VPN PopTop не видна LAN за сервером.

[mistik266]

Уважаемые гуру проблема состоит в том что после установки связи по vpn доступны только локальные службы сервера а вся остальная сетка за сервером не видна .
Реализация : vpn server PopTop , сервер OpenBSD,клиент WinXP.
до установки связи с vpn:
netstat

Код: Выделить всё

Routing tables
 
Internet:
Destination        Gateway            Flags     Refs     Use    Mtu  Interface
default            192.168.0.254      UGS         4      309      -   sk0
127/8              127.0.0.1          UGRS        0        0  33224   lo0
127.0.0.1          127.0.0.1          UH          1        0  33224   lo0
192.168.0/24       link#1             UC          4        0      -   sk0
192.168.0.16       0:16:e6:65:d0:f7   UHLc        0        0      -   sk0
192.168.0.104      0:14:85:e1:5f:85   UHLc        1       15      -   sk0
192.168.0.200      127.0.0.1          UH          0        0  33224   lo0
192.168.0.254      0:4:e2:df:df:e4    UHLc        1        0      -   sk0
192.168.0.255      link#1             UHLc        2       37      -   sk0
224/4              127.0.0.1          URS         0        0  33224   lo
после  
Routing tables
 
Internet:
Destination        Gateway            Flags     Refs     Use    Mtu  Interface
default            192.168.0.254      UGS         6      478      -   sk0
127/8              127.0.0.1          UGRS        0        0  33224   lo0
127.0.0.1          127.0.0.1          UH          1        0  33224   lo0
192.168.0/24       link#1             UC          4        0      -   sk0
192.168.0.16       0:16:e6:65:d0:f7   UHLc        0        0      -   sk0
192.168.0.104      0:14:85:e1:5f:85   UHLc        0       15      -   sk0
192.168.0.200      127.0.0.1          UH          0        0  33224   lo0
192.168.0.254      0:4:e2:df:df:e4    UHLc        1        0      -   sk0
192.168.0.255      link#1             UHLc        3       39      -   sk0
192.168.1.42       192.168.0.200      UH          0        0   1398   tun0
224/4              127.0.0.1          URS         0        0  33224   lo0
  

тоесть видно что роутинг добавляеться для клиента 192.168.1.42
в чем траблы не пойму .

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

чё-то непонял, к чему это - про роутинг для клиента...
==========
незнаю как это будет в OpenBSD, но всё же - гатевай енаблед - стоит?

[mistik266]

просто перебрав все возможные грехи, по совету специалистов , начал копать в напровлении роутинга так как других проблем не нашел.

[mistik266]

Openbsd v rc.conf нету такой опции:(, гатевай енаблед,может она гдето в другом месте

[Alex Keda]

в sysctl есть? как во фре - соседнюю тему глянь.
собсно она и растянулась потому что человек не заметил этого в одном из первых постов

[mistik266]

sysctl.conf

Код: Выделить всё

      $OpenBSD: sysctl.conf,v 1.36 2005/07/19 15:34:43 tom Exp $
#
# This file contains a list of sysctl options the user wants set at
# boot time.  See sysctl(3) and sysctl(8) for more information on
# the many available variables.
net.inet.gre.allow=1
net.inet.ip.forwarding=1        # 1=Permit forwarding (routing) of packets
#net.inet6.ip6.forwarding=1     # 1=Permit forwarding (routing) of packets
#net.inet6.ip6.accept_rtadv=1   # 1=Permit IPv6 autoconf (forwarding must be 0)
#net.inet.tcp.rfc1323=0         # 0=disable TCP RFC1323 extensions (for if tcp is slow)
#net.inet.tcp.rfc3390=1         # 1=Enable RFC3390 for TCP window increasing
#net.inet.esp.enable=0          # 0=Disable the ESP IPsec protocol
#net.inet.ah.enable=0           # 0=Disable the AH IPsec protocol
#net.inet.esp.udpencap=0        # 0=Disable ESP-in-UDP encapsulation
#net.inet.ipcomp.enable=1       # 1=Enable the IPCOMP protocol
#net.inet.etherip.allow=1       # 1=Enable the Ethernet-over-IP protocol
#net.inet.tcp.ecn=1             # 1=Enable the TCP ECN extension
#ddb.panic=0                    # 0=Do not drop into ddb on a kernel panic
#ddb.console=1                  # 1=Permit entry of ddb from the console
#fs.posix.setuid=0              # 0=Traditional BSD chown() semantics
#vm.swapencrypt.enable=0        # 0=Do not encrypt pages that go to swap
#vfs.nfs.iothreads=4            # number of nfsio kernel threads
#net.inet.ip.mtudisc=0          # 0=disable tcp mtu discovery
#kern.usercrypto=1              # 1=enable userland use of /dev/crypto
#kern.splassert=2               # 2=enable with verbose error messages
machdep.allowaperture=2         # See xf86(4)
#machdep.apmwarn=10             # battery % when apm status messages enabled
#machdep.apmhalt=1              # 1=powerdown hack, try if halt -p doesn't work
#machdep.kbdreset=1             # permit console CTRL-ALT-DEL to do a nice halt
#machdep.userldt=1              # allow userland programs to play with ldt,
                                # required by some ports
#kern.emul.aout=1               # enable running dynamic OpenBSD a.out bins
#kern.emul.bsdos=1              # enable running BSD/OS binaries
#kern.emul.freebsd=1            # enable running FreeBSD binaries
#kern.emul.ibcs2=1              # enable running iBCS2 binaries
#kern.emul.linux=1              # enable running Linux binaries
#kern.emul.svr4=1               # enable running SVR4 binaries
~

[Alex Keda]

Код: Выделить всё

sysctl net.inet.ip.forwarding=1

что скажет

[mistik266]

форвардинг включен ?

[Alex Keda]

это ты сам у себя спрашиваешь?

[mistik266]

Ну в принципе меня смутил твой вопрос

[mistik266]

Код: Выделить всё

net.inet.ip.forwarding: 1 -> 1

[Alex Keda]

Код: Выделить всё

ifconfig

c сервера при подключенном клиенте

[mistik26]

Код: Выделить всё

# ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33224
        groups: lo
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:13:d4:47:ca:22
        groups: egress
        media: Ethernet autoselect (100baseTX full-duplex,flag0,flag1)
        status: active
        inet 192.168.0.200 netmask 0xffffff00 broadcast 192.168.0.255
        inet6 fe80::213:d4ff:fe47:ca22%sk0 prefixlen 64 scopeid 0x1
pflog0: flags=0<> mtu 33224
pfsync0: flags=0<> mtu 1348
enc0: flags=0<> mtu 1536
bridge0: flags=41<UP,RUNNING> mtu 1500
        groups: bridge
tun1: flags=10<POINTOPOINT> mtu 3000
        groups: tun
tun2: flags=10<POINTOPOINT> mtu 3000
        groups: tun
tun3: flags=10<POINTOPOINT> mtu 3000
        groups: tun
tun0: flags=8011<UP,POINTOPOINT,MULTICAST> mtu 1398
        inet 127.0.0.1 --> 192.168.1.199 netmask 0xffffffff

[Alex Keda]

Код: Выделить всё

127.0.0.1

странный внутренний адрес...
странно что хотя бы сервер с таким виден....

[mistik26]

рабочий интерфейс sк0 (192.168.0.200), после дампирования я вижу как пакеты проходят через виртуальный интерфейс и идут на физический а там все чтото затыкается и они не выходят наружу в lan:(

[Alex Keda]

сделай туннель с внутреннего IP

[mistik26]

ipconfig /all (клиент в нутри сети после подключения )

Код: Выделить всё

Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
        Physical Address. . . . . . . . . : 00-14-85-E4-85-01
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.14
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.254
        DNS Servers . . . . . . . . . . . : 192.168.0.254
                                            192.115.106.35

PPP adapter lovendent:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.1.61
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . : 192.168.1.61
        DNS Servers . . . . . . . . . . . : 192.168.50.70

все отлично все пингуется в двух случаях 1 когда хотом я ему прописываю локальный адрес 2 когда хостом пишу интернетовский.
причем оставил его подключонным к впн и проверил с другой стороны ( с наружи ) он тоже начал пинговаться по локалному адресу)

Код: Выделить всё

C:\Documents and Settings\Administrator>ping 192.168.0.14

Pinging 192.168.0.14 with 32 bytes of data:

Reply from 192.168.0.14: bytes=32 time=743ms TTL=127
Reply from 192.168.0.14: bytes=32 time=1647ms TTL=127
Reply from 192.168.0.14: bytes=32 time=519ms TTL=127
Reply from 192.168.0.14: bytes=32 time=1079ms TTL=127

Ping statistics for 192.168.0.14:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 519ms, Maximum = 1647ms, Average = 997ms

[Alex Keda]

не надо с внутреннего клиента подключаться.
из инета подключайся

[mistik26]

ок ето то что я сделал подключил 1 клиента к впн изнутри ,а сам подключился снаружи и смог пинговать тот комп который внутри но тоже подключон к впн.

[Alex Keda]

каие-то извраты...
==========
каоква цель сооружения впн?

[mistik26]

Да уж не говори извелся уже ,такое впечатление что в опенке впн как то вынесен за пределы всего и надо чтото открыть чтобы ето за работало.
Цель впн соединить 2 клиники в которых работают с корпоративной програмой сервер которой находится в одной из них ,база данных ,бугалтерия дигитальный рентген ну и ещо куча всякого .

[Alex Keda]

а чем плох IPSEC например?

[mistik26]

Да не чем он не плох но мне кажеться проблема на уровне ядра ,а не протокола,я уже пробовал OpenVPN поднимал ,тоже еффект ,у меня подозрение что есть какаято защита которая выносит впн за рамки ,что то из пресловутой безопасности OpenBSD

[Din]

Может поможет :

Код: Выделить всё

dev tap0
mode server
client-to-client        <----- если этой опции нет то сеть за сервером видна небудет
tls-server
ifconfig-pool 5.132.126.2 5.132.126.30
# Certificates for VPN Authentication
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
ifconfig 5.132.126.1 255.0.0.0
ping-timer-rem
persist-tun
persist-key

group nobody
daemon

Это на Фре 6.2 если надо могу и на опёнке проверить. Делался сервер под игрушки которые только по бродкасту работают, чтоб через инет их гонять, все всех видят никаких траблов, клиенты все сидят за NAT, кроме 1

И клиента до кучи, W2K3 но ОС не принципиальна

Код: Выделить всё

dev tap
dev-node 22
proto udp
remote 192.168.0.112
port 1194
client
tls-client
ns-cert-type server
ca ca.crt
cert din.crt
key din.key
ping 15
ping-restart 45
ping-timer-rem
persist-key
persist-tun
verb 1

Кнопа Code это да, торможу )

PS Чтобы сконектить сети на уровне L2 нужно использовать не tun а tap

[mistik26]

Так то оно так ) просто есть готовый вариант на поптопе ,и все подозрения сводяться к тому что какаято опция закрыта потому как все тесты проходят удачно кроме конечного результата ,тем более ето уже дело принципа у всех работает а у меня нет ))(шутю).