.248.0
tls-server
#tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 60
push "ping 10"
push "ping-restart 60"
#comp-lzo
max-clients 100
user root
group wheel
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn2.log
verb 3

ccd:
ifconfig-push 192.168.240.2 192.168.240.1
iroute 192.168.8.0  255.255.248.0

Клиент:

Код: Выделить всё

dev tun
proto udp
remote IP SERVERA
port 2000
client
resolv-retry infinite
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/client.crt
key /usr/local/etc/openvpn/keys/client.key
tls-client
#tls-auth /usr/local/etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
#comp-lzo
persist-key
persist-tun
user root
group wheel
#up /usr/local/etc/openvpn/openvpn_up.sh #ненужен, ибо настройки на стороне сервера (push "route 192.168.0.0 255.255.255.0")
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3

[HighMan]

А что нужно прописать что бы удаленные клинты видели друг друга?
Т.е. OpenVPN сервер имеет 192.168.1.1, client1 192.168.1.2, client2 192.168.1.3. Нужно с client2 залезть на client1