free7.3 + IPsec+nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-12 21:02:51

Spook1680 писал(а):Интерфейс поднял. ) косяк

Код: Выделить всё

client
#client-to-client
у меня был стояло client4 не обратил на эту пакость внимания.
сейчас ifconfig

Код: Выделить всё


tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	inet 10.20.40.10 --> 10.20.40.9 netmask 0xffffffff 
	Opened by PID 95721
Только что получаетс?! Пока клиент не подключится к серверу openvpn на стороне клиента интерфейс tun не появится?
Лис спасибо за помощь. :drinks:
Пожалуйста...
Только я не Лис) Лис это Лисяра! А я fox)
Да пребудет с нами сила!!!
Всех убью, один останусь!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-15 2:05:27

fox писал(а):
Spook1680 писал(а):вот еще касяк, но не пойму где рыть?
/var/log/openvpn/openvpn.log

Код: Выделить всё

Options error: --client-to-client requires --mode server
Use --help for more information.

Читать до просветления:
http://www.lissyara.su/doc/man/safety/openvpn/
просто я не помню деталий...
tun не появился вот это уже загадка...
Как вариант попробовать tap но это надо с обоих строн настраивать!
Лис Плиз мож подать идею где может быть загвоздка.
Центр офис и филиал по openvpn работают проблем нет. ДОБОВЛЯЮ 2 филиал.
Получается уже схема глав офис +2 филиала.
Из глав. офиса не видно сетку 2 филиала ping не идет. 192.168.1.1 - адрес шлюза второго филиала.

Код: Выделить всё

/usr/local/etc/openvpn/ccd/>ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
^C
--- 192.168.1.1 ping statistics ---
8 packets transmitted, 0 packets received, 100.0% packet loss
/usr/local/etc/openvpn/ccd/>

А вот виртуальные адреса пингуются
ifconfig - сервер главного офиса
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.20.30.1 --> 10.20.30.2 netmask 0xffffffff
Opened by PID 41823
/usr/local/etc/openvpn/ccd/>
Пингуем добавленный филиал
/usr/local/etc/openvpn/ccd/>ping 10.20.30.6
PING 10.20.30.6 (10.20.30.6): 56 data bytes
64 bytes from 10.20.30.6: icmp_seq=0 ttl=64 time=4.626 ms
64 bytes from 10.20.30.6: icmp_seq=1 ttl=64 time=4.484 ms
64 bytes from 10.20.30.6: icmp_seq=2 ttl=64 time=4.395 ms
64 bytes from 10.20.30.6: icmp_seq=3 ttl=64 time=4.406 ms
64 bytes from 10.20.30.6: icmp_seq=4 ttl=64 time=4.582 ms
64 bytes from 10.20.30.6: icmp_seq=5 ttl=64 time=4.372 ms
^C
--- 10.20.30.6 ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 4.372/4.478/4.626/0.097 ms
/usr/local/etc/openvpn/ccd/>
Конфиг Сервера
192.168.0.0 локалка сервера
openvpn.conf

Код: Выделить всё

ort 1194
proto tcp
dev tun0
keepalive 20 240
server 10.20.30.0 255.255.255.0
push "route 10.20.30.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd /usr/local/etc/openvpn/ccd/
route 10.20.30.0 255.255.255.252
route 192.168.5.0 255.255.255.0
route 192.168.1.0 255.255.255.0
client-to-client
ca /usr/openvpn/keys/ca.crt
cert /usr/openvpn/keys/server.crt
key /usr/openvpn/keys/server.key
dh /usr/openvpn/keys/dh1024.pem
tls-server
keepalive 10 120
tls-auth /usr/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
persist-key
persist-tun
user nobody
group nobody
comp-lzo
max-clients 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 10
настройка
client-config-dir ccd /usr/local/etc/openvpn/ccd/

Код: Выделить всё

push "route 192.168.0.0 255.255.255.0"
iroute 192.168.1.0 255.255.255.0
Причем из этого филиала без проблем пингую шлюз главного офиса и локальную сетку
Пинг из филиала одной из машин главного офиса

Код: Выделить всё

UNISAW# ping 192.168.0.60
PING 192.168.0.60 (192.168.0.60): 56 data bytes
64 bytes from 192.168.0.60: icmp_seq=0 ttl=63 time=4.878 ms
64 bytes from 192.168.0.60: icmp_seq=1 ttl=63 time=4.553 ms
64 bytes from 192.168.0.60: icmp_seq=2 ttl=63 time=4.620 ms
64 bytes from 192.168.0.60: icmp_seq=3 ttl=63 time=4.781 ms
64 bytes from 192.168.0.60: icmp_seq=4 ttl=63 time=4.524 ms
64 bytes from 192.168.0.60: icmp_seq=5 ttl=63 time=4.466 ms
64 bytes from 192.168.0.60: icmp_seq=6 ttl=63 time=4.550 ms
64 bytes from 192.168.0.60: icmp_seq=7 ttl=63 time=4.544 ms
64 bytes from 192.168.0.60: icmp_seq=8 ttl=63 time=4.729 ms
^C
--- 192.168.0.60 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 4.466/4.627/4.878/0.130 ms
UNISAW# 

Возможно что-то упущено в конфигурации сервера?! и он не предусмотрен для работы с двумя филиалами(клиентами)???

Настройки firewall сервера перепроверял но косяков не вижу.
${fwcmd} add 100 allow ip from any to any via tun0
${fwcmd} add 101 allow tcp from any to ${oip} 1194 in via ${oif}
${fwcmd} add 102 allow ip from 10.20.30.0/24 to ${inet} out via ${iif}
${fwcmd} add 103 allow ip from ${inet} to 10.20.30.0/24 in via ${iif}
${fwcmd} add 104 allow log ip from 192.168.1.0/24 to ${inet} out via ${iif}
${fwcmd} add 105 allow log ip from ${inet} to 192.168.1.0/24 in via ${iif}
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-15 3:15:25

Таблицы маршрутов всех офисов:
netstat -rn
Предьявить...
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-15 11:04:23

fox писал(а):Таблицы маршрутов всех офисов:
netstat -rn
Предьявить...
fox вот данные.
Филиал который работает нормально )) (client4)
91.... - адрес белый филиала
netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
0.0.0.0/32 127.0.0.1 UGSB 0 0 lo0 =>
default 91. UGS 0 2085083 fxp0
10.20.30.0/24 10.20.30.9 UGS 0 0 tun0
10.20.30.9 10.20.30.10 UH 2 0 tun0
91./29 link#2 UC 0 0 fxp0
91. 00:11:93:1b:60:1a UHLW 2 0 fxp0 181
127.0.0.1 127.0.0.1 UH 1 374 lo0
192.168.0.0/24 10.20.30.9 UGS 0 4 tun0
192.168.5.0/24 link#1 UC 0 0 stge0
192.168.5.1 00:18:f3:5a:a4:7d UHLW 1 16 lo0

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
ff01:4::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
NOVOSIB#
client - Филиал второй (добавленый) могу пингануть любой комп в центральном офисе.
194. - адрес выдаваемы провайдером

netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 194. UGS 0 16343341 fxp0
10.20.30.0/24 10.20.30.5 UGS 0 6 tun0
10.20.30.5 10.20.30.6 UH 2 0 tun0
127.0.0.1 127.0.0.1 UH 0 15029 lo0
192.168.0.0/24 10.20.30.5 UGS 0 17 tun0
192.168.1.0/24 link#1 UC 0 0 sk0
192.168.1.1 00:19:5b:86:3b:c6 UHLW 1 30 lo0
192.168.1.42 00:17:9a:ad:35:fd UHLW 1 3 sk0 303
192.168.1.255 ff:ff:ff:ff:ff:ff UHLWb 1 5329 sk0
194./28 link#2 UC 0 0 fxp0
194. 00:80:48:2d:f5:90 UHLW 2 0 fxp0 1186

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
ff01:4::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
UNISAW#

Главный офис
77-ip белый централь офиса

Вот отсюда я пингую 10.20.30.6 и все пучтокм но не могу пингануть
192.168.1.1 (филиал второй - client)
netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 77. UGS 1 9128431 stge0
10.20.30.0/30 10.20.30.2 UGS 0 0 tun0 =>
10.20.30.0/24 10.20.30.2 UGS 0 15 tun0
10.20.30.2 10.20.30.1 UH 4 0 tun0
77. link#1 UC 0 0 stge0
77. 00:17:95:42:0a:f8 UHLW 2 0 stge0 1158
127.0.0.1 127.0.0.1 UH 0 38983 lo0
192.168.0.0/24 link#3 UC 0 0 nfe0
192.168.0.2 00:15:17:0f:22:c9 UHLW 1 51169018 nfe0 1197
192.168.0.5 00:17:31:1a:9e:fa UHLW 1 4141 nfe0 1198
192.168.0.229 00:1b:fc:31:df:e7 UHLW 1 101 nfe0 1195
192.168.0.236 e0:cb:4e:e7:9d:86 UHLW 1 422 nfe0 1199
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 1 738 nfe0
192.168.1.0/24 10.20.30.2 UGS 0 11 tun0
192.168.5.0/24 10.20.30.2 UGS 0 0 tun0

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#5 UHL lo0
ff01:5::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-15 13:07:42

Значет я понимаю со стороны клиентов всё хорошо, а со стороны главного офиса не очень?
В ручную route правили?
И пожалуйста когда выкладываете логи или конфиги используйте тег code а не каменты...
Распишите какой сигмент к кому относится:
192.168.0.0/24
192.168.1.1/24
192.168.5.0/24
10.20.30.0/24

Виртуальные ip распешите...
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-15 13:45:49

fox писал(а):Значет я понимаю со стороны клиентов всё хорошо, а со стороны главного офиса не очень?
В ручную route правили?
И пожалуйста когда выкладываете логи или конфиги используйте тег code а не каменты...
Распишите какой сигмент к кому относится:
192.168.0.0/24
192.168.1.1/24
192.168.5.0/24
10.20.30.0/24

Виртуальные ip распешите...
Да со стороны клиентов все ок. А вот с главного офиса не так- не видит 192.168.1.0/24 сетку филиала
В ручную не правил route

Код: Выделить всё

192.168.0.0/24 Главный офис локальная сетка
192.168.1.1/24 Филиал (2й который добавил в openvpn он идет ка к clietn его я из главного офиса пингануть не могу)
192.168.5.0/24 Филиал (с этим все ок. я его пингую и он меня)
10.20.30.0/24 сетка VPN 
Локальная сеть проблемного офиса

Код: Выделить всё

192.168.1.0/24
Его же VPN адрес  (его вижу нормально из главного офиса)

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	inet 10.20.30.6 --> 10.20.30.5 netmask 0xffffffff 
	Opened by PID 54760
Филиал с которым нет проблем)

Код: Выделить всё

192.168.5.0/24
VPN 10.20.30.10 --> 10.20.30.9
Главный офис

Код: Выделить всё

192.168.0.0/24
VPN
10.20.30.1 --> 10.20.30.2
VPN адреса назначаются автоматом.


Я пробовал с конфигом openvpn.conf изменять одну строку.
Если в настройках сервера openvpn коментю строку Проблемного филиала #route 192.168.1.0 255.255.255.0

Код: Выделить всё

ort 1194
proto tcp
dev tun0
keepalive 20 240
server 10.20.30.0 255.255.255.0
push "route 10.20.30.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd /usr/local/etc/openvpn/ccd/
route 10.20.30.0 255.255.255.252
route 192.168.5.0 255.255.255.0
[b]#route 192.168.1.0 255.255.255.0[/b]
То сразу тогда вижу ping из главного офиса в шлюз филиала
из 192.168.0.102 (шлюз главного офиса) в шлюз второго добавленого филиала 192.168.1.1
НО ТОЛЬКО ШЛЮЗЫ сетку полностью 192.168.1.0/24 (филиала) не вижу.

Насколько я понимаю эта страка #route 192.168.1.0 255.255.255.0 полюбому должна быть в конфигурацие openvpn сервера почему тогда с ней пинг вобще проподает
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-15 14:36:22

Возможное решение из ссылки:

http://www.lissyara.su/doc/man/safety/openvpn/
# Чтобы назначить специфический IP адрес
# специфическому клиенты или если за клиентом
# располагается подсеть, которая тоже использует эту VPN,
# используйте поддиректирию "ccd" для хранения специфических
# файлов конфигурации клиентов (смотри man для получения
# дополнительой информации).

# ПРИМЕР: Допустим клиент
# имеент сертификат с именем "Thelonious",
# а также имеет за собой небольшую подсеть из
# машин с адресами, например 192.168.40.128/255.255.255.248.
# Сначала раскоментируйте эти строки:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Затем создайте файл ccd/Thelonious со следующей строкой:
# iroute 192.168.40.128 255.255.255.248
# Это разрешить подсети 'Thelonious'
# доступ к VPN. Этот пример будет работать только
# если у вас режим роутера, но не моста, т.е. вы
# используете директивы "dev tun" и "server".
P.S. В любом случае у Вас проблема с маршрутами, либо для эксперемента можно в проблемном филиале в ручную добавить информацию о сети главного офиса!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-16 13:05:51

fox писал(а):Возможное решение из ссылки:

http://www.lissyara.su/doc/man/safety/openvpn/
# Чтобы назначить специфический IP адрес
# специфическому клиенты или если за клиентом
# располагается подсеть, которая тоже использует эту VPN,
# используйте поддиректирию "ccd" для хранения специфических
# файлов конфигурации клиентов (смотри man для получения
# дополнительой информации).

# ПРИМЕР: Допустим клиент
# имеент сертификат с именем "Thelonious",
# а также имеет за собой небольшую подсеть из
# машин с адресами, например 192.168.40.128/255.255.255.248.
# Сначала раскоментируйте эти строки:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Затем создайте файл ccd/Thelonious со следующей строкой:
# iroute 192.168.40.128 255.255.255.248
# Это разрешить подсети 'Thelonious'
# доступ к VPN. Этот пример будет работать только
# если у вас режим роутера, но не моста, т.е. вы
# используете директивы "dev tun" и "server".
P.S. В любом случае у Вас проблема с маршрутами, либо для эксперемента можно в проблемном филиале в ручную добавить информацию о сети главного офиса!
ОК. Спасибо попробую покумекать. (То что указано у вас в цитате я уже делал это не помогло).
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-16 15:12:01

В ручную попробуйте маршруты на втором клиенте поправить route add ... знаете эти команды?
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-16 17:10:09

fox писал(а):В ручную попробуйте маршруты на втором клиенте поправить route add ... знаете эти команды?
Fox добрый вечер.
Я вот с маршрутами на сервере разбираюсь )) думаю что все зло там сидит.
Ведь второй клиент у меня сервер и так видит и сетку относящуюся к серверу.
Значит как вы и говорили ранее надо рыть в маршрутах сервака.
Вот меня вот это смущает.
netstat -rn сервера
Почему на сервере две строчки
10.20.30.0/30
10.20.30.0/24

Код: Выделить всё

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            77.                       UGS         0  1118562  stge0
10.20.30.0/30      10.20.30.2         UGS         0        0   tun0 =>
10.20.30.0/24      10.20.30.2         UGS         0       25   tun0
10.20.30.2         10.20.30.1         UH          4        0   tun0
77.                  /29   link#1             UC          0        0  stge0
77.                   00:17:95:42:0a:f8  UHLW        2        0  stge0    939
127.0.0.1          127.0.0.1          UH          0     4183    lo0
192.168.0.0/24     link#3             UC          0        0   nfe0
192.168.0.2        00:15:17:0f:22:c9  UHLW        1  1869164   nfe0   1161
192.168.0.247      54:42:49:76:1f:4b  UHLW        1    42019   nfe0   1196
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1      300   nfe0
192.168.1.0/24     10.20.30.2         UGS         0        4   tun0
192.168.5.0/24     10.20.30.2         UGS         0        7   tun0
192.168.1.0/24 10.20.30.2 UGS 0 4 tun0 - тут все пучком сетка филиала идет на шлюз vpn устройство tun0
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-16 17:21:42

Попробуйте удалить строку которая Вас смущает! Но я смотрел у меня так же на сервере но у меня один клиент...
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-16 22:21:45

fox писал(а):Попробуйте удалить строку которая Вас смущает! Но я смотрел у меня так же на сервере но у меня один клиент...
Да вы правы, эта строчка не придела)) и сетуацию не поменяла.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-16 22:27:55

Spook1680 писал(а):
fox писал(а):Попробуйте удалить строку которая Вас смущает! Но я смотрел у меня так же на сервере но у меня один клиент...
Да вы правы, эта строчка не придела)) и сетуацию не поменяла.
Со стороны клиента копайте, второго...
Там я уверен загадка кроется, проверте маршрутизацию на худой конец сверте с первым филиалом, или отключите первый филиал проверти второй в одиночку, проверте правила фаервола на втором филиале!
Зделайте трасировку глянте куда пакеты пытаются идти...
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-17 16:39:43

fox писал(а):
Spook1680 писал(а):
fox писал(а):Попробуйте удалить строку которая Вас смущает! Но я смотрел у меня так же на сервере но у меня один клиент...
Да вы правы, эта строчка не придела)) и сетуацию не поменяла.
Со стороны клиента копайте, второго...
Там я уверен загадка кроется, проверте маршрутизацию на худой конец сверте с первым филиалом, или отключите первый филиал проверти второй в одиночку, проверте правила фаервола на втором филиале!
Зделайте трасировку глянте куда пакеты пытаются идти...
Выкраил время)). вот пока нарыл такую пакасть.
Для начала вырубил вобще первый филиал. Но фигня таже.
Далее делаю пинг из главного офиса сетку локальную второго филиала

Код: Выделить всё

>ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes

Смотреим что у меня в филиале 2м. показывает tcpmdump

Код: Выделить всё

tcpdump -i tun0 icmp
А в ответ тишина.((

Тогда делаю следующее у себя на серваке.
Пингую опять же 2й филиал и смотрю tcpdump -i tun0 icmp уже на сервере.

Код: Выделить всё

ha/>tcpdump -i tun0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
16:32:54.033501 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 3, length 64
16:32:55.034505 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 4, length 64
16:32:56.035512 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 5, length 64
16:32:57.037299 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 6, length 64
16:32:58.040566 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 7, length 64
16:32:59.043286 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 8, length 64
16:33:00.046297 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 9, length 64
16:33:01.049280 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 10, length 64
16:33:02.052254 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 11, length 64
16:33:03.055272 IP 10.20.30.1 > 192.168.1.1: ICMP echo request, id 30701, seq 12, length 64
^C
10 packets captured
11 packets received by filter
0 packets dropped by kernel
отсюда видно что запросы с сервака идут ) а в ответ тишина.).
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-17 17:02:22

Правильно, потому что клиент впн офиса намбер ТУ, не знает о существовании данного маршрута...
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-17 17:18:32

fox писал(а):Правильно, потому что клиент впн офиса намбер ТУ, не знает о существовании данного маршрута...
Вроде нигде ошибки нет.
вот настройки второго филиала ( client)
/usr/local/etc/openvpn/ccd

Код: Выделить всё

push "route 192.168.0.0 255.255.255.0"
iroute 192.168.1.0 255.255.255.0
где 192.168.0.0 это сетка локальная сервера
192.168.1.0 - локальная сетка (второго филиала).

Лезу перепроверять настройки сервера
openvpn.conf

Код: Выделить всё

proto tcp
dev tun0
keepalive 20 240
server 10.20.30.0 255.255.255.0
push "route 10.20.30.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd /usr/local/etc/openvpn/ccd/
route 10.20.30.0 255.255.255.0
route 192.168.5.0 255.255.255.0
route 192.168.1.0 255.255.255.0
#client-to-client
ca /usr/openvpn/keys/ca.crt
cert /usr/openvpn/keys/server.crt
key /usr/openvpn/keys/server.key
dh /usr/openvpn/keys/dh1024.pem
tls-server
keepalive 10 120
tls-auth /usr/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
persist-key
persist-tun
user nobody
group nobody
#comp-lzo
max-clients 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 10
route 192.168.1.0 255.255.255.0 сетка сервер -филиал указана. Типа openvpn сервер должен видтеть что за сеть в втором филиале.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-17 22:03:48

У меня был тяжёлый день думать сложно...
Могу подкинуть идею:
если с первым фелиалом всё гуд! Тогда сравните конфиги фаерволы ровтер таблицы между двумя филиалами найдите различие в чём либо!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: free7.3 + IPsec+nat

Непрочитанное сообщение Spook1680 » 2011-01-19 8:21:04

fox писал(а):У меня был тяжёлый день думать сложно...
Могу подкинуть идею:
если с первым фелиалом всё гуд! Тогда сравните конфиги фаерволы ровтер таблицы между двумя филиалами найдите различие в чём либо!
fox За помощь спасибо/
Ошибка была там где и не ожидал ее)/
Проблема оказалась не в маршрутах и фаэрволе во втором филиале/ А в ключах/Сгенерил новые ключики/
Только с новыми ключами сервер стал видеть филиал и пошел пинг на локальную сетку второго филиала/ :"":
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: free7.3 + IPsec+nat

Непрочитанное сообщение fox » 2011-01-19 12:16:46

Замечательно) победили траблу!
Поздравляю!)
Да пребудет с нами сила!!!
Всех убью, один останусь!