вопрос про openvpn

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-06-29 16:22:40

помогите настроить маршрутизацию в другие подсети
есть сервер openvpn в локальной сети, к примеру ip 192.168.0.116
клиент из-вне подключается к нему и получает ip 10.8.0.6, шлюз 10.8.0.5, маска 255.255.255.252, но не видит сеть 192.168.0.0/24 ...
с сервера openvpn пингуется интерфейс 10.8.0.6, шлюз 10.8.0.5 почему то нет
с клиента пингуется 192.168.0.116, но остальные компы в сети нет.

подскажите где добавить маршруты? на роутере в сети 192.168.0.0/24
или на openvpn нужно еще настраивать iptables ???
начну по порядку...

1) клиенту выдан ip 10.8.0.6 255.255.255.252 шлюз 10.8.0.5
почему выдался ip c такой маской?
почему не пингуется основной шлюз?
конфиг сервера:

Код: Выделить всё

port 1194 

proto udp 

dev tun 

ca /etc/openvpn/keys/ca.crt 
cert /etc/openvpn/keys/linux.crt 
key /etc/openvpn/keys/linux.key 
dh /etc/openvpn/keys/dh1024.pem 

server 10.8.0.0 255.255.255.0 
ifconfig-pool-persist ipp.txt 

#сети за vpn сервером 
push "route 192.168.0.0 255.255.255.0 
push "route 192.168.22.0 255.255.255.224 
;route 10.8.0.0 255.255.255.0 
;route 192.168.0.0 255.255.255.0 

push "redirect-gateway" 

keepalive 10 120 

comp-lzo 

persist-key 
persist-tun 

status openvpn-status.log 

verb 3

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

blade_007

sysctl net.ipv4.ip_forward что показывает? Если 0 - выставить 1.

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-06-29 17:08:11

поставил, все равно с клиента шлюз его не пингуется почемуто, должен?

blade_007

фаервол есть? Если есть - просмотрите правила и добавьте соот. исключения.

LimpTeaM · Непрочитанное сообщение **LimpTeaM** » 2011-06-30 8:53:08

если я всё правильно понял, то у меня была такая же проблема.
сервер openvpn является дефолтным шлюзом в основной сети? Если да, то должно все равботать, если нет, то на нем нужно настраивать NAT из openvpn сети в обычную сеть тогда всё залетает. или использовать мост.
моя тема http://forum.lissyara.su/viewtopic.php?f=4&t=28980&

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-07-01 14:00:59

с iptables сталкиваюсь впервые, не могу разобраться? два вопроса
1) где сам конфиг iptables? (в debian по умолчанию он уже установлен)
2) как будет выглядеть правило для vpn клиента, например для доступа только в сеть
192.168.15.0/24

Код: Выделить всё

linux:~# ifconfig -a 
 eth0      Link encap:Ethernet  HWaddr 00:50:56:82:1d:ea 
           inet addr:192.168.0.116  Bcast:192.168.0.255  Mask:255.255.255.0 

 lo        Link encap:Local Loopback 
           inet addr:127.0.0.1  Mask:255.0.0.0 

 tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
           inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255

LimpTeaM

alexkg1 писал(а):с iptables сталкиваюсь впервые, не могу разобраться? два вопроса
1) где сам конфиг iptables? (в debian по умолчанию он уже установлен)
2) как будет выглядеть правило для vpn клиента, например для доступа только в сеть
192.168.15.0/24
Код: Выделить всё
linux:~# ifconfig -a 
 eth0      Link encap:Ethernet  HWaddr 00:50:56:82:1d:ea 
           inet addr:192.168.0.116  Bcast:192.168.0.255  Mask:255.255.255.0 

 lo        Link encap:Local Loopback 
           inet addr:127.0.0.1  Mask:255.0.0.0 

 tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
           inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255

я делал на фре. поэтому тут с фаером не подскажу.

Код: Выделить всё

map eth0 from 10.8.0.0/24 to any -> 192.168.0.116

это правильно подойдет тебе для ipnat на фре. а вот как с iptables я хз.

наверное как-то так:

Код: Выделить всё

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-07-04 8:16:32

спасибо огромное за ответы! разобрался почти
не могу правильно настроить FORWARD, если ставишь ACCEPT для всех, то работает
а мне нужно только для одной сети сделать... Посмотрите пжст где ошибка
Получился вот такой конфиг:

Код: Выделить всё

#!/bin/bash
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-07-04 9:18:24

исправил:
исправил, однако проблема таже сеть 192.168.0.0/24 недоступна.
да кстати если для обратного пути вместо 10.8.0.0/24 ставишь tun0 почему то пишет:

Код: Выделить всё

linux:~# /etc/init.d/netfilter restart
iptables v1.4.2: host/network `tun0' not found

если раскоментировать строку #iptables -P FORWARD ACCEPT то все сети доступны, а мне нужна только одна

Код: Выделить всё

#!/bin/bash
iptables -F INPUT 
iptables -F OUTPUT
iptables -F FORWARD
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT 
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#iptables -P FORWARD ACCEPT
iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

LimpTeaM

я синтаксиса iptables незнаю, но помойму у тебя нету тут ната...

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-07-04 10:49:07

спасибо, заработало!
nat мне не нужен

alexkg1 · Непрочитанное сообщение **alexkg1** » 2011-07-06 12:56:27

возник другой вопрос, относительно безопастности этого сервера
сгенерированными сертификатами можно подключиться из любого места где есть выход в интернет, просто скопировав их и конф. файл.
Как можно сделать чтобы впн подключался только с одного компьютера, чтобы пользователи не смогли подключиться например из дома.
Пробывал привязать к имени компьютера(делал по имени компьютера и Common Name указал имя), не получилось.
Есть какие-то мысли или может кто уже делал?

mak_v_ · Непрочитанное сообщение **mak_v_** » 2011-08-04 11:05:23

фаервол с правилами откуда можно коннектиться вам поможет.

forum.lissyara.su

вопрос про openvpn

вопрос про openvpn

Услуги хостинговой компании Host-Food.ru

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn

Re: вопрос про openvpn