openvpn

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

openvpn

Непрочитанное сообщение Spook1680 » 2010-03-12 20:21:31

Подскажите где может быть ошибка
192.168.21.2 это рабочая комп за натом в офисе и до него надо достучаться клиенту через удаленный рабочий стол.
openvpn поднят.
Пинг с сервака 10.20.30.1 до клиента 10.20.30.6
проходит.
Обратно то же.

Но достучаться до 192.168.21.2 по тунелю немогу.
Делаю пинг у клиента
C:\Documents and Settings\Серж>ping 192.168.21.2

Обмен пакетами с 192.168.21.2 по 32 байт:

Ответ от 10.20.30.6: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 10.20.30.6: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 10.20.30.6: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 10.20.30.6: Превышен срок жизни (TTL) при передаче пакета.

Статистика Ping для 192.168.21.2:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\Documents and Settings\Серж>
Трассировак у клиетна
C:\Documents and Settings\Серж>tracert -d 192.168.21.2

Трассировка маршрута к 192.168.21.2 с максимальным числом прыжков 30

1 8 ms 8 ms 13 ms 10.20.30.6
2 134 ms 17 ms 17 ms 10.20.30.6
3 25 ms 24 ms 24 ms 10.20.30.6
4 36 ms 37 ms 35 ms 10.20.30.6
5 43 ms 45 ms 40 ms 10.20.30.6
6 50 ms 48 ms 50 ms 10.20.30.6
7 63 ms 59 ms 63 ms 10.20.30.6
8 636 ms 73 ms 76 ms 10.20.30.6
9 88 ms 76 ms 680 ms 10.20.30.6
10 109 ms 93 ms 199 ms 10.20.30.6
Маршрут у клиета
C:\Documents and Settings\Серж>route print 192.168.21.2
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1c 23 a1 33 8c ...... ASUS NX1101 Gigabit Ethernet Adapter - ?шэшяюЁЄ
яырэшЁют?шър яръхЄют
0x3 ...00 13 20 8c ae 4f ...... Intel(R) PRO/100 VE Network Connection - ?шэшяюЁ
Є яырэшЁют?шър яръхЄют
0x4 ...00 ff 2e 25 6a c3 ...... TAP-Win32 Adapter V8 - ?шэшяюЁЄ яырэшЁют?шър яръ
хЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
192.168.21.2 255.255.255.255 10.20.30.5 10.20.30.6 1
Основной шлюз: 10.44.30.1

10.44.30.1 Это шлюз провайдера клиента. (сидящего дома)

openvpn.conf

Код: Выделить всё

port 1194
proto tcp
dev tun
keepalive 20 240
server 10.20.30.0 255.255.255.0

route 10.20.30.0 255.255.255.0
push "route 192.168.21.2 255.255.255.255"
ifconfig-pool-persist "/usr/local/etc/openvpn/ipp.txt"
client-config-dir ccd "/usr/local/etc/openvpn/ccd/client"
client-to-client

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
persist-key
persist-tun

user nobody
group nobody

comp-lzo
max-clients 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 10
в ccd директроии файл client

Код: Выделить всё

push "route 192.168.21.2 255.255.255.0"
iroute 192.168.21.0 255.255.255.0
ipp.txt

Код: Выделить всё

client,10.20.30.4

Касяк в маршрутах у клиента???? Если так то что надо менять!!!!
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: openvpn

Непрочитанное сообщение skeletor » 2010-03-14 11:39:58

Лучше нарисуй схему, что и куда. Не совсем понятно.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: openvpn

Непрочитанное сообщение Spook1680 » 2010-03-14 19:03:13

skeletor писал(а):Лучше нарисуй схему, что и куда. Не совсем понятно.
Схему черканул. Глянь пожалуйста)) :smile:
Вложения
OPENVPN.JPG
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: openvpn

Непрочитанное сообщение skeletor » 2010-03-14 20:19:48

Теперь всё понятно. Значит смотри: косяк у тебя в конфиге, точнее должно быть 2 конфига, один для клиента, другой для сервера. У клиента конфиг достаточно простой: настройки шифрования, номер порта, сертификаты и строчка

Код: Выделить всё

remote IP_сервера
Что касается сервера. Опции шифрования, номер порта, виртуальная подсеть (используется для назначения адресов по vpn'у):

Код: Выделить всё

server 10.20.30.0 255.255.255.0
обязательно маршрут виртуальных адресов

Код: Выделить всё

push "route 10.20.30.0 255.255.255.0"
и маршруты локалки:

Код: Выделить всё

push "route 192.168.21.0 255.255.255.0"
всё остальное в конфиге нужно убрать. В итоге у тебя должны получиться такие конфиги (беру из своих рабочих):

клиент:

Код: Выделить всё

client
dev tun
tls-client
proto udp
remote XX.XX.XX.XX 2294
resolv-retry infinite
nobind
ns-cert-type server
verb 3
comp-lzo
cipher DES-EDE3-CBC

ca ca.crt
cert skeletor.crt
key skeletor.key
dh dh1024.pem
tls-auth ta.key 1
сервер:

Код: Выделить всё

port 2294
dev tun0
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
crl-verify crl.pem
client-to-client
server 10.20.30.0 255.255.255.0
push "route 10.20.30.0 255.255.255.0"
push "route 192.168.21.0 255.255.255.0"
tls-server
keepalive 10 120
cipher DES-EDE3-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/vpn/openvpn-status.log
log-append /var/log/vpn/openvpn.log
verb 3
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: openvpn

Непрочитанное сообщение Spook1680 » 2010-03-15 8:24:32

Skeletor спасибо!
Подтачил свой конфиг и пошло как по маслу! :"": :drinks:
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "