Клиент не видит сеть за VPN-сервером

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Incher
проходил мимо
Сообщения: 8
Зарегистрирован: 2012-08-09 3:15:38

Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение Incher » 2012-08-13 7:31:47

Доброго времени суток.
Имеется сервер под FreeBSD, за ним локальная сеть 192.168.199.0/24, и клиент под Win7, локальная сеть 192.168.0.0/24. Между ними настроен VPN c адресом 192.168.192.0/24, клиент успешно коннектится, пингует сервер, но компы в локалке сервера - нет. Помогите, пожалуйста, разобраться.
Привожу конфиги.

Конфиг сервера:

Код: Выделить всё

port 2000
proto tcp
dev tun0
tun-mtu 1400
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh2048.pem
server 192.168.192.0 255.255.255.0
push "route 192.168.199.0 255.255.255.0"
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 50
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 5
Конфиг клиента:

Код: Выделить всё

client
dev tun
remote хх.хх.хх.44
port 2000
proto tcp
pull "route-gateway 192.168.192.2"
nobind
tun-mtu 1400
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 5
Последний раз редактировалось f_andrey 2012-08-13 8:24:30, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение mak_v_ » 2012-08-13 9:12:44

трассировку с клиента и с "внутреннего ПК", таблицу маршрутов оттуда-же

Incher
проходил мимо
Сообщения: 8
Зарегистрирован: 2012-08-09 3:15:38

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение Incher » 2012-08-15 2:10:53

С внутреннего не могу - сервер и его сеть находятся удаленно и к ней нет доступа. С клиента к одному из компов за сервером трассировка такая:

Код: Выделить всё

Трассировка маршрута к 192.168.199.203 с максимальным числом прыжков 30
  1     3 ms     3 ms     2 ms  192.168.192.1 
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
таблица маршрутов на клиенте:

Код: Выделить всё

===========================================================================
Список интерфейсов
 18...00 ff 9d 4c 15 bf ......TAP-Win32 Adapter V9
 12...00 25 d3 6b 33 75 ......Адаптер беспроводных сетей Atheros AR9285 Wireless
 11...90 e6 ba 42 36 8f ......Сетевая карта  Realtek RTL8168B/8111B Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
 16...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
 17...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
  1...........................Software Loopback Interface 1
 19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 20...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 38...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
    Сетевой адрес        Маска сети     Адрес шлюза    Интерфейс    Метрика 
           0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.60     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      yyy.yyy.0.0      255.255.0.0         On-link      192.168.40.1     30
  yyy.yyy.255.255  255.255.255.255         On-link      192.168.40.1    276
      192.168.0.0    255.255.255.0         On-link      192.168.0.60    281
     192.168.0.60  255.255.255.255         On-link      192.168.0.60    281
    192.168.0.255  255.255.255.255         On-link      192.168.0.60    281
     192.168.40.0    255.255.255.0         On-link      192.168.40.1    276
     192.168.40.1  255.255.255.255         On-link      192.168.40.1    276
   192.168.40.255  255.255.255.255         On-link      192.168.40.1    276
    192.168.192.1  255.255.255.255    192.168.192.5    192.168.192.6     30
    192.168.192.2  255.255.255.255         On-link     192.168.192.6     31
    192.168.192.4  255.255.255.252         On-link     192.168.192.6    286
    192.168.192.6  255.255.255.255         On-link     192.168.192.6    286
    192.168.192.7  255.255.255.255         On-link     192.168.192.6    286
    192.168.199.0    255.255.255.0    192.168.192.5    192.168.192.6     30
    192.168.249.0    255.255.255.0         On-link     192.168.249.1    276
    192.168.249.1  255.255.255.255         On-link     192.168.249.1    276
  192.168.249.255  255.255.255.255         On-link     192.168.249.1    276
        xxx.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        xxx.0.0.0        240.0.0.0         On-link     192.168.192.6    286
        xxx.0.0.0        240.0.0.0         On-link      192.168.0.60    281
        xxx.0.0.0        240.0.0.0         On-link      192.168.40.1    276
        xxx.0.0.0        240.0.0.0         On-link     192.168.249.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.192.6    286
  255.255.255.255  255.255.255.255         On-link      192.168.0.60    281
  255.255.255.255  255.255.255.255         On-link      192.168.40.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.249.1    276
===========================================================================
Постоянные маршруты:
  Отсутствует
И кстати ipfw на сервере не установлен, так что по идее пускать должен, раз фаервола нет, видимо не в этом проблема

mak_v_
проходил мимо

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение mak_v_ » 2012-08-15 8:15:26

С внутреннего не могу - сервер и его сеть находятся удаленно и к ней нет доступа.
Зачем тогда топик?

Incher
проходил мимо
Сообщения: 8
Зарегистрирован: 2012-08-09 3:15:38

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение Incher » 2012-08-15 9:10:36

Затем, что стоит задача настроить впн удаленно по ssh.

Incher
проходил мимо
Сообщения: 8
Зарегистрирован: 2012-08-09 3:15:38

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение Incher » 2012-08-15 9:20:06

Я уже неделю ковыряюсь, весь гугл перекопал. Во всех прочитанных статьях проблема решается такими манипуляциями, которые я уже проделывал, но мне это не помогло.

mak_v_
проходил мимо

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение mak_v_ » 2012-08-15 18:55:50

по ссш нет доступа к таблице маршрутизации сервера (про клиентов "внутренних пока забудем")?
пробую телепатировать: "у внутренних" машин шлюзом прописан сервер с опенвпн-сервером? форвардинг разрешён? gateway_enable="YES"?

Incher
проходил мимо
Сообщения: 8
Зарегистрирован: 2012-08-09 3:15:38

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение Incher » 2012-08-16 2:17:10

к таблице сервера есть доступ, на сервере прописано gateway_enable="YES", таблица с сервера:

Код: Выделить всё

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            xx.xx.xx.41       UGS         0  3007726   bge0
xx.xx.xx.40/29    link#1             U           0     8777   bge0
xx.xx.xx.44       link#1             UHS         0        0    lo0
127.0.0.1          link#9             UH          0   109058    lo0
192.168.192.0/24   192.168.192.2      UGS         0        0   tun0
192.168.192.1      link#10            UHS         0        0    lo0
192.168.192.2      link#10            UH          0        0   tun0
192.168.199.0/24   link#2             U           0    36387   bge1
192.168.199.204    link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#9                        U           lo0
fe80::1%lo0                       link#9                        UHS         lo0
ff01:9::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

ifconfig оттуда же

Код: Выделить всё

bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether yy:yy:yy:yy:6c:fe
        inet xx.xx.xx.44 netmask 0xfffffff8 broadcast xx.xx.xx.47
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether yy:yy:yy:yy:6c:ff
        inet 192.168.199.204 netmask 0xffffff00 broadcast 192.168.199.255
        media: Ethernet autoselect (100baseTX <full-duplex,flowcontrol,rxpause,txpause>)
        status: active
bge2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether yy:yy:yy:yy:6d:00
        media: Ethernet autoselect (none)
        status: no carrier
bge3: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether yy:yy:yy:yy:6d:01
        media: Ethernet autoselect (none)
        status: no carrier
cas0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether zz:zz:zz:zz:zz:ec
        media: Ethernet autoselect
cas1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether zz:zz:zz:zz:zz:ed
        media: Ethernet autoselect
cas2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether zz:zz:zz:zz:zz:ee
        media: Ethernet autoselect
cas3: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether zz:zz:zz:zz:zz:ef
        media: Ethernet autoselect
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1400
        options=80000<LINKSTATE>
        inet 192.168.192.1 --> 192.168.192.2 netmask 0xffffffff
        Opened by PID 93126

Последняя догадка - это все из-за того, что на сервере не включен natd, но в силу малого опыта затрудняюсь в его правильном включении и настройке.

mak_v_
проходил мимо

Re: Клиент не видит сеть за VPN-сервером

Непрочитанное сообщение mak_v_ » 2012-08-16 9:09:25

natd - вообще ни при чем. Вы не натите, вы маршрутизируете 2 сети.
И все же: "у внутренних" машин шлюзом прописан сервер с опенвпн-сервером? в принципе могу глянуть и помочь по ссх, если это не ЦРУ-шная машина