[openvpn] не видна сеть за сервером

[LimpTeaM]

Здравствуйте, уважаемые гуру! Сеовсем я запутался в настройках и уже бьюсь не первый день с openvpn.
Схема такая: opevpn сервер (192.168.50.0), ae0 (192.168.0.90)-роутер длинк(192.168.0.1)(внешний ип)- удаленный клиент (через кучу разных сетей) получает ип 192.168.50.10
конфиг сервера

Код: Выделить всё

port 8303

proto udp

dev tun0

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
#crl-verify /usr/local/etc/openvpn/crl.pem

server 192.168.50.0 255.255.255.0
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option DNS 192.168.0.90"
push "dhcp-option WINS 192.168.0.1"

push "route 192.168.0.0 255.255.255.0"
push "route 192.168.50.0 255.255.255.252"
#push "route 192.168.51.0 255.255.255.0"

client-config-dir ccd

route 192.168.50.0 255.255.255.0
route 192.168.0.0 255.255.255.0

push "redirect-gateway def1"
client-to-client
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth SHA1
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

Код: Выделить всё

sysctl -a net.inet.ip.forwarding
net.inet.ip.forwarding: 1

ccd

Код: Выделить всё

ifconfig-push 192.168.50.10 192.168.50.9
iroute 192.168.51.0
push "route 192.168.0.0 255.255.255.0

Что происходит: клиент коннектится нормально, получает адрес из ccd прописывает дефолтный маршрут на впн сервер.
пинги
192.168.0.90 пингуется (внешняя карта сервера см.выше)
192.168.50.1 тоже пингуется. шары всякие видны, но
192.168.0.1 - не пингуется хоть тресни и соотвественно дальше вся локалка тоже.

по трассировке видно такое (пишу по памяти потому как гладиолус дома) от клиента:
1. хоп 192.168.50.1
2. хоп 192.168.0.1
3. * * * * * * * * * * * *
и всё на этом заканчивается.
так же пробовал поднять НАТ на pf

Код: Выделить всё

# TUN (Виртуальный интерфейс OpenVPN 10.10.100.1)
ext_if_ovpn="tun0"

# Виртуальная подсеть OpenVPN
vpnhost_table="{192.168.50.0/24}"

# Подсети Филиалов
filials_subnet="{192.168.0.0/24}"

# Для того что бы из подсети могли ходить друг на друга
nat pass on $ext_if_ovpn from $vpnhost_table to $filials_subnet -> ($ext_if_ovpn)

тоже не помогло. возможно конфиг не правильный но было много попыток сделать верный и все равно не заработал.

Есть еще один казус: после коннекта, клиент пингует всё, что хочет внутри впн локалки 192.168.50.0, нно вот сервер клиента пингануть никак не может. Клиент под windows 7.
опять же пробовал писать в ccd разные маршруты в iroute но толку от этого не прибавилось. кручу опенвпн первый раз и прям встрял с этой проблемой...
обгуглил всю гуглю, вижу я такой не единственный, но пути решения других людей мне не помогают

Прошу помощи у населения этого форума всея сети.
Заранее благодарен за любой намек в правильную сторону потому как перерыл кучу маршрутов и не один не помогает
вижу чо проблема в маршрутизации, но где именно не врублюсь....

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

помогает таблица маршрутизации

[LimpTeaM]

помогает таблица маршрутизации

к сожалению показать её смогу только вечером

netstat -rn на сервере без подключения клиента

Код: Выделить всё

 netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS      2130   676238    ae0
127.0.0.1          link#3             UH          0     1241    lo0
192.168.0.0/24     link#1             U           0     2097    ae0
192.168.0.90       link#1             UHS         0        0    lo0
192.168.50.0/24    192.168.50.2       UGS         0       22   tun0
192.168.50.1       link#4             UHS         0        0    lo0
192.168.50.2       link#4             UH          0        0   tun0
192.168.51.0/24    192.168.50.2       UGS         0       27   tun0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

на клиенте покажу только вечером. но там вроде как надо все идёт как надо в интерфейс 192.168.50.9.
кстати ну и соотвественно, при подключения клиент теряет связь с инетом, ну что в принципе логично...

[LimpTeaM]

дошел до компа...
итак. клиент подключается....

Код: Выделить всё

Tue Oct 12 20:37:27 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Oct 12 20:37:27 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Oct 12 20:37:27 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 12 20:37:27 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 12 20:37:27 2010 LZO compression initialized
Tue Oct 12 20:37:27 2010 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Oct 12 20:37:27 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Oct 12 20:37:27 2010 Local Options hash (VER=V4): '504e774e'
Tue Oct 12 20:37:27 2010 Expected Remote Options hash (VER=V4): '14168603'
Tue Oct 12 20:37:27 2010 UDPv4 link local (bound): [undef]:8303
Tue Oct 12 20:37:27 2010 UDPv4 link remote: 1.2.3.4:8303
Tue Oct 12 20:37:27 2010 TLS: Initial packet from 1.2.3.4:8303, sid=e73295ab 85e61138
Tue Oct 12 20:37:27 2010 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=limp/OU=team/CN=limpteam/name=LimpTeaM/emailAddress=
Tue Oct 12 20:37:27 2010 VERIFY OK: nsCertType=SERVER
Tue Oct 12 20:37:27 2010 VERIFY OK: depth=0, /C=RU/ST=MSK/L=MSK/O=MSK/OU=limp/CN=server/name=server/emailAddress=
Tue Oct 12 20:37:27 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 12 20:37:27 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 12 20:37:27 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 12 20:37:27 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 12 20:37:27 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Oct 12 20:37:27 2010 [server] Peer Connection Initiated with 1.2.3.4:8303
Tue Oct 12 20:37:29 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Oct 12 20:37:29 2010 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,route 192.168.50.0 255.255.255.0,redirect-gateway def1,route 192.168.50.0 255.255.255.0,topology net30,ping 10,ping-restart 120,route 192.168.0.0 255.255.255.0,ifconfig 192.168.50.10 192.168.50.9'
Tue Oct 12 20:37:29 2010 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: topology (2.0.9)
Tue Oct 12 20:37:29 2010 OPTIONS IMPORT: timers and/or timeouts modified
Tue Oct 12 20:37:29 2010 OPTIONS IMPORT: --ifconfig/up options modified
Tue Oct 12 20:37:29 2010 OPTIONS IMPORT: route options modified
Tue Oct 12 20:37:29 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Oct 12 20:37:29 2010 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{33038F2A-C8C1-4BA9-93CC-9A5A017C4606}.tap
Tue Oct 12 20:37:29 2010 TAP-Win32 Driver Version 8.4 
Tue Oct 12 20:37:29 2010 TAP-Win32 MTU=1500
Tue Oct 12 20:37:29 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.50.10/255.255.255.252 on interface {33038F2A-C8C1-4BA9-93CC-9A5A017C4606} [DHCP-serv: 192.168.50.9, lease-time: 31536000]
Tue Oct 12 20:37:29 2010 Successful ARP Flush on interface [17] {33038F2A-C8C1-4BA9-93CC-9A5A017C4606}
Tue Oct 12 20:37:31 2010 TEST ROUTES: 4/4 succeeded len=3 ret=1 a=0 u/d=up
Tue Oct 12 20:37:31 2010 route ADD 1.2.3.4 MASK 255.255.255.255 192.168.51.1
 ЋЉ
Tue Oct 12 20:37:31 2010 route ADD 0.0.0.0 MASK 128.0.0.0 192.168.50.9
 ЋЉ
Tue Oct 12 20:37:31 2010 route ADD 128.0.0.0 MASK 128.0.0.0 192.168.50.9
 ЋЉ
Tue Oct 12 20:37:31 2010 route ADD 192.168.50.0 MASK 255.255.255.0 192.168.50.9
 ЋЉ
Tue Oct 12 20:37:31 2010 route ADD 192.168.50.0 MASK 255.255.255.0 192.168.50.9
‘Ў®© ¤®Ў ў«Ґ­Ёп ¬ аиагв : ќв®в ®ЎкҐЄв 㦥 бгйҐбвўгҐв.
Tue Oct 12 20:37:31 2010 route ADD 192.168.0.0 MASK 255.255.255.0 192.168.50.9
 ЋЉ
Tue Oct 12 20:37:31 2010 Initialization Sequence Completed

route print на клиенте

Код: Выделить всё

Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\limp>route print
===========================================================================
Список интерфейсов
 19...00 1f 3a 12 d9 60 ......Microsoft Virtual WiFi Miniport Adapter
 17...00 ff 33 03 8f 2a ......TAP-Win32 Adapter V8
 16...00 ff b7 c3 18 6b ......TAP-Win32 Adapter OAS
 14...00 1e 4c e2 97 9d ......Устройства Bluetooth (личной сети)
 12...00 1f 3a 12 d9 60 ......Dell Wireless 1490 Dual Band WLAN Mini-Card
 11...00 1d 09 3d 94 4b ......Marvell Yukon 88E8040 PCI-E Fast Ethernet Controll
er
  1...........................Software Loopback Interface 1
 23...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 24...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 41...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 20...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 21...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
 22...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.51.1     192.168.51.3    286
          0.0.0.0        128.0.0.0     192.168.50.9   169.254.153.31     31
    1.2.3.4  255.255.255.255     192.168.51.1     192.168.51.3     31
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0     192.168.50.9   169.254.153.31     31
      169.254.0.0      255.255.0.0         On-link    169.254.153.31    286
      169.254.0.0      255.255.0.0         On-link      192.168.51.3     30
   169.254.153.31  255.255.255.255         On-link    169.254.153.31    286
  169.254.255.255  255.255.255.255         On-link    169.254.153.31    286
  169.254.255.255  255.255.255.255         On-link      192.168.51.3    286
      192.168.0.0    255.255.255.0     192.168.50.9   169.254.153.31     31
     192.168.50.0    255.255.255.0     192.168.50.9   169.254.153.31     31
     192.168.51.0    255.255.255.0         On-link      192.168.51.3    286
     192.168.51.3  255.255.255.255         On-link      192.168.51.3    286
   192.168.51.255  255.255.255.255         On-link      192.168.51.3    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.51.3    286
        224.0.0.0        240.0.0.0         On-link    169.254.153.31    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.51.3    286
  255.255.255.255  255.255.255.255         On-link    169.254.153.31    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     192.168.51.1  По умолчанию
===========================================================================



C:\Users\limp>

netstat -rn на сервере:

Код: Выделить всё

 netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS      2439   782160    ae0
127.0.0.1          link#3             UH          0     1520    lo0
192.168.0.0/24     link#1             U           1     2426    ae0
192.168.0.90       link#1             UHS         0        0    lo0
192.168.50.0/24    192.168.50.2       UGS         0       11   tun0
192.168.50.1       link#4             UHS         0        0    lo0
192.168.50.2       link#4             UH          0        0   tun0

НАТ отключен

хелп ми плиз

[LimpTeaM]

трассировка с клиента (почему то не смог добавить к тому посту)

Код: Выделить всё

Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\limp>tracert -d ya.ru

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  192.168.50.1
  2     2 ms     2 ms     2 ms  192.168.0.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *     ^C
C:\Users\limp>

[LimpTeaM]

поставил новую версию клиента он начал такое писать(конфиги немного видо изменял, но суть тажа):

Код: Выделить всё

Tue Oct 12 21:07:37 2010 C:\WINDOWS\system32\route.exe ADD 1.2.3.4 MASK 255.255.255.255 192.168.51.1
 ЋЉ
Tue Oct 12 21:07:37 2010 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.51.1
 ЋЉ
Tue Oct 12 21:07:37 2010 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.50.9
 ЋЉ
Tue Oct 12 21:07:37 2010 WARNING: potential route subnet conflict between local LAN [192.168.50.8/255.255.255.252] and remote VPN [192.168.50.0/255.255.255.0]
Tue Oct 12 21:07:37 2010 C:\WINDOWS\system32\route.exe ADD 192.168.50.0 MASK 255.255.255.0 192.168.50.9
 ЋЉ
Tue Oct 12 21:07:37 2010 WARNING: potential route subnet conflict between local LAN [192.168.50.8/255.255.255.252] and remote VPN [192.168.50.0/255.255.255.0]
Tue Oct 12 21:07:37 2010 C:\WINDOWS\system32\route.exe ADD 192.168.50.0 MASK 255.255.255.0 192.168.50.9
‘Ў®© ¤®Ў ў«Ґ­Ёп ¬ аиагв : ќв®в ®ЎкҐЄв 㦥 бгйҐбвўгҐв.
Tue Oct 12 21:07:37 2010 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.50.9
 ЋЉ
Tue Oct 12 21:07:37 2010 Initialization Sequence Completed
Tue Oct 12 21:09:57 2010 TCP/UDP: Closing socket
Tue Oct 12 21:09:57 2010 C:\WINDOWS\system32\route.exe DELETE 192.168.0.0 MASK 255.255.255.0 192.168.50.9
 ЋЉ
Tue Oct 12 21:09:57 2010 C:\WINDOWS\system32\route.exe DELETE 192.168.50.0 MASK 255.255.255.0 192.168.50.9
 ЋЉ
Tue Oct 12 21:09:57 2010 C:\WINDOWS\system32\route.exe DELETE 192.168.50.0 MASK 255.255.255.0 192.168.50.9
‘Ў®© г¤ «Ґ­Ёп ¬ аиагв : ќ«Ґ¬Ґ­в ­Ґ ­ ©¤Ґ­.
Tue Oct 12 21:09:57 2010 C:\WINDOWS\system32\route.exe DELETE 1.2.3.4 MASK 255.255.255.255 192.168.51.1
 ЋЉ
Tue Oct 12 21:09:57 2010 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.50.9
 ЋЉ
Tue Oct 12 21:09:57 2010 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.51.1
 ЋЉ
Tue Oct 12 21:09:57 2010 Closing TUN/TAP interface
Tue Oct 12 21:09:57 2010 SIGTERM[hard,] received, process exiting

я так понимаю что в данном случае эти варнинги не критичны?

[LimpTeaM]

все сам разобрался. вообще в принципе я изначально криво нат настроил (надо же ошибиться в одной строчке....)
сейчас поднял нат на ipnat с такой строчкой
/etc/ipnat.conf
map ae0 from 192.168.50.0/24 to any -> 192.168.0.90/32

ipnat -f /etc/ipnat.conf
всё забегало

[LimpTeaM]

эм. появился другой вопрос...
попробовал тоже самое сделать без ната... не работает однако. условия теже
единственное что роут делаю такой:

Код: Выделить всё

route 192.168.0.0 255.255.255.0 192.168.0.90

и ничего...т.е. становится абсолютно не видна сеть за сервером...

[LimpTeaM]

ап. проблема так и не решена
из-за чего может еще проходить пакет от клиента до сервера, но не пере направляться на другой интерфейс? с натом все замечательно работает. без ната нифига не работает. даже если прописывать статический маршрут на клиенте. подозреваю дело дело в сервере. потмоу как все трассировки кончаются именно на шлюзе опенвпн сервера и дальше никуда не идут...как попасть из сети опенвпн-сервера на другой сетевой интерфейс компа?
з.ы. сервер openvpn не является гейтом в сети и стоит за натом. схема: интернет-роутер-сервер(openvpn)
спасибо за любую наводку потому как бьюсь уже не первый день.

[hizel]

на вскидку вы таки зря выдаете для туннелей ip из той же подсети что и у сервера

[LimpTeaM]

на вскидку вы таки зря выдаете для туннелей ip из той же подсети что и у сервера

таки подсети разные.. у опенвпн сервера подсеть 192.168.50.0, а у локальной сети в которую надо попасть 192.168.0.0... Вы имеете ввиду выдать опенвпн серверу вообще какую-нить другую подсеть например 10.0.0.0?
странно то, что с натом все прекрасно работает. я попадаю в сеть 192.168.0.0 легко, а вот без ната никак.
может я туплю и мне надо организовать бридж?
запутался
з.ы. Смотрю ты из Выборга? красивый город - недавно там был. Больше Питера понравился

[hizel]

ок, что то я сегодня невнимательный

вы говорите что openvpn сервер в подсети 192.168.0.0/24 не шлюз? тогда без нат-а работать не будет, если не написать маршрут на шлюзе или всех машинах из 192.168.0.0/24

можно бридж
сделать tap интерфейс и забриджевать с ae0

да, Выборг няшка, не понимаю как можно жить в Питере и Москве :]

[LimpTeaM]

ок, что то я сегодня невнимательный

вы говорите что openvpn сервер в подсети 192.168.0.0/24 не шлюз? тогда без нат-а работать не будет, если не написать маршрут на шлюзе или всех машинах из 192.168.0.0/24

можно бридж
сделать tap интерфейс и забриджевать с ae0

да, Выборг няшка, не понимаю как можно жить в Питере и Москве :]

вот с маршрутом и загвоздка. я не могу его составить у себя в мозгах если честно
если буквально нарисовать схему то она выглядит так:
пакет идет через интернет и попадает на гейт(роутер(192.168.0.1), внешний ип, портфорвардинг порта опенвпн) - проходит через этот нат внутри сети 192.168.0.0- где имеется сервер 192.168.0.90 а также на нем опенвпн сервер 192.168.50.0. клиент получает ип 192.168.50.10. пингует всю сеть опенвпн сервера (192.168.50.0, а также пингует ae0 этого же сервера 192.168.0.90), но дальше ничего не видит ни роутер ни что либо еще. вот тут то мне и не понятно где надо прописать маршрут? на каждом компе в сети 192.168.0.0)?
что-то типа route add 192.168.50.0 mask 255.255.255.0 192.168.0.90?
т.е. я правильно понимаю, что пакеты в сеть 192.168.0.0 попадают, а вот как идти обратно не знают?

[hizel]

tcpdump покажет

почему не прописать на маршрут на роутере для подсети 192.168.0.0/24

[LimpTeaM]

tcpdump покажет

почему не прописать на маршрут на роутере для подсети 192.168.0.0/24

хм, прошу прощения, но где логика?
роутер имеет адрес 192.168.0.1 и является дефолтным шлюзом для сети 192.168.0.0.
может имеется ввиду прописать на нем маршрут для подсети 192.168.50.0?

в любом случае большое спасибо за подсказки, вечером буду ковырять. кажется я начал распутываться в своих мыслях

з.ы. ресторан в круглой башне очень классный, и кстати филиал какого-то инста на набережной не говоря уж о замке и парке

[hizel]

может имеется ввиду прописать на нем маршрут для подсети 192.168.50.0?

да, это и имелось ввиду

[LimpTeaM]

может имеется ввиду прописать на нем маршрут для подсети 192.168.50.0?

да, это и имелось ввиду

понял благодарю!
большое спасибо за все подсказки!