OpenVPN и IPSEC-туннели

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
uBer
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-09-16 14:54:21

OpenVPN и IPSEC-туннели

Непрочитанное сообщение uBer » 2018-09-16 15:06:46

Всем привет.
Ситуация следующая:
Во временное пользование выдали доступ к серверу FreeBSD (пока настоящий админ не вернется).
На нем поднят IPSEC-туннель до филиала и OpenVPN сервер.
Все замечательно работает, но есть такая засада - при подключении удаленного клиента через OpenVPN у него есть доступ к локальным ресурсам, но доступа к ресурсам по IPSEC-туннелю нет.

Подскажите - в какую сторону копать, 3 дня гуглинга пока никак не помогли.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

uBer
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-09-16 14:54:21

OpenVPN и IPSEC-туннели

Непрочитанное сообщение uBer » 2018-09-16 16:22:47

FreeBSD-сервер (192.168.70.254) в качестве маршрутизатора. Пользователи локальной сети (192.168.70.0/24) ходят в интернет через него.
На нем в числе прочих подняты OpenVPN-сервер (10.8.0.0/24) и IPSEC-туннель через интернет до аналогичного FreeBSD-сервера (192.168.50.254) в филиале (192.168.50.0/24).
На локальной машине в филиале 192.168.50.4 поднят веб-сервер - в обоих филиалах он доступен.
При подключении к OpenVPN-серверу извне все ресурсы 70-подсети доступны, а 50-подсети (филиал) - нет. Пингов тоже нет.

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

OpenVPN и IPSEC-туннели

Непрочитанное сообщение snorlov » 2018-09-16 19:49:32

смотрите таблицу маршрутизации на клиенте, наверняка у него нет явного маршрута на 50-тую подсеть, вот он и плюет свои пакеты в маршрут по умолчанию...

uBer
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-09-16 14:54:21

OpenVPN и IPSEC-туннели

Непрочитанное сообщение uBer » 2018-09-16 21:55:36

Конфиг OpenVPN:

Код: Выделить всё

port 1194
proto udp
dev tun
ca certs/ca.crt
cert certs/vpnserver.crt
key certs/vpnserver.key
dh certs/dh2048.pem
server 10.8.0.0 255.255.255.0
;ifconfig-pool-persist ipp.txt
push "route 192.168.50.0 255.255.255.0"
push "route 192.168.70.0 255.255.255.0"
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.70.30"
push "dhcp-option DNS 192.168.70.254"
push "dhcp-option DOMAIN contoso.local"
;client-to-client
duplicate-cn
keepalive 10 120
tls-auth certs/ta.key 0
cipher AES-256-CBC
;compress lz4-v2
;push "compress lz4-v2"
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status      /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
;log-append  openvpn.log
verb 3
;mute 20
explicit-exit-notify 1

# OpenLDAP Auth
plugin /usr/local/lib/openvpn-auth-ldap.so "/usr/local/etc/openvpn/auth-ldap.conf"
;client-cert-not-required
username-as-common-name

script-security 2
--client-connect scripts/up.sh
--client-disconnect scripts/down.sh

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

OpenVPN и IPSEC-туннели

Непрочитанное сообщение snorlov » 2018-09-17 0:08:29

Проверьте маршрутизацию везде: клиент, основная сеть, удаленная, короче tcpdump в руки...

uBer
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-09-16 14:54:21

OpenVPN и IPSEC-туннели

Непрочитанное сообщение uBer » 2018-09-19 14:17:14

Разобрался наконец. Как обычно, проблема была в другом месте и в маршрутизации.
Надо было на сервере в филиале (50) добавить маршрут для подсети OpenVPN через gif-туннель. На сервере 70 подсети все было настроено корректно.