Open VPN(только пинг)

[mediamag]

Настроил опенвпн из сети в сеть пинг идет прекрасно..но вот дальше ничего не открывается...настраиваю впн первый раз и прошу помощи...может я чтото забыл? подозреваю что в фаерволе...вот ipfw show

Код: Выделить всё

inet# ipfw show
00010  128  12317 pipe 1 ip from not 192.168.0.0/24 to 192.168.0.114,192.168.0.100,192.168.0.24,192.168.0.223,192.168.0.151,192.168.0.240
00011    0      0 pipe 2 ip from not 192.168.0.0/24 to 192.168.0.152,192.168.0.153
00050    0      0 check-state
00100    0      0 allow ip from any to any via lo0
00110  114   7548 allow ip from any to any via tun0
00150    0      0 deny ip from table(0) to any
00200    0      0 deny ip from any to 127.0.0.0/8
00250    0      0 deny ip from 127.0.0.0/8 to any
00300    0      0 deny ip from 192.168.0.0/24 to any in via sk0
00350    0      0 deny ip from xx.xx.xx.0/30 to any in via sk1
00400    0      0 deny ip from any to 10.0.0.0/8 in via sk0
00410    0      0 deny ip from any to 172.16.0.0/12 in via sk0
00420    0      0 deny ip from any to 0.0.0.0/8 in via sk0
00430    0      0 deny ip from any to 169.254.0.0/16 in via sk0
00500    0      0 deny ip from any to 224.0.0.0/4 in via sk0
00510    0      0 deny ip from any to 240.0.0.0/4 in via sk0
00600    0      0 deny icmp from any to any frag
00610    0      0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00700    0      0 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00710    0      0 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00720    0      0 reject tcp from any to any not established tcpflags fin
00800    0      0 deny tcp from any to any dst-port 113 in via sk0
00900    0      0 deny tcp from any to any dst-port 137 in via sk0
00910    0      0 deny tcp from any to any dst-port 138 in via sk0
00920    0      0 deny tcp from any to any dst-port 139 in via sk0
01000    0      0 deny log logamount 100 icmp from any to 255.255.255.255 in via sk0
01010    0      0 deny log logamount 100 icmp from any to 255.255.255.255 out via sk0
01100  370  17760 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via sk0
01200 1373  97704 divert 8668 ip from 192.168.0.0/24 to any out via sk0
01250 2088 345537 divert 8668 ip from any to xx.xx.xx.xx in via sk0
01300    0      0 deny ip from 10.0.0.0/8 to any out via sk0
01310    0      0 deny ip from 172.16.0.0/12 to any out via sk0
01320    0      0 deny ip from 0.0.0.0/8 to any out via sk0
01330    0      0 deny ip from 169.254.0.0/16 to any out via sk0
01400    0      0 deny ip from 224.0.0.0/4 to any out via sk0
01410    0      0 deny ip from 240.0.0.0/4 to any out via sk0
01500   48   3148 allow icmp from any to any icmptypes 0,8,11
01600 1039  83795 allow ip from any to 192.168.0.0/24 in via sk1
01650   83  19142 allow ip from 192.168.0.0/24 to any out via sk1
01700 5681 857818 allow tcp from any to any established
01800  212  49575 allow udp from any to xx.xx.xx.xx dst-port 53 in via sk0
01810  213  16240 allow udp from xx.xx.xx.xx to any out via sk0
01820   17   2116 allow udp from any 53 to xx.xx.xx.xx in via sk0
01830   17   1232 allow udp from xx.xx.xx.xx to any dst-port 53 out via sk0
01900    0      0 allow tcp from any to xx.xx.xx.xx dst-port 53 in via sk0
02000    1     48 allow tcp from any to xx.xx.xx.xx dst-port 35665 in via sk0 setup
02100    0      0 allow tcp from any to xx.xx.xx.xx dst-port 8282 in via sk0 setup
02110    0      0 allow tcp from any to xx.xx.xx.xx dst-port 25017 in via sk0 setup
02111    0      0 allow tcp from any to xx.xx.xx.xx dst-port 34711 in via sk0 setup
02112    3    144 allow tcp from any to xx.xx.xx.xx dst-port 2000 in via sk0 setup
02300   46   2452 deny log logamount 100 tcp from any to xx.xx.xx.xx in via sk0 setup
02500  283  13584 allow tcp from xx.xx.xx.xx to any out via sk0 setup
02510    0      0 allow tcp from any to xx.xx.xx.xx in via sk1 setup
02600   49   2352 allow tcp from 192.168.0.0/24 to any dst-port 25,110,443,5190 in via sk1 setup
02701    0      0 allow tcp from 192.168.0.80 to any in via sk1 setup
02705    0      0 allow tcp from 192.168.0.20 to any in via sk1 setup
02710    0      0 allow tcp from 192.168.0.150 to any dst-port 20,21,80 in via sk1 setup
02715  282  13536 allow tcp from 192.168.0.5 to any in via sk1 setup
02716    0      0 allow tcp from 192.168.0.60 to any in via sk1 setup
02717    0      0 allow tcp from 192.168.0.61 to any in via sk1 setup
02718    0      0 allow tcp from 192.168.0.62 to any in via sk1 setup
02719    0      0 allow tcp from 192.168.0.63 to any in via sk1 setup
02820    0      0 allow tcp from 192.168.0.24 to any dst-port 20,21,80 in via sk1 setup
02825    0      0 allow tcp from 192.168.0.114 to any dst-port 20,21,80,8080 in via sk1 setup
02830    0      0 allow tcp from 192.168.0.100 to any dst-port 20,21,80 in via sk1 setup
02840    0      0 allow tcp from 192.168.0.123 to any in via sk1 setup
02845    0      0 allow tcp from 192.168.0.211 to any dst-port 20,21,80 in via sk1 setup
02850    0      0 allow tcp from 192.168.0.11 to any dst-port 20,21,80 in via sk1 setup
02855    0      0 allow tcp from 192.168.0.223 to any in via sk1 setup
02856   24   1152 allow tcp from 192.168.0.222 to any via sk1 setup
02857   87   4176 allow tcp from 192.168.0.218 to any in via sk1 setup
02960    0      0 allow tcp from 192.168.0.215 to any dst-port 20,21,80 in via sk1 setup
02965   24   1152 allow tcp from 192.168.0.151 to any dst-port 20,21,80-89 in via sk1 setup
02970  187   8976 allow tcp from 192.168.0.240 to any dst-port 20,21,80-89 in via sk1 setup
02975    0      0 allow tcp from 192.168.0.152 to any dst-port 20,21,80 in via sk1 setup
02980    0      0 allow tcp from 192.168.0.153 to any dst-port 20,21,80 in via sk1 setup
65534  197  10654 deny ip from any to any
65535    0      0 allow ip from any to any

буду признателен за любую помощь

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[f_andrey]

Настроил опенвпн из сети в сеть пинг идет прекрасно..

Код: Выделить всё

ping -D -s 1500 "ваш.хост.за .тоннелем"

а впрочем число наверное не 1500 а в районе 1462 что ли в обшем покажите максимальное может надо MTU понизить хотя тогда хоть что то бы работало
ну это так на всякий случай, а в less /var/log/security ничего подозрительного нет? а то правил у вас много может что ни туда зарулили?

[mediamag]

я думаю первое делать не к чему..так как если разрешаю from any to any временным правилом то все открывается отлично...может подскажите правила для точное настройки?

[mediamag]

извините что апаю тему...может кто нибудь все таки подскажет правильные правила для ipfw для openvpn?

[InventoR]

Код: Выделить всё

ipfw add log logamount 10000 all from any to any via tun0

дальше

Код: Выделить всё

cat /var/log/security****

и нервно курим логи.

[mediamag]

спасибо..но я уже нашел выход методом тыка))) кому интересно ....сразу после

Код: Выделить всё

allow ip from any to any via lo0

пишем правило

Код: Выделить всё

allow ip from any to any via tun0

затем ниже ната (в моем случае после правила established) пишем

Код: Выделить всё

allow tcp (или ip) from (впн подсеть) to (лан подсеть) via (внутрений ифейс) setup

[mediamag]

Чтобы не плодить новых тем возник вопрос во время разбора полетов с опен впн..а именно исходя из статьи с сайта про опен впн

Код: Выделить всё

НЬЮАНС!
В /usr/local/etc/openvpn/ccd при создании файла с настройками для клиента помните:
ifconfig-push 10.10.200.2 10.10.200.1
этой сторокой организовуем езернет-тун с сеткой 10.10.200.0, 2-мя тачками с айпишнегами 10.10.200.2 и 10.10.200.1 и бродкастом 10.10.200.3
соответственно при создании 2-го, 3-го и т.д. клиента - строка должна принимать вид
ifconfig-push 10.10.200.6 10.10.200.5
ifconfig-push 10.10.200.10 10.10.200.9

не может быть 253 одновременно подключеных клиента??? я правильно понял????
в папке ccd у меня находятся файлы с именами равными именам клиента по выданым сертификатам. В них находятся по одной строке

Код: Выделить всё

ifconfig-push 10.10.200.2 10.10.200.1

Код: Выделить всё

ifconfig-push 10.10.200.6 10.10.200.5

Код: Выделить всё

ifconfig-push 10.10.200.10 10.10.200.9

и т д...

[zingel]

не может быть 253 одновременно подключеных клиента??? я правильно понял????

Теоретически - может, но на праквтике у тебя просто кончатся сокеты тупо.

[mediamag]

спасибо за ответ

[mediamag]

хм..странно что по дефолту в настройке server.conf параметр max user = 100 ...а можно ли на 1 впн сервере поднять 2 и более впн подсети?

[frv]

Добрый день!
Люди скажите в чем может быть проблема
Два офиса, ОпенВПН, настроил по статье, все работает, пингует, НО с одного офиса (подсеть 192.168.0.0/24) я могу пользоваться всеми ресурсами сети офиса 2 (подсеть 192.168.1.0/24), а вот с офиса 2 проходят только пинги и все. Т.е. например, я с машины 192.168.0.Х пытаюсь открыть Общий ресурс в офисе 2 - без проблем все открывается. А в офисе 2 говорит что ресурс не доступен. хотя и там и там файрволы работают в allow all from any to any )
Куда еще обратить внимание?

[mediamag]

смотри..у меня проблема была в том что я не добавил правило типа

Код: Выделить всё

allow tcp from ${vpnnet} to ${intnet} 445 via ${intif} setup 

но это при том что у меня дофига правил в фаерволе и куча запретов... vpnnet-сетка впн, intnet локалка, intif внутренняя сетевая, 445 порт майкрасофтовской шары

[frv]

неа все равно не работает ((
вот как в данный момент настроено

ОФИС 1

Код: Выделить всё

ifconfig 
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=9<RXCSUM,VLAN_MTU>
	inet 192.168.0.6 netmask 0xffffff00 broadcast 192.168.0.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8<VLAN_MTU>
	inet XXX.XX.XX.246 netmask 0xfffffe00 broadcast XXX.XX.XX.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	inet 10.10.200.1 --> 10.10.200.2 netmask 0xffffffff 
	Opened by PID 58456

ipfw 
00001  allow ip from any to any via lo0
00002  allow ip from any to any via tun0
00010  divert 8668 ip from any to any via rl0
00100  allow ip from 192.168.1.0/24 to 192.168.0.0/24 via xl0 setup
00500  allow ip from any to any
65535  deny ip from any to any

ОФИС 2

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	options=8<VLAN_MTU>
	inet6 fe80::2e0:4cff:fe12:a270%rl0 prefixlen 64 scopeid 0x1 
	inet XX.XXX.XX.140 netmask 0xffffff00 broadcast XX.XXX.XX.255
	ether 00:e0:4c:12:a2:70
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	options=8<VLAN_MTU>
	inet6 fe80::213:49ff:feab:8c02%rl1 prefixlen 64 scopeid 0x2 
	inet 192.168.1.7 netmask 0xffffff00 broadcast 192.168.1.255
	ether 00:13:49:ab:8c:02
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 
	inet 127.0.0.1 netmask 0xff000000 
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
	inet6 fe80::2e0:4cff:fe12:a270%tun0 prefixlen 64 scopeid 0x6 
	inet 10.10.200.2 --> 10.10.200.1 netmask 0xffffffff 
	Opened by PID 803


ipfw

00001  allow ip from any to any via lo0
00002  allow ip from any to any via tun0
00010  divert 8668 ip from any to any via rl0
00100  allow tcp from 192.168.0.0/24 to 192.168.1.0/24 via rl1 setup
00500  allow ip from any to any
65535  deny ip from any to any