forum.lissyara.su

Часто, когда ты думаешь, что выбираешь между "сделать хорошо" и "сделать плохо", ты лишь влияешь на момент, когда это будет "сделано через жопу".
https://forum.lissyara.su/

вопрос про openvpn

https://forum.lissyara.su/viewtopic.php?f=47&t=33282

Страница 1 из 1

вопрос про openvpn

Добавлено: 2011-06-29 16:22:40
alexkg1
помогите настроить маршрутизацию в другие подсети
есть сервер openvpn в локальной сети, к примеру ip 192.168.0.116
клиент из-вне подключается к нему и получает ip 10.8.0.6, шлюз 10.8.0.5, маска 255.255.255.252, но не видит сеть 192.168.0.0/24 ...
с сервера openvpn пингуется интерфейс 10.8.0.6, шлюз 10.8.0.5 почему то нет
с клиента пингуется 192.168.0.116, но остальные компы в сети нет.

подскажите где добавить маршруты? на роутере в сети 192.168.0.0/24
или на openvpn нужно еще настраивать iptables ???
начну по порядку...

1) клиенту выдан ip 10.8.0.6 255.255.255.252 шлюз 10.8.0.5
почему выдался ip c такой маской?
почему не пингуется основной шлюз?
конфиг сервера:

Код: Выделить всё

port 1194 

proto udp 

dev tun 

ca /etc/openvpn/keys/ca.crt 
cert /etc/openvpn/keys/linux.crt 
key /etc/openvpn/keys/linux.key 
dh /etc/openvpn/keys/dh1024.pem 

server 10.8.0.0 255.255.255.0 
ifconfig-pool-persist ipp.txt 

#сети за vpn сервером 
push "route 192.168.0.0 255.255.255.0 
push "route 192.168.22.0 255.255.255.224 
;route 10.8.0.0 255.255.255.0 
;route 192.168.0.0 255.255.255.0 

push "redirect-gateway" 

keepalive 10 120 

comp-lzo 

persist-key 
persist-tun 

status openvpn-status.log 

verb 3

Re: вопрос про openvpn

Добавлено: 2011-06-29 16:45:50
blade_007
sysctl net.ipv4.ip_forward что показывает? Если 0 - выставить 1.

Re: вопрос про openvpn

Добавлено: 2011-06-29 17:08:11
alexkg1
поставил, все равно с клиента шлюз его не пингуется почемуто, должен?

Re: вопрос про openvpn

Добавлено: 2011-06-29 18:00:54
blade_007
фаервол есть? Если есть - просмотрите правила и добавьте соот. исключения.

Re: вопрос про openvpn

Добавлено: 2011-06-30 8:53:08
LimpTeaM
если я всё правильно понял, то у меня была такая же проблема.
сервер openvpn является дефолтным шлюзом в основной сети? Если да, то должно все равботать, если нет, то на нем нужно настраивать NAT из openvpn сети в обычную сеть тогда всё залетает. или использовать мост.
моя тема http://forum.lissyara.su/viewtopic.php?f=4&t=28980&

Re: вопрос про openvpn

Добавлено: 2011-07-01 14:00:59
alexkg1
с iptables сталкиваюсь впервые, не могу разобраться? два вопроса
1) где сам конфиг iptables? (в debian по умолчанию он уже установлен)
2) как будет выглядеть правило для vpn клиента, например для доступа только в сеть
192.168.15.0/24

Код: Выделить всё

linux:~# ifconfig -a 
 eth0      Link encap:Ethernet  HWaddr 00:50:56:82:1d:ea 
           inet addr:192.168.0.116  Bcast:192.168.0.255  Mask:255.255.255.0 

 lo        Link encap:Local Loopback 
           inet addr:127.0.0.1  Mask:255.0.0.0 

 tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
           inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255

Re: вопрос про openvpn

Добавлено: 2011-07-01 15:03:10
LimpTeaM
alexkg1 писал(а):с iptables сталкиваюсь впервые, не могу разобраться? два вопроса
1) где сам конфиг iptables? (в debian по умолчанию он уже установлен)
2) как будет выглядеть правило для vpn клиента, например для доступа только в сеть
192.168.15.0/24

Код: Выделить всё

linux:~# ifconfig -a 
 eth0      Link encap:Ethernet  HWaddr 00:50:56:82:1d:ea 
           inet addr:192.168.0.116  Bcast:192.168.0.255  Mask:255.255.255.0 

 lo        Link encap:Local Loopback 
           inet addr:127.0.0.1  Mask:255.0.0.0 

 tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
           inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
я делал на фре. поэтому тут с фаером не подскажу.

Код: Выделить всё

map eth0 from 10.8.0.0/24 to any -> 192.168.0.116
это правильно подойдет тебе для ipnat на фре. а вот как с iptables я хз.

наверное как-то так:

Код: Выделить всё

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Re: вопрос про openvpn

Добавлено: 2011-07-04 8:16:32
alexkg1
спасибо огромное за ответы! разобрался почти
не могу правильно настроить FORWARD, если ставишь ACCEPT для всех, то работает
а мне нужно только для одной сети сделать... Посмотрите пжст где ошибка
Получился вот такой конфиг:

Код: Выделить всё

#!/bin/bash
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Re: вопрос про openvpn

Добавлено: 2011-07-04 9:18:24
alexkg1
исправил:
исправил, однако проблема таже сеть 192.168.0.0/24 недоступна.
да кстати если для обратного пути вместо 10.8.0.0/24 ставишь tun0 почему то пишет:

Код: Выделить всё

linux:~# /etc/init.d/netfilter restart
iptables v1.4.2: host/network `tun0' not found
если раскоментировать строку #iptables -P FORWARD ACCEPT то все сети доступны, а мне нужна только одна

Код: Выделить всё

#!/bin/bash
iptables -F INPUT 
iptables -F OUTPUT
iptables -F FORWARD
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT 
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#iptables -P FORWARD ACCEPT
iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Re: вопрос про openvpn

Добавлено: 2011-07-04 10:26:38
LimpTeaM
я синтаксиса iptables незнаю, но помойму у тебя нету тут ната...

Re: вопрос про openvpn

Добавлено: 2011-07-04 10:49:07
alexkg1
спасибо, заработало!
nat мне не нужен

Re: вопрос про openvpn

Добавлено: 2011-07-06 12:56:27
alexkg1
возник другой вопрос, относительно безопастности этого сервера
сгенерированными сертификатами можно подключиться из любого места где есть выход в интернет, просто скопировав их и конф. файл.
Как можно сделать чтобы впн подключался только с одного компьютера, чтобы пользователи не смогли подключиться например из дома.
Пробывал привязать к имени компьютера(делал по имени компьютера и Common Name указал имя), не получилось.
Есть какие-то мысли или может кто уже делал?

Re: вопрос про openvpn

Добавлено: 2011-08-04 11:05:23
mak_v_
фаервол с правилами откуда можно коннектиться вам поможет.
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/