Страница 1 из 1

Openvpn не идут пинги в локалку за сервером

Добавлено: 2012-06-18 10:44:31
drac753
есть комп с белым ip , на нем поднят openvpn (server.conf) также есть eth0 - подключена локальная сеть сеть - 192.168.4.52, tun0-10.8.0.1

конфиг на сервере

Код: Выделить всё

port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.4.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
настройки фаервола

Код: Выделить всё

#!/bin/bash
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe nf_conntrack_ftp
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#включение логов iptables
#iptables -I OUTPUT -o eth0 -j LOG
#префиксы сообщений iptables
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4


#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#Разрешаем доступ по tcp  порт 1194 - vpn совсех интерфейсов 
iptables -A INPUT  -p tcp  --dport 1194 -j ACCEPT
#Разрешаем маскарадинг
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 85.26.185.8
#разрешаем  транзитные  пакеты с vpn сервака в нет 
iptables -A FORWARD -i ppp0 -o tun0 -p tcp --dport 1194 -j ACCEPT
Файл натроек клиента client.ovpn

Код: Выделить всё

client
dev tun
proto tcp
remote белыйip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
Форвардинг включил
net.ipv4.ip_forward = 1
затем
sysctl -p

насерваке

Код: Выделить всё

root@debtest:/etc/network/if-pre-up.d# route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.4.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
Подключение с клиента к серверу проходит, ping на 192.168.4.52 и 10.8.0.1 идут , но дальше в локалку нет,где накосячил не пойму ?

пробую tracert

tracer 192.168.4.30 (комп в сети за Openvpn серваком) получаю

Трассировка маршрута к 192.168.4.30 с максимальным числом прыжков 30

1 424 ms 358 ms 358 ms 10.8.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.

Re: Openvpn не идут пинги в локалку за сервером

Добавлено: 2012-06-18 11:48:38
drac753
эххх повторение мать заикания

Код: Выделить всё

понял проблема была в форвардинге добавил правила 
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
и всё заработало