Проблема с VPN маршрутами

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-04 2:00:59

У меня есть проблема с VPN соединением, в качестве шлюза стоит FreeBSD. Вроде как настроил всё правильно, потомучто удалённо клиентом подключаюсь, пингую VPN сервер. Но тут одна проблема, я с клиента не получаю IP адресс сервера BSD, тоесть при проверке, в браузерах у меня всё равно показан настоящий адресс. Полагаю что надо сделать правильный маршрут.
Вот маршруты с клиента:

Код: Выделить всё

gateway openvpn # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
10.0.0.0        10.20.30.5      255.255.255.0   UG    0      0        0 tun0
10.20.30.1      10.20.30.5      255.255.255.255 UGH   0      0        0 tun0
10.20.30.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     2      0        0 wlan0
В данном случае шлюз VPN это 10.20.30.1. 192.168.1.1 - это роутер через который идёт инет на клиенте.

Так трассируется ya.ru с клиента при поднятом VPN:

Код: Выделить всё

gateway openvpn # traceroute ya.ru
traceroute to ya.ru (87.250.250.3), 30 hops max, 60 byte packets
 1  WL-1caff731f63b (192.168.1.1)  2.745 ms  2.847 ms  3.218 ms
 2  10.0.2.3 (10.0.2.3)  378.420 ms  380.484 ms  396.540 ms
 3  10.0.2.2 (10.0.2.2)  414.202 ms  437.618 ms  456.337 ms
 4  10.0.2.73 (10.0.2.73)  497.631 ms  519.029 ms  534.135 ms
 5  10.0.25.1 (10.0.25.1)  557.691 ms  594.118 ms  635.817 ms
 6  10.0.25.1 (10.0.25.1)  677.554 ms  706.410 ms  727.760 ms
 7  10.0.25.36 (10.0.25.36)  746.900 ms  381.805 ms  257.944 ms
 8  196.202.236.219 (196.202.236.219)  275.456 ms  395.998 ms  457.383 ms
 9  196.202.236.204 (196.202.236.204)  479.212 ms  497.885 ms  757.259 ms
10  mtnh-bras-1.cm.mtnns.net (41.205.0.119)  779.264 ms  840.187 ms  843.021 ms
11  41.205.5.73 (41.205.5.73)  843.929 ms  844.589 ms  846.676 ms
12  * am-cr-2.nl--am-tpr-1.nl-a.mtn.net (209.212.111.218)  916.213 ms *
13  ams-ix-am1.yandex.net (195.69.147.200)  737.326 ms  478.753 ms  479.822 ms
14  l3-marionetka-tulip.yandex.net (213.180.213.115)  540.839 ms  558.739 ms  600.225 ms
15  * * *
16  l3-s3600-marionetka.yandex.net (213.180.213.88)  739.097 ms  779.094 ms  779.938 ms
17  www.yandex.ru (87.250.250.3)  797.242 ms  876.467 ms  898.889 ms
По логике где-то должен проскакивать VPN шлюз 10.20.30.1, но его нет.
На FreeBSD проброс пакетов включен:

Код: Выделить всё

free-snich# sysctl -a | grep net.inet.ip.f
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet.ip.fragpackets: 0
Клиентом выступает Gentoo, к сети подключаюсь через Network Manager, но к VPN через консоль от рута.
часть последних строчек с клиента:

Код: Выделить всё

Wed Aug  3 23:38:21 2011 us=439123 [server] Peer Connection Initiated with 178.94.20.202:2000
Wed Aug  3 23:38:23 2011 us=763042 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Aug  3 23:38:25 2011 us=296380 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 10.20.30.1,topology net30,ping 20,ping-restart 240,ifconfig 10.20.30.6 10.20.30.5'
Wed Aug  3 23:38:25 2011 us=296455 OPTIONS IMPORT: timers and/or timeouts modified
Wed Aug  3 23:38:25 2011 us=296467 OPTIONS IMPORT: --ifconfig/up options modified
Wed Aug  3 23:38:25 2011 us=296476 OPTIONS IMPORT: route options modified
Wed Aug  3 23:38:25 2011 us=296601 ROUTE default_gateway=192.168.1.1
Wed Aug  3 23:38:25 2011 us=296961 TUN/TAP device tun0 opened
Wed Aug  3 23:38:25 2011 us=296980 TUN/TAP TX queue length set to 100
Wed Aug  3 23:38:25 2011 us=297009 /sbin/ifconfig tun0 10.20.30.6 pointopoint 10.20.30.5 mtu 1500
Wed Aug  3 23:38:25 2011 us=311204 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.20.30.5
Wed Aug  3 23:38:25 2011 us=317063 /sbin/route add -net 10.20.30.1 netmask 255.255.255.255 gw 10.20.30.5
Wed Aug  3 23:38:25 2011 us=321877 Initialization Sequence Completed

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Гость » 2011-08-04 3:39:42

при поднятии тунеля, дефолт роут должен перебиватся в удаленный айпи тунеля

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-04 10:06:20

По логике да, но не перебивается.. Что тогда не так ?

mak_v_
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение mak_v_ » 2011-08-04 10:52:40

Либо сервер не выдает, либо клиент не хавает его.
Смотрите логи на сервере (отправлена ли команда сменить дефолт), если там порядок - смотрите логи в клиенте(возможно не ест, возможно права и т.д.)

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение lap » 2011-08-04 11:03:34

Может впн сервер выдает только нужные маршруты?
Не сломалось - не чини.

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-04 13:51:28

Вытащил почти всё что касается VPN:
1. Конфиг сервера VPN

Код: Выделить всё

#NETWORK
port 2000
proto udp
dev tun
keepalive 20 240
server 10.20.30.0 255.255.255.0

route 10.20.30.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
ifconfig-pool-persist ipp.txt

#SECURITY
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
persist-key
persist-tun
2. Конфиг клиента

Код: Выделить всё

dev tun
proto udp
remote 178.94.20.202 
port 2000
client
resolv-retry infinite
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key
tls-client
tls-auth /etc/openvpn/ta.key 1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 4
3. rc.conf VPN сервера

Код: Выделить всё

hostname="free-snich"
#ifconfig_rl0="DHCP"
ifconfig_rl0="inet 192.168.1.5 netmask 255.255.0.0" \
defaultrouter="192.168.1.1"
inetd_enable="YES"
sshd_enable="YES"
apache22_enable="YES"
accf_http_load="YES"
mysql_enable="YES"
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/openvpn/server.conf"
openvpn_dir="/usr/openvpn"
gateway_enable="YES"
4. Таблица маршрутизации VPN сервера

Код: Выделить всё


free-snich# netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS         3     1874    rl0
10.20.30.0/24      10.20.30.2         UGS         0        0   tun0
10.20.30.1         link#4             UHS         0        0    lo0
10.20.30.2         link#4             UH          0        0   tun0
127.0.0.1          link#3             UH          0     3941    lo0
192.168.0.0/16     link#1             U           0      278    rl0
192.168.1.5        link#1             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0
5. Интерфейсы VPN сервера

Код: Выделить всё

free-snich# ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
	ether 00:e0:4c:19:02:9f
	inet 192.168.1.5 netmask 0xffff0000 broadcast 192.168.255.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=3<RXCSUM,TXCSUM>
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	inet 10.20.30.1 
Интерфейсы клиента

Код: Выделить всё

gateway openvpn # ifconfig -a

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:365961 errors:0 dropped:0 overruns:0 frame:0
          TX packets:365961 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:25253247 (24.0 MiB)  TX bytes:25253247 (24.0 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.20.30.6  P-t-P:10.20.30.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:40 errors:0 dropped:0 overruns:0 frame:0
          TX packets:49 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:6920 (6.7 KiB)  TX bytes:5655 (5.5 KiB)

tunl0     Link encap:IPIP Tunnel  HWaddr   
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

vboxnet0  Link encap:Ethernet  HWaddr 0a:00:27:00:00:00  
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr 00:21:6b:11:16:f2  
          inet addr:192.168.1.167  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:120661 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125626 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:64875326 (61.8 MiB)  TX bytes:14960296 (14.2 MiB)
6. Лог старта VPN сервера, также видно процесс подключения клиента (196.202.236.217 )

Код: Выделить всё

free-snich# cat /var/log/openvpn/openvpn.log
Thu Aug  4 10:48:59 2011 us=816384 Current Parameter Settings:
Thu Aug  4 10:48:59 2011 us=816626   config = '/usr/openvpn/server.conf'
Thu Aug  4 10:48:59 2011 us=816650   mode = 1
Thu Aug  4 10:48:59 2011 us=816671   show_ciphers = DISABLED
Thu Aug  4 10:48:59 2011 us=816691   show_digests = DISABLED
Thu Aug  4 10:48:59 2011 us=816712   show_engines = DISABLED
Thu Aug  4 10:48:59 2011 us=816731   genkey = DISABLED
Thu Aug  4 10:48:59 2011 us=816752   key_pass_file = '[UNDEF]'
Thu Aug  4 10:48:59 2011 us=816771   show_tls_ciphers = DISABLED
Thu Aug  4 10:48:59 2011 us=816793 Connection profiles [default]:
Thu Aug  4 10:48:59 2011 us=816813 NOTE: --mute triggered...
Thu Aug  4 10:48:59 2011 us=816849 206 variation(s) on previous 10 message(s) suppressed by --mute
Thu Aug  4 10:48:59 2011 us=816871 OpenVPN 2.2.0 i386-portbld-freebsd8.2 [SSL] [LZO2] [eurephia] built on Jul 27 2011
Thu Aug  4 10:48:59 2011 us=817050 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Aug  4 10:48:59 2011 us=817076 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug  4 10:48:59 2011 us=834765 Diffie-Hellman initialized with 1024 bit key
Thu Aug  4 10:48:59 2011 us=836397 Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Thu Aug  4 10:48:59 2011 us=836443 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 10:48:59 2011 us=836469 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 10:48:59 2011 us=836508 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Aug  4 10:48:59 2011 us=836592 Socket Buffers: R=[42080->65536] S=[9216->65536]
Thu Aug  4 10:48:59 2011 us=836769 ROUTE default_gateway=192.168.1.1
Thu Aug  4 10:48:59 2011 us=837125 TUN/TAP device /dev/tun0 opened
Thu Aug  4 10:48:59 2011 us=837226 /sbin/ifconfig tun0 10.20.30.1 10.20.30.2 mtu 1500 netmask 255.255.255.255 up
Thu Aug  4 10:48:59 2011 us=840379 /sbin/route add -net 10.20.30.0 10.20.30.2 255.255.255.0
add net 10.20.30.0: gateway 10.20.30.2
Thu Aug  4 10:48:59 2011 us=842560 /sbin/route add -net 10.20.30.0 10.20.30.2 255.255.255.0
route: writing to routing socket: File exists
add net 10.20.30.0: gateway 10.20.30.2: route already in table
Thu Aug  4 10:48:59 2011 us=844655 ERROR: FreeBSD route add command failed: external program exited with error status: 1
Thu Aug  4 10:48:59 2011 us=844752 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug  4 10:48:59 2011 us=848751 GID set to nobody
Thu Aug  4 10:48:59 2011 us=848858 UID set to nobody
Thu Aug  4 10:48:59 2011 us=848908 UDPv4 link local (bound): [undef]:2000
Thu Aug  4 10:48:59 2011 us=848934 UDPv4 link remote: [undef]
Thu Aug  4 10:48:59 2011 us=848967 MULTI: multi_init called, r=256 v=256
Thu Aug  4 10:48:59 2011 us=849139 IFCONFIG POOL: base=10.20.30.4 size=62
Thu Aug  4 10:48:59 2011 us=849210 IFCONFIG POOL LIST
Thu Aug  4 10:48:59 2011 us=849234 client,10.20.30.4
Thu Aug  4 10:48:59 2011 us=849302 Initialization Sequence Completed
Thu Aug  4 10:49:05 2011 us=911587 MULTI: multi_create_instance called
Thu Aug  4 10:49:05 2011 us=911700 196.202.236.217:51624 Re-using SSL/TLS context
Thu Aug  4 10:49:05 2011 us=911768 196.202.236.217:51624 LZO compression initialized
Thu Aug  4 10:49:05 2011 us=912120 196.202.236.217:51624 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Aug  4 10:49:05 2011 us=912151 196.202.236.217:51624 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug  4 10:49:05 2011 us=912238 196.202.236.217:51624 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Aug  4 10:49:05 2011 us=912259 196.202.236.217:51624 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Aug  4 10:49:05 2011 us=912343 196.202.236.217:51624 Local Options hash (VER=V4): '14168603'
Thu Aug  4 10:49:05 2011 us=912378 196.202.236.217:51624 Expected Remote Options hash (VER=V4): '504e774e'
Thu Aug  4 10:49:05 2011 us=912473 196.202.236.217:51624 TLS: Initial packet from 196.202.236.217:51624, sid=e5ec741e fbf33033
Thu Aug  4 10:50:05 2011 us=875068 196.202.236.217:51624 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Aug  4 10:50:05 2011 us=875099 196.202.236.217:51624 TLS Error: TLS handshake failed
Thu Aug  4 10:50:05 2011 us=875327 196.202.236.217:51624 SIGUSR1[soft,tls-error] received, client-instance restarting
Thu Aug  4 10:50:07 2011 us=817786 MULTI: multi_create_instance called
Thu Aug  4 10:50:07 2011 us=817891 196.202.236.217:51624 Re-using SSL/TLS context
Thu Aug  4 10:50:07 2011 us=817919 196.202.236.217:51624 LZO compression initialized
Thu Aug  4 10:50:07 2011 us=818046 196.202.236.217:51624 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Aug  4 10:50:07 2011 us=818076 196.202.236.217:51624 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug  4 10:50:07 2011 us=818154 196.202.236.217:51624 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Aug  4 10:50:07 2011 us=818174 196.202.236.217:51624 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Aug  4 10:50:07 2011 us=818212 196.202.236.217:51624 Local Options hash (VER=V4): '14168603'
Thu Aug  4 10:50:07 2011 us=818244 196.202.236.217:51624 Expected Remote Options hash (VER=V4): '504e774e'
Thu Aug  4 10:50:07 2011 us=818307 196.202.236.217:51624 TLS: Initial packet from 196.202.236.217:51624, sid=101f8ca8 fd683252
Thu Aug  4 10:50:23 2011 us=90056 196.202.236.217:51624 VERIFY OK: depth=1, /C=UA/ST=Kherson/L=Kherson/O=hbk-wide/OU=server/CN=server/name=Kherson/emailAddress=kherson@server.ks
Thu Aug  4 10:50:23 2011 us=90581 196.202.236.217:51624 VERIFY OK: depth=0, /C=UA/ST=Kherson/L=Kherson/O=hbk-wide/OU=client/CN=client/name=client/emailAddress=me@myclient.conm
Thu Aug  4 10:50:26 2011 us=859184 196.202.236.217:51624 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug  4 10:50:26 2011 us=859254 196.202.236.217:51624 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 10:50:26 2011 us=859330 196.202.236.217:51624 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug  4 10:50:26 2011 us=859354 196.202.236.217:51624 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 10:50:27 2011 us=699067 196.202.236.217:51624 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Aug  4 10:50:27 2011 us=699152 196.202.236.217:51624 [client] Peer Connection Initiated with 196.202.236.217:51624
Thu Aug  4 10:50:27 2011 us=699268 client/196.202.236.217:51624 MULTI: Learn: 10.20.30.6 -> client/196.202.236.217:51624
Thu Aug  4 10:50:27 2011 us=699297 client/196.202.236.217:51624 MULTI: primary virtual IP for client/196.202.236.217:51624: 10.20.30.6
Thu Aug  4 10:50:30 2011 us=830703 client/196.202.236.217:51624 PUSH: Received control message: 'PUSH_REQUEST'
Thu Aug  4 10:50:30 2011 us=830820 client/196.202.236.217:51624 SENT CONTROL [client]: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 10.20.30.1,topology net30,ping 20,ping-restart 240,ifconfig 10.20.30.6 10.20.30.5' (status=1)
7. Лог с клиента

Код: Выделить всё


gateway openvpn # openvpn client.ovpn 
Thu Aug  4 11:24:36 2011 us=815552 Current Parameter Settings:
Thu Aug  4 11:24:36 2011 us=821685   config = 'client.ovpn'
Thu Aug  4 11:24:36 2011 us=821748   mode = 0
Thu Aug  4 11:24:36 2011 us=821882   persist_config = DISABLED
Thu Aug  4 11:24:36 2011 us=821934   persist_mode = 1
Thu Aug  4 11:24:36 2011 us=821985   show_ciphers = DISABLED
Thu Aug  4 11:24:36 2011 us=822035   show_digests = DISABLED
Thu Aug  4 11:24:36 2011 us=822085   show_engines = DISABLED
Thu Aug  4 11:24:36 2011 us=822136   genkey = DISABLED
Thu Aug  4 11:24:36 2011 us=822186   key_pass_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=822236   show_tls_ciphers = DISABLED
Thu Aug  4 11:24:36 2011 us=822290 Connection profiles [default]:
Thu Aug  4 11:24:36 2011 us=823609   proto = udp
Thu Aug  4 11:24:36 2011 us=823667   local = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=823718   local_port = 2000
Thu Aug  4 11:24:36 2011 us=823769   remote = '178.94.20.202'
Thu Aug  4 11:24:36 2011 us=823820   remote_port = 2000
Thu Aug  4 11:24:36 2011 us=823877   remote_float = DISABLED
Thu Aug  4 11:24:36 2011 us=823928   bind_defined = DISABLED
Thu Aug  4 11:24:36 2011 us=823978   bind_local = ENABLED
Thu Aug  4 11:24:36 2011 us=824029   connect_retry_seconds = 5
Thu Aug  4 11:24:36 2011 us=824080   connect_timeout = 10
Thu Aug  4 11:24:36 2011 us=824130   connect_retry_max = 0
Thu Aug  4 11:24:36 2011 us=824181   socks_proxy_server = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824231   socks_proxy_port = 0
Thu Aug  4 11:24:36 2011 us=824282   socks_proxy_retry = DISABLED
Thu Aug  4 11:24:36 2011 us=824332 Connection profiles END
Thu Aug  4 11:24:36 2011 us=824383   remote_random = DISABLED
Thu Aug  4 11:24:36 2011 us=824435   ipchange = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824485   dev = 'tun'
Thu Aug  4 11:24:36 2011 us=824535   dev_type = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824586   dev_node = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824636   lladdr = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824686   topology = 1
Thu Aug  4 11:24:36 2011 us=824736   tun_ipv6 = DISABLED
Thu Aug  4 11:24:36 2011 us=824786   ifconfig_local = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824836   ifconfig_remote_netmask = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=824893   ifconfig_noexec = DISABLED
Thu Aug  4 11:24:36 2011 us=824944   ifconfig_nowarn = DISABLED
Thu Aug  4 11:24:36 2011 us=824994   shaper = 0
Thu Aug  4 11:24:36 2011 us=825044   tun_mtu = 1500
Thu Aug  4 11:24:36 2011 us=825094   tun_mtu_defined = ENABLED
Thu Aug  4 11:24:36 2011 us=825144   link_mtu = 1500
Thu Aug  4 11:24:36 2011 us=825194   link_mtu_defined = DISABLED
Thu Aug  4 11:24:36 2011 us=825245   tun_mtu_extra = 0
Thu Aug  4 11:24:36 2011 us=825295   tun_mtu_extra_defined = DISABLED
Thu Aug  4 11:24:36 2011 us=825345   fragment = 0
Thu Aug  4 11:24:36 2011 us=825395   mtu_discover_type = -1
Thu Aug  4 11:24:36 2011 us=825445   mtu_test = 0
Thu Aug  4 11:24:36 2011 us=825495   mlock = DISABLED
Thu Aug  4 11:24:36 2011 us=825545   keepalive_ping = 0
Thu Aug  4 11:24:36 2011 us=825596   keepalive_timeout = 0
Thu Aug  4 11:24:36 2011 us=825649   inactivity_timeout = 0
Thu Aug  4 11:24:36 2011 us=825700   ping_send_timeout = 0
Thu Aug  4 11:24:36 2011 us=825750   ping_rec_timeout = 0
Thu Aug  4 11:24:36 2011 us=825800   ping_rec_timeout_action = 0
Thu Aug  4 11:24:36 2011 us=825856   ping_timer_remote = DISABLED
Thu Aug  4 11:24:36 2011 us=825907   remap_sigusr1 = 0
Thu Aug  4 11:24:36 2011 us=825957   explicit_exit_notification = 0
Thu Aug  4 11:24:36 2011 us=826007   persist_tun = ENABLED
Thu Aug  4 11:24:36 2011 us=826057   persist_local_ip = DISABLED
Thu Aug  4 11:24:36 2011 us=826107   persist_remote_ip = DISABLED
Thu Aug  4 11:24:36 2011 us=826157   persist_key = ENABLED
Thu Aug  4 11:24:36 2011 us=826207   mssfix = 1450
Thu Aug  4 11:24:36 2011 us=826257   passtos = DISABLED
Thu Aug  4 11:24:36 2011 us=826308   resolve_retry_seconds = 1000000000
Thu Aug  4 11:24:36 2011 us=826358   username = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826408   groupname = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826458   chroot_dir = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826510   cd_dir = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826526   writepid = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826541   up_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826555   down_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826570   down_pre = DISABLED
Thu Aug  4 11:24:36 2011 us=826585   up_restart = DISABLED
Thu Aug  4 11:24:36 2011 us=826599   up_delay = DISABLED
Thu Aug  4 11:24:36 2011 us=826614   daemon = DISABLED
Thu Aug  4 11:24:36 2011 us=826628   inetd = 0
Thu Aug  4 11:24:36 2011 us=826645   log = DISABLED
Thu Aug  4 11:24:36 2011 us=826659   suppress_timestamps = DISABLED
Thu Aug  4 11:24:36 2011 us=826674   nice = 0
Thu Aug  4 11:24:36 2011 us=826689   verbosity = 4
Thu Aug  4 11:24:36 2011 us=826703   mute = 0
Thu Aug  4 11:24:36 2011 us=826718   gremlin = 0
Thu Aug  4 11:24:36 2011 us=826732   status_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826747   status_file_version = 1
Thu Aug  4 11:24:36 2011 us=826761   status_file_update_freq = 60
Thu Aug  4 11:24:36 2011 us=826775   occ = ENABLED
Thu Aug  4 11:24:36 2011 us=826790   rcvbuf = 65536
Thu Aug  4 11:24:36 2011 us=826805   sndbuf = 65536
Thu Aug  4 11:24:36 2011 us=826819   sockflags = 0
Thu Aug  4 11:24:36 2011 us=826833   fast_io = DISABLED
Thu Aug  4 11:24:36 2011 us=826854   lzo = 7
Thu Aug  4 11:24:36 2011 us=826869   route_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826884   route_default_gateway = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=826899   route_default_metric = 0
Thu Aug  4 11:24:36 2011 us=826913   route_noexec = DISABLED
Thu Aug  4 11:24:36 2011 us=826928   route_delay = 0
Thu Aug  4 11:24:36 2011 us=826942   route_delay_window = 30
Thu Aug  4 11:24:36 2011 us=826957   route_delay_defined = DISABLED
Thu Aug  4 11:24:36 2011 us=826972   route_nopull = DISABLED
Thu Aug  4 11:24:36 2011 us=826986   route_gateway_via_dhcp = DISABLED
Thu Aug  4 11:24:36 2011 us=827001   max_routes = 100
Thu Aug  4 11:24:36 2011 us=827016   allow_pull_fqdn = DISABLED
Thu Aug  4 11:24:36 2011 us=827030   management_addr = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827045   management_port = 0
Thu Aug  4 11:24:36 2011 us=827060   management_user_pass = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827075   management_log_history_cache = 250
Thu Aug  4 11:24:36 2011 us=827090   management_echo_buffer_size = 100
Thu Aug  4 11:24:36 2011 us=827105   management_write_peer_info_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827120   management_client_user = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827135   management_client_group = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827150   management_flags = 0
Thu Aug  4 11:24:36 2011 us=827165   shared_secret_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827179   key_direction = 2
Thu Aug  4 11:24:36 2011 us=827194   ciphername_defined = ENABLED
Thu Aug  4 11:24:36 2011 us=827209   ciphername = 'BF-CBC'
Thu Aug  4 11:24:36 2011 us=827223   authname_defined = ENABLED
Thu Aug  4 11:24:36 2011 us=827238   authname = 'SHA1'
Thu Aug  4 11:24:36 2011 us=827253   prng_hash = 'SHA1'
Thu Aug  4 11:24:36 2011 us=827268   prng_nonce_secret_len = 16
Thu Aug  4 11:24:36 2011 us=827282   keysize = 0
Thu Aug  4 11:24:36 2011 us=827297   engine = DISABLED
Thu Aug  4 11:24:36 2011 us=827311   replay = ENABLED
Thu Aug  4 11:24:36 2011 us=827326   mute_replay_warnings = DISABLED
Thu Aug  4 11:24:36 2011 us=827341   replay_window = 64
Thu Aug  4 11:24:36 2011 us=827356   replay_time = 15
Thu Aug  4 11:24:36 2011 us=827370   packet_id_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827385   use_iv = ENABLED
Thu Aug  4 11:24:36 2011 us=827400   test_crypto = DISABLED
Thu Aug  4 11:24:36 2011 us=827414   tls_server = DISABLED
Thu Aug  4 11:24:36 2011 us=827429   tls_client = ENABLED
Thu Aug  4 11:24:36 2011 us=827444   key_method = 2
Thu Aug  4 11:24:36 2011 us=827458   ca_file = '/etc/openvpn/ca.crt'
Thu Aug  4 11:24:36 2011 us=827473   ca_path = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827488   dh_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827503   cert_file = '/etc/openvpn/client.crt'
Thu Aug  4 11:24:36 2011 us=827518   priv_key_file = '/etc/openvpn/client.key'
Thu Aug  4 11:24:36 2011 us=827532   pkcs12_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827546   cipher_list = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827561   tls_verify = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827575   tls_remote = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827589   crl_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827603   ns_cert_type = 64
Thu Aug  4 11:24:36 2011 us=827618   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827632   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827646   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827660   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827675   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827689   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827703   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827717   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827731   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827746   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827760   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827774   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827788   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827802   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827817   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827831   remote_cert_ku[i] = 0
Thu Aug  4 11:24:36 2011 us=827851   remote_cert_eku = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=827866   tls_timeout = 2
Thu Aug  4 11:24:36 2011 us=827880   renegotiate_bytes = 0
Thu Aug  4 11:24:36 2011 us=827895   renegotiate_packets = 0
Thu Aug  4 11:24:36 2011 us=827909   renegotiate_seconds = 3600
Thu Aug  4 11:24:36 2011 us=827923   handshake_window = 60
Thu Aug  4 11:24:36 2011 us=827938   transition_window = 3600
Thu Aug  4 11:24:36 2011 us=827952   single_session = DISABLED
Thu Aug  4 11:24:36 2011 us=827967   push_peer_info = DISABLED
Thu Aug  4 11:24:36 2011 us=827981   tls_exit = DISABLED
Thu Aug  4 11:24:36 2011 us=827995   tls_auth_file = '/etc/openvpn/ta.key'
Thu Aug  4 11:24:36 2011 us=828019   server_network = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828034   server_netmask = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828049   server_bridge_ip = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828065   server_bridge_netmask = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828080   server_bridge_pool_start = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828095   server_bridge_pool_end = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828110   ifconfig_pool_defined = DISABLED
Thu Aug  4 11:24:36 2011 us=828126   ifconfig_pool_start = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828141   ifconfig_pool_end = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828156   ifconfig_pool_netmask = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=828170   ifconfig_pool_persist_filename = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=828185   ifconfig_pool_persist_refresh_freq = 600
Thu Aug  4 11:24:36 2011 us=828200   n_bcast_buf = 256
Thu Aug  4 11:24:36 2011 us=828214   tcp_queue_limit = 64
Thu Aug  4 11:24:36 2011 us=828229   real_hash_size = 256
Thu Aug  4 11:24:36 2011 us=828243   virtual_hash_size = 256
Thu Aug  4 11:24:36 2011 us=828257   client_connect_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=828272   learn_address_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=828286   client_disconnect_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=828301   client_config_dir = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=828316   ccd_exclusive = DISABLED
Thu Aug  4 11:24:36 2011 us=832015   tmp_dir = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=832032   push_ifconfig_defined = DISABLED
Thu Aug  4 11:24:36 2011 us=832048   push_ifconfig_local = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=832063   push_ifconfig_remote_netmask = 0.0.0.0
Thu Aug  4 11:24:36 2011 us=832078   enable_c2c = DISABLED
Thu Aug  4 11:24:36 2011 us=832093   duplicate_cn = DISABLED
Thu Aug  4 11:24:36 2011 us=832107   cf_max = 0
Thu Aug  4 11:24:36 2011 us=832121   cf_per = 0
Thu Aug  4 11:24:36 2011 us=832136   max_clients = 1024
Thu Aug  4 11:24:36 2011 us=832150   max_routes_per_client = 256
Thu Aug  4 11:24:36 2011 us=832165   auth_user_pass_verify_script = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=832179   auth_user_pass_verify_script_via_file = DISABLED
Thu Aug  4 11:24:36 2011 us=832194   ssl_flags = 0
Thu Aug  4 11:24:36 2011 us=832208   port_share_host = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=832223   port_share_port = 0
Thu Aug  4 11:24:36 2011 us=832237   client = ENABLED
Thu Aug  4 11:24:36 2011 us=832252   pull = ENABLED
Thu Aug  4 11:24:36 2011 us=832266   auth_user_pass_file = '[UNDEF]'
Thu Aug  4 11:24:36 2011 us=832283 OpenVPN 2.1.4 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Mar 21 2011
Thu Aug  4 11:24:36 2011 us=832340 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug  4 11:24:36 2011 us=833336 WARNING: file '/etc/openvpn/ta.key' is group or others accessible
Thu Aug  4 11:24:36 2011 us=833356 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Thu Aug  4 11:24:36 2011 us=833379 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 11:24:36 2011 us=833397 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 11:24:36 2011 us=833426 LZO compression initialized
Thu Aug  4 11:24:36 2011 us=833502 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Aug  4 11:24:36 2011 us=833541 Socket Buffers: R=[122880->131072] S=[122880->131072]
Thu Aug  4 11:24:36 2011 us=833566 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug  4 11:24:36 2011 us=833589 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Aug  4 11:24:36 2011 us=833605 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Aug  4 11:24:36 2011 us=833631 Local Options hash (VER=V4): '504e774e'
Thu Aug  4 11:24:36 2011 us=833651 Expected Remote Options hash (VER=V4): '14168603'
Thu Aug  4 11:24:36 2011 us=833674 UDPv4 link local (bound): [undef]:2000
Thu Aug  4 11:24:36 2011 us=833690 UDPv4 link remote: 178.94.20.202:2000
Thu Aug  4 11:24:37 2011 us=947330 TLS: Initial packet from 178.94.20.202:2000, sid=c7cedaf9 bd952819
Thu Aug  4 11:25:36 2011 us=803875 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Aug  4 11:25:36 2011 us=803912 TLS Error: TLS handshake failed
Thu Aug  4 11:25:36 2011 us=804005 TCP/UDP: Closing socket
Thu Aug  4 11:25:36 2011 us=804033 SIGUSR1[soft,tls-error] received, process restarting
Thu Aug  4 11:25:36 2011 us=804048 Restart pause, 2 second(s)
Thu Aug  4 11:25:38 2011 us=804455 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug  4 11:25:38 2011 us=804504 Re-using SSL/TLS context
Thu Aug  4 11:25:38 2011 us=804528 LZO compression initialized
Thu Aug  4 11:25:38 2011 us=804575 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Aug  4 11:25:38 2011 us=804600 Socket Buffers: R=[122880->131072] S=[122880->131072]
Thu Aug  4 11:25:38 2011 us=804617 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug  4 11:25:38 2011 us=804639 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Aug  4 11:25:38 2011 us=804650 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Aug  4 11:25:38 2011 us=804667 Local Options hash (VER=V4): '504e774e'
Thu Aug  4 11:25:38 2011 us=804681 Expected Remote Options hash (VER=V4): '14168603'
Thu Aug  4 11:25:38 2011 us=804696 UDPv4 link local (bound): [undef]:2000
Thu Aug  4 11:25:38 2011 us=804708 UDPv4 link remote: 178.94.20.202:2000
Thu Aug  4 11:25:39 2011 us=867058 TLS: Initial packet from 178.94.20.202:2000, sid=7f4eb3a4 8e4b83f5
Thu Aug  4 11:25:44 2011 us=686168 VERIFY OK: depth=1, /C=UA/ST=Kherson/L=Kherson/O=hbk-wide/OU=server/CN=server/name=Kherson/emailAddress=kherson@server.ks
Thu Aug  4 11:25:44 2011 us=686348 VERIFY OK: nsCertType=SERVER
Thu Aug  4 11:25:44 2011 us=686360 VERIFY OK: depth=0, /C=UA/ST=Kherson/L=Kherson/O=hbk-wide/OU=hbk-wide/CN=server/name=Kherson/emailAddress=administrator@kherson.ks.ua
Thu Aug  4 11:25:59 2011 us=187273 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug  4 11:25:59 2011 us=187315 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 11:25:59 2011 us=187372 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug  4 11:25:59 2011 us=187384 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug  4 11:25:59 2011 us=187444 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Aug  4 11:25:59 2011 us=187470 [server] Peer Connection Initiated with 178.94.20.202:2000
Thu Aug  4 11:26:01 2011 us=430898 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Aug  4 11:26:03 2011 us=161573 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 10.20.30.1,topology net30,ping 20,ping-restart 240,ifconfig 10.20.30.6 10.20.30.5'
Thu Aug  4 11:26:03 2011 us=161649 OPTIONS IMPORT: timers and/or timeouts modified
Thu Aug  4 11:26:03 2011 us=161661 OPTIONS IMPORT: --ifconfig/up options modified
Thu Aug  4 11:26:03 2011 us=161670 OPTIONS IMPORT: route options modified
Thu Aug  4 11:26:03 2011 us=161803 ROUTE default_gateway=192.168.1.1
Thu Aug  4 11:26:03 2011 us=162173 TUN/TAP device tun0 opened
Thu Aug  4 11:26:03 2011 us=162194 TUN/TAP TX queue length set to 100
Thu Aug  4 11:26:03 2011 us=162226 /sbin/ifconfig tun0 10.20.30.6 pointopoint 10.20.30.5 mtu 1500
Thu Aug  4 11:26:03 2011 us=179575 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.20.30.5
Thu Aug  4 11:26:03 2011 us=200616 /sbin/route add -net 10.20.30.1 netmask 255.255.255.255 gw 10.20.30.5
Thu Aug  4 11:26:03 2011 us=208394 Initialization Sequence Completed
8. Сервер и VPN пингуют друг друга

Код: Выделить всё

gateway openvpn # ping 10.20.30.1
PING 10.20.30.1 (10.20.30.1) 56(84) bytes of data.
64 bytes from 10.20.30.1: icmp_req=1 ttl=64 time=2936 ms
64 bytes from 10.20.30.1: icmp_req=3 ttl=64 time=2599 ms
64 bytes from 10.20.30.1: icmp_req=4 ttl=64 time=1760 ms
===============
free-snich# ping 10.20.30.6
PING 10.20.30.6 (10.20.30.6): 56 data bytes
64 bytes from 10.20.30.6: icmp_seq=0 ttl=64 time=925.579 ms
64 bytes from 10.20.30.6: icmp_seq=1 ttl=64 time=844.054 ms
64 bytes from 10.20.30.6: icmp_seq=2 ttl=64 time=715.135 ms
64 bytes from 10.20.30.6: icmp_seq=3 ttl=64 time=755.718 ms

mak_v_
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение mak_v_ » 2011-08-04 14:05:44

дайте команду на клиенте

Код: Выделить всё

route change default 10.20.30.5
и проверьте

вы с сервера не передаете default gw

Код: Выделить всё

push "redirect-gateway"# устанавливает для клиента ИП сервера шлюзом
пропишите это на сервере и будет вам счастие

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-04 20:56:28

Добавил к конфигу VPN сервера push "redirect-gateway" и перезапустил сервер. После соединения, клиент получил дефолтный маршрут 10.20.30.5, но почему не 10.20.30.1, это ведь IP VPN сервера ?
С клиента:

Код: Выделить всё

gateway openvpn # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.20.30.5      0.0.0.0         UG    0      0        0 tun0
10.0.0.0        10.20.30.5      255.255.255.0   UG    0      0        0 tun0
10.20.30.1      10.20.30.5      255.255.255.255 UGH   0      0        0 tun0
10.20.30.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
172.16.0.0      0.0.0.0         255.255.0.0     U     2      0        0 wlan0
178.94.20.202   172.16.0.1      255.255.255.255 UGH   0      0        0 wlan0
Я поменял iP Интернет шлюза для клиента на 172.16.0.1, потомучто на VPN сервере шлюз 192.168.1.1, до этого и на клиенте такой же был.

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-04 21:21:16

Вроде бы верно всё, трассировка от клиента начинается с 10.20.30.1, но дальше не идёт, соответвенно доступ в Инет на клиенте тоже пропадает.

Код: Выделить всё


dem@gateway ~ $ traceroute ya.ru
traceroute to ya.ru (87.250.250.203), 30 hops max, 60 byte packets
 1  10.20.30.1 (10.20.30.1)  603.955 ms  738.923 ms  821.758 ms
 2  * * *
 3  * * *
 4  * * *
..............
30
Я предполагаю, что просто VPN сервер не пересылает пакеты с тунеля во внешний свой интерфейс.

Гость
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Гость » 2011-08-05 0:12:22

начните с того, пинг работает?
сайты открываются?
с трассировкой уже отдельный разговор
и покажите таблицу маршрутов
ifconfig -a
netstat -nr

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-05 1:16:33

Сайты не открываются, в том то и дело. Пинги к VPN серверу идут. После соединения я могу, к примеру, попасть через ssh на VPN сервер по локальному ip, проверил.

Код: Выделить всё


gateway openvpn # netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.20.30.5      0.0.0.0         UG        0 0          0 tun0
10.0.0.0        10.20.30.5      255.255.255.0   UG        0 0          0 tun0
10.20.30.1      10.20.30.5      255.255.255.255 UGH       0 0          0 tun0
10.20.30.5      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
127.0.0.0       127.0.0.1       255.0.0.0       UG        0 0          0 lo
172.16.0.0      0.0.0.0         255.255.0.0     U         0 0          0 wlan0
178.94.50.215   172.16.0.1      255.255.255.255 UGH       0 0          0 wlan0


gateway openvpn # ping 10.20.30.1
PING 10.20.30.1 (10.20.30.1) 56(84) bytes of data.
64 bytes from 10.20.30.1: icmp_req=1 ttl=64 time=1078 ms
64 bytes from 10.20.30.1: icmp_req=2 ttl=64 time=678 ms
64 bytes from 10.20.30.1: icmp_req=3 ttl=64 time=518 ms

gateway openvpn # ifconfig -a
wlan0     Link encap:Ethernet  HWaddr 00:21:6b:11:16:f2  
          inet addr:172.16.0.167  Bcast:172.16.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:177139 errors:0 dropped:0 overruns:0 frame:0
          TX packets:181438 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:104567552 (99.7 MiB)  TX bytes:21749491 (20.7 MiB)


tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.20.30.6  P-t-P:10.20.30.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:720 (720.0 B)



Маршруты VPN сервера

Код: Выделить всё


free-snich# netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS         2     7566    rl0
10.20.30.0/24      10.20.30.2         UGS         0       52   tun0
10.20.30.1         link#4             UHS         0        0    lo0
10.20.30.2         link#4             UH          0        0   tun0
127.0.0.1          link#3             UH          0     3941    lo0
192.168.0.0/16     link#1             U           1      323    rl0
192.168.1.5        link#1             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0
free-snich# ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
	ether 00:e0:4c:19:02:9f
	inet 192.168.1.5 netmask 0xffff0000 broadcast 192.168.255.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=3<RXCSUM,TXCSUM>
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	inet 10.20.30.1 --> 10.20.30.2 netmask 0xffffffff 
	Opened by PID 38946

mak_v_
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение mak_v_ » 2011-08-05 9:29:23

по поводу "это ведь айпи сервера"
1)Есть несколько вариантов конфигурации сервера и клиента.
В нашем случае - у сервера адресс 10.20.30.1. При каждом соединении клиенты будут полочать адреса по принципу "сеть из 4-х хостов", а именно 4-сеть, 5-сервер, 6-клиент, 7 - бродкаст, т.е если будет два клиента, то адреса "второй пары будут выглядеть 10.20.30.8-сеть, 10.20.30.9-сервер, 10.20.30.10-клиент, 10.20.30.11 - бродкаст. и так далее.
При этом ifconfig с клиента будет выглядеть приблизительно так

Код: Выделить всё

inet 10.20.30.6 --> 10.20.30.5 netmask 0xffffffff
2) дефолтом при push "redirect-gateway" у вас будет "другой конец впн", а именно 10.20.30.5, он же 10.20.30.1 для всех, хотя при трассировке у вас будет светиться 10.20.30.1 вместо 10.20.30.5, не пугайтесь, так должно быть.
Вышеперечисленоое надо прочитать несколько раз и понять. Просто вникните. Потом станет проще.

по поводу "Сайты не открываются"
1) У вас на сервер ВПН должен быть настроен для того чтоб клиенты openvpn могли "сайты открывать". НАТ или прокси.
2) покажите строки из фаервола с натом, покажите кусок rc.conf с "gatway_enable"

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение gumeniuc » 2011-08-09 10:24:40

в конфиг сервера дорисуйте push "route-gateway 10.20.30.1" и убедитесь что натятся пакеты с интерфейса tun0. после установки соединения на стороне клиента, убедитесь что default route это 10.20.30.1.
Да шо ему сделается...

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-09 16:06:38

gumeniuc,
если я в конфиг VPN сервера добавляю push "route-gateway 10.20.30.1" , то после соединения с сервером на клиенте пропадает сеть. Даже пинги не работают, говорит сеть не доступна.
Вот такая картина получается:

Код: Выделить всё

gateway dem # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.20.30.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
172.16.0.0      0.0.0.0         255.255.0.0     U     2      0        0 wlan0
178.94.79.76    172.16.0.1      255.255.255.255 UGH   0      0        0 wlan0
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 vboxnet0
================================
Tue Aug  9 13:39:55 2011 us=714479 OpenVPN 2.1.4 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Mar 21 2011
Tue Aug  9 13:39:55 2011 us=714539 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Aug  9 13:39:55 2011 us=724890 WARNING: file '/etc/openvpn/ta.key' is group or others accessible
Tue Aug  9 13:39:55 2011 us=724922 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Tue Aug  9 13:39:55 2011 us=724942 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug  9 13:39:55 2011 us=724955 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug  9 13:39:55 2011 us=724986 LZO compression initialized
Tue Aug  9 13:39:55 2011 us=725069 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Aug  9 13:39:55 2011 us=725108 Socket Buffers: R=[122880->131072] S=[122880->131072]
Tue Aug  9 13:39:55 2011 us=725128 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Aug  9 13:39:55 2011 us=725159 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Tue Aug  9 13:39:55 2011 us=725171 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Tue Aug  9 13:39:55 2011 us=725195 Local Options hash (VER=V4): '504e774e'
Tue Aug  9 13:39:55 2011 us=725210 Expected Remote Options hash (VER=V4): '14168603'
Tue Aug  9 13:39:55 2011 us=725229 UDPv4 link local (bound): [undef]:2000
Tue Aug  9 13:39:55 2011 us=725242 UDPv4 link remote: 178.94.79.76:2000
Tue Aug  9 13:39:56 2011 us=414163 TLS: Initial packet from 178.94.79.76:2000, sid=a93847ad bfee852f
Tue Aug  9 13:39:59 2011 us=876133 VERIFY OK: depth=1, /C=UA/ST=Kherson/L=Kherson/O=hbk-wide/OU=server/CN=server/name=Kherson/emailAddress=kherson@server.ks
Tue Aug  9 13:39:59 2011 us=876337 VERIFY OK: nsCertType=SERVER
Tue Aug  9 13:39:59 2011 us=876350 VERIFY OK: depth=0, /C=UA/ST=Kherson/L=Kherson/O=hbk-wide/OU=hbk-wide/CN=server/name=Kherson/emailAddress=administrator@kherson.ks.ua
Tue Aug  9 13:40:05 2011 us=833675 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug  9 13:40:05 2011 us=833718 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug  9 13:40:05 2011 us=833776 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug  9 13:40:05 2011 us=833788 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug  9 13:40:05 2011 us=833834 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Aug  9 13:40:05 2011 us=833858 [server] Peer Connection Initiated with 178.94.79.76:2000
Tue Aug  9 13:40:08 2011 us=30647 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Aug  9 13:40:09 2011 us=385070 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.20.30.1,redirect-gateway,route 10.0.0.0 255.255.255.0,route 10.20.30.1,topology net30,ping 20,ping-restart 240,ifconfig 10.20.30.6 10.20.30.5'
Tue Aug  9 13:40:09 2011 us=385207 OPTIONS IMPORT: timers and/or timeouts modified
Tue Aug  9 13:40:09 2011 us=385220 OPTIONS IMPORT: --ifconfig/up options modified
Tue Aug  9 13:40:09 2011 us=385229 OPTIONS IMPORT: route options modified
Tue Aug  9 13:40:09 2011 us=385238 OPTIONS IMPORT: route-related options modified
Tue Aug  9 13:40:09 2011 us=385386 ROUTE default_gateway=172.16.0.1
Tue Aug  9 13:40:09 2011 us=385750 TUN/TAP device tun0 opened
Tue Aug  9 13:40:09 2011 us=385771 TUN/TAP TX queue length set to 100
Tue Aug  9 13:40:09 2011 us=385808 /sbin/ifconfig tun0 10.20.30.6 pointopoint 10.20.30.5 mtu 1500
Tue Aug  9 13:40:09 2011 us=388195 /sbin/route add -net 178.94.79.76 netmask 255.255.255.255 gw 172.16.0.1
Tue Aug  9 13:40:09 2011 us=390700 /sbin/route del -net 0.0.0.0 netmask 0.0.0.0
Tue Aug  9 13:40:09 2011 us=391788 /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.20.30.1
SIOCADDRT: Network is unreachable
Tue Aug  9 13:40:09 2011 us=392724 ERROR: Linux route add command failed: external program exited with error status: 7
Tue Aug  9 13:40:09 2011 us=392816 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.20.30.1
SIOCADDRT: Network is unreachable
Tue Aug  9 13:40:09 2011 us=394078 ERROR: Linux route add command failed: external program exited with error status: 7
Tue Aug  9 13:40:09 2011 us=394166 OpenVPN ROUTE: omitted no-op route: 10.20.30.1/255.255.255.255 -> 10.20.30.1
Tue Aug  9 13:40:09 2011 us=394184 Initialization Sequence Completed
mak_v_
rc.conf полностью:

Код: Выделить всё

hostname="free-snich"
ifconfig_rl0="inet 192.168.1.5 netmask 255.255.0.0" \
defaultrouter="192.168.1.1"
inetd_enable="YES"
sshd_enable="YES"
apache22_enable="YES"
accf_http_load="YES"
mysql_enable="YES"
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/openvpn/server.conf"
openvpn_dir="/usr/openvpn"
gateway_enable="YES"
Я уже понял что у меня на VPN сервере не работает проброс пакетов, так как там файрвол не стоит, тоесть никаких правил там не создавал. Теперь только надо сообразить как написать этот проброс с tun0 на rl0. Сервер BSD удалённый, физического доступа к нему нет, если что-то не так сделаю и упадёт ssh, то тогда кранты.

mak_v_
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение mak_v_ » 2011-08-09 16:16:57

проброс....заброс......закид......учите матчасть
Прочитайте мой ответ выше - вам поможет
1) push "redirect-gateway" на сервере
2) настройка НАТа или прокси там же.

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-09 22:55:12

Намёк понял, поштудировал хендбук и собрал новое ядро с ipfw. Пока правил нет:

Код: Выделить всё

free-snich# ipfw show
65535 2471 303331 allow ip from any to any
Пока бегло написал возможный nat, нашёл в инете, просто изменил переменные:

Код: Выделить всё

/sbin/ipfw add nat 1 config log if rl0 reset same_ports
/sbin/ipfw add nat 1 ip from 10.0.0.0/8 to not table\(10\) via rl0
/sbin/ipfw add nat 1 ip from any to 192.168.1.5 via rl0
где rl0 - внешний iface смотрящий в интернет
10.0.0.0/8 - диапазон tun0
192.168.1.5- внешний ip на rl0

Мне не совсем понятна строчка /sbin/ipfw add nat 1 ip from 10.0.0.0/8 to not table\(10\) via rl0 , она обязательна ?

p.s.push "redirect-gateway" имеется в конфиге.

mak_v_
проходил мимо

Re: Проблема с VPN маршрутами

Непрочитанное сообщение mak_v_ » 2011-08-10 9:09:14

Для начала просто попробуйте (если у вас rl0 смотрит "в мир")

Код: Выделить всё

/sbin/ipfw add nat 1 ip from 10.0.0.0/8 to any  via rl0

Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами

Непрочитанное сообщение Demontager » 2011-08-10 11:22:03

Что-то не то, правило добавляется, но не работает, тоесть инет не появляется на клиенте:

Код: Выделить всё


free-snich# /sbin/ipfw add nat 1 ip from 10.0.0.0/8 to any  via rl0
00100 nat 1 ip from 10.0.0.0/8 to any via rl0
free-snich# ipfw show
00100   0      0 nat 1 ip from 10.0.0.0/8 to any via rl0
65535 301 133543 allow ip from any to any
Потом попробывал ещё реализовать nat с pf. Но тоже не работает, странно.

Код: Выделить всё

free-snich# cat /etc/pf.conf
nat on rl0 from 10.0.0.0/8 to any -> (rl0)

free-snich# pfctl -F all -f /etc/pf.conf
free-snich# pfctl -s nat
nat on rl0 inet from 10.0.0.0/8 to any -> (rl0) round-robin
Forward'ing включен:

Код: Выделить всё

free-snich# sysctl -a | grep net.inet.ip.forward
net.inet.ip.forwarding: 1
free-snich# sysctl -a | grep net.inet.ip.f
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet.ip.fw.static_count: 1
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 50
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.enable: 1
net.inet.ip.fragpackets: 0
free-snich# 


Demontager
ефрейтор
Сообщения: 60
Зарегистрирован: 2011-06-27 23:11:48
Откуда: Украина
Контактная информация:

Re: Проблема с VPN маршрутами (РЕШЕНО)

Непрочитанное сообщение Demontager » 2011-08-10 19:43:40

Спасибо, mak_v_ , который доработал конфиги pf.conf и некоторые проблемы копипаста в rc.conf. Пролема решена.
Чтоб заработал nat, необходимо было pf.conf привести к такому виду:

Код: Выделить всё

#/etc/pf.conf

set limit states 128000
set optimization aggressive
ext_if="rl0"
scrub in all
nat on  {$ext_if} from 10.20.30.1/24 to any  -> {$ext_if}
pass quick on lo0 all