Почему не работает маршрутизация на FreeBSD через VPN tunel?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Почему не работает маршрутизация на FreeBSD через VPN tunel?

Непрочитанное сообщение Хрюша » 2009-04-07 16:24:16

Есть сеть согласно рисунку.
VPN server -такая конфигурация:
rc.conf:

Код: Выделить всё

gateway_enable="YES"
openvpn_enable=YES"
openvpn_if="tun"
openvpn.conf:

Код: Выделить всё

daemon openvpn
dev tun
local xxx.yyy.zzz.www
tls-server
mode server
dh /etc/ssl/dh2048.pem
ca /etc/ssl/CA_cert.crt
cert /etc/ssl/certs/Server.crt
key /etc/ssl/keys/Server.key
server xxx.yyy.1.0 255.255.255.0
client-config-dir ccd
route xxx.yyy.27.244 255.255.255.252
client-to-client
push "route xxx.yyy.27.244 255.255.255.252"
proto tcp-server
port xxxx
user nobody
group nogroup
comp-lzo
persist-tun
persist-key
tls-auth /etc/ssl/ta.key 0
keepalive 10 120
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 4
Routing tables

Код: Выделить всё

Destination Gateway Flags Refs Use Netif Expire
default xxx.yyy.zzz.www UGS 0 604780196 tun0
xxx.yyy.1/24 xxx.yyy.1.2 UGS 1 247 tun1
xxx.yyy.1.2 xxx.yyy.1.1 UH 7 36 tun1
127.0.0.1 127.0.0.1 UH 0 534 lo0
xxx.yyy.8 link#1 UC 0 0 em0
xxx.yyy.27.64/27 xxx.yyy.1.1 UGS 0 88 tun1
xxx.yyy.27.228/30 link#3 UC 0 0 em1
xxx.yyy.27.244/30 xxx.yyy.1.2 UGS 0 2079 tun1
xxx.yyy.zzz.www zzz.www.xxx.yyy UH 1 0 tun0
rc.firewall:

Код: Выделить всё

add allow all from any to any via tun1
VPN client -такая конфигурация:
rc.conf:

Код: Выделить всё

gateway_enable="YES"
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/openvpn.conf"
openvpn_dir="/usr/local/etc/openvpn"
openvpn.conf:

Код: Выделить всё

dev tun
client
remote xxx.yyy.zzz.www
tls-client
ns-cert-type server
ca "keys/CA_cert.crt"
cert "keys/client.crt"
dh "keys/dh2048.pem"
key "keys/client.key"
tls-auth "keys/ta.key" 1
proto tcp-client
port xxxx
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
Routing tables

Код: Выделить всё

Destination Gateway Flags Refs Use Netif Expire
default xxx.yyy.zzz.jjj UGS 0 19350575 tun0
xxx.yyy.1/24 xxx.yyy.27.246 UGS 1 5 tun1
127.0.0.1 127.0.0.1 UH 0 12 lo0
xxx.yyy/17 link#1 UC 0 0 xl0
xxx.yyy.zzz.www 00:17:9a:45:13:97 UHLW 1 16 xl0 1135
xxx.yyy.zzz.ggg 00:10:5a:71:61:15 UHLS 1 0 lo0
xxx.yyy.zzz.jjj 00:07:e9:0a:cb:9c UHLW 1 29729809 xl0 1195
xxx.yyy.zzz.www zzz.www.xxx.yyy UH 1 102 tun0
xxx.yyy.8 xxx.yyy.1.1 UGS 0 1611 tun1
xxx.yyy.27.64/27 link#2 UC 0 0 xl1
xxx.yyy.27.65 00:10:5a:71:69:8c UHLS 1 2561 lo0
xxx.yyy.27.246 xxx.yyy.27.245 UH 6 256 tun1
xxx.yyy.27.248/30 xxx.yyy.27.246 UGS 0 0 tun1
xxx.yyy.27.252/30 xxx.yyy.27.246 UGS 0 0 tun1
Tcpdump-ом смотрел:
получется если с VPN servera запустить пинг на xxx.yyy.27.65, а на VPN server tcpdump -pni tun1 xxx.yyy.27.65, то показывает
10:03:50.269404 IP xxx.yyy.1.1 > xxx.yyy.27.65: ICMP echo request, id 58282, seq 0, length 64
10:03:51.316356 IP xxx.yyy.1.1 > xxx.yyy.27.65: ICMP echo request, id 58282, seq 1, length 64
10:03:52.363951 IP xxx.yyy.1.1 > xxx.yyy.27.65: ICMP echo request, id 58282, seq 2, length 64
10:03:53.409045 IP xxx.yyy.1.1 > xxx.yyy.27.65: ICMP echo request, id 58282, seq 3, length 64
10:03:54.456629 IP xxx.yyy.1.1 > xxx.yyy.27.65: ICMP echo request, id 58282, seq 4, length 64
В это же время при tcpdump -pni tun1 xxx.yyy.27.65 на VPN cliente не показывает ни чего!

При такой конфигурации с консоли FreeBSD Client я могу пропинговать сеть xxx.yyy.8.0. С сети xxx.yyy.8.0 я могу видеть только xxx.yyy.27.245.
Как можно сделать что бы сети xxx.yyy.8.0 и xxx.yyy.27.64 видели друг друга? Что делаю не так?
Вложения
set.jpg

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Почему не работает маршрутизация на FreeBSD через VPN tunel?

Непрочитанное сообщение snorlov » 2009-04-08 8:49:19

Я бы в вашем случае использовал бы ipsec+racoon (ipsec-tools), а не openvpn