Страница 1 из 1
Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-13 7:31:47
Incher
Доброго времени суток.
Имеется сервер под FreeBSD, за ним локальная сеть 192.168.199.0/24, и клиент под Win7, локальная сеть 192.168.0.0/24. Между ними настроен VPN c адресом 192.168.192.0/24, клиент успешно коннектится, пингует сервер, но компы в локалке сервера - нет. Помогите, пожалуйста, разобраться.
Привожу конфиги.
Конфиг сервера:
Код: Выделить всё
port 2000
proto tcp
dev tun0
tun-mtu 1400
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh2048.pem
server 192.168.192.0 255.255.255.0
push "route 192.168.199.0 255.255.255.0"
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 50
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 5
Конфиг клиента:
Код: Выделить всё
client
dev tun
remote хх.хх.хх.44
port 2000
proto tcp
pull "route-gateway 192.168.192.2"
nobind
tun-mtu 1400
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 5
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-13 9:12:44
mak_v_
трассировку с клиента и с "внутреннего ПК", таблицу маршрутов оттуда-же
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-15 2:10:53
Incher
С внутреннего не могу - сервер и его сеть находятся удаленно и к ней нет доступа. С клиента к одному из компов за сервером трассировка такая:
Код: Выделить всё
Трассировка маршрута к 192.168.199.203 с максимальным числом прыжков 30
1 3 ms 3 ms 2 ms 192.168.192.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
таблица маршрутов на клиенте:
Код: Выделить всё
===========================================================================
Список интерфейсов
18...00 ff 9d 4c 15 bf ......TAP-Win32 Adapter V9
12...00 25 d3 6b 33 75 ......Адаптер беспроводных сетей Atheros AR9285 Wireless
11...90 e6 ba 42 36 8f ......Сетевая карта Realtek RTL8168B/8111B Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
16...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
17...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
1...........................Software Loopback Interface 1
19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
20...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
38...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.60 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
yyy.yyy.0.0 255.255.0.0 On-link 192.168.40.1 30
yyy.yyy.255.255 255.255.255.255 On-link 192.168.40.1 276
192.168.0.0 255.255.255.0 On-link 192.168.0.60 281
192.168.0.60 255.255.255.255 On-link 192.168.0.60 281
192.168.0.255 255.255.255.255 On-link 192.168.0.60 281
192.168.40.0 255.255.255.0 On-link 192.168.40.1 276
192.168.40.1 255.255.255.255 On-link 192.168.40.1 276
192.168.40.255 255.255.255.255 On-link 192.168.40.1 276
192.168.192.1 255.255.255.255 192.168.192.5 192.168.192.6 30
192.168.192.2 255.255.255.255 On-link 192.168.192.6 31
192.168.192.4 255.255.255.252 On-link 192.168.192.6 286
192.168.192.6 255.255.255.255 On-link 192.168.192.6 286
192.168.192.7 255.255.255.255 On-link 192.168.192.6 286
192.168.199.0 255.255.255.0 192.168.192.5 192.168.192.6 30
192.168.249.0 255.255.255.0 On-link 192.168.249.1 276
192.168.249.1 255.255.255.255 On-link 192.168.249.1 276
192.168.249.255 255.255.255.255 On-link 192.168.249.1 276
xxx.0.0.0 240.0.0.0 On-link 127.0.0.1 306
xxx.0.0.0 240.0.0.0 On-link 192.168.192.6 286
xxx.0.0.0 240.0.0.0 On-link 192.168.0.60 281
xxx.0.0.0 240.0.0.0 On-link 192.168.40.1 276
xxx.0.0.0 240.0.0.0 On-link 192.168.249.1 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.192.6 286
255.255.255.255 255.255.255.255 On-link 192.168.0.60 281
255.255.255.255 255.255.255.255 On-link 192.168.40.1 276
255.255.255.255 255.255.255.255 On-link 192.168.249.1 276
===========================================================================
Постоянные маршруты:
Отсутствует
И кстати ipfw на сервере не установлен, так что по идее пускать должен, раз фаервола нет, видимо не в этом проблема
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-15 8:15:26
mak_v_
С внутреннего не могу - сервер и его сеть находятся удаленно и к ней нет доступа.
Зачем тогда топик?
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-15 9:10:36
Incher
Затем, что стоит задача настроить впн удаленно по ssh.
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-15 9:20:06
Incher
Я уже неделю ковыряюсь, весь гугл перекопал. Во всех прочитанных статьях проблема решается такими манипуляциями, которые я уже проделывал, но мне это не помогло.
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-15 18:55:50
mak_v_
по ссш нет доступа к таблице маршрутизации сервера (про клиентов "внутренних пока забудем")?
пробую телепатировать: "у внутренних" машин шлюзом прописан сервер с опенвпн-сервером? форвардинг разрешён? gateway_enable="YES"?
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-16 2:17:10
Incher
к таблице сервера есть доступ, на сервере прописано gateway_enable="YES", таблица с сервера:
Код: Выделить всё
netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default xx.xx.xx.41 UGS 0 3007726 bge0
xx.xx.xx.40/29 link#1 U 0 8777 bge0
xx.xx.xx.44 link#1 UHS 0 0 lo0
127.0.0.1 link#9 UH 0 109058 lo0
192.168.192.0/24 192.168.192.2 UGS 0 0 tun0
192.168.192.1 link#10 UHS 0 0 lo0
192.168.192.2 link#10 UH 0 0 tun0
192.168.199.0/24 link#2 U 0 36387 bge1
192.168.199.204 link#2 UHS 0 0 lo0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#9 U lo0
fe80::1%lo0 link#9 UHS lo0
ff01:9::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
ifconfig оттуда же
Код: Выделить всё
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
ether yy:yy:yy:yy:6c:fe
inet xx.xx.xx.44 netmask 0xfffffff8 broadcast xx.xx.xx.47
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
ether yy:yy:yy:yy:6c:ff
inet 192.168.199.204 netmask 0xffffff00 broadcast 192.168.199.255
media: Ethernet autoselect (100baseTX <full-duplex,flowcontrol,rxpause,txpause>)
status: active
bge2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
ether yy:yy:yy:yy:6d:00
media: Ethernet autoselect (none)
status: no carrier
bge3: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
ether yy:yy:yy:yy:6d:01
media: Ethernet autoselect (none)
status: no carrier
cas0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether zz:zz:zz:zz:zz:ec
media: Ethernet autoselect
cas1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether zz:zz:zz:zz:zz:ed
media: Ethernet autoselect
cas2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether zz:zz:zz:zz:zz:ee
media: Ethernet autoselect
cas3: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether zz:zz:zz:zz:zz:ef
media: Ethernet autoselect
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1400
options=80000<LINKSTATE>
inet 192.168.192.1 --> 192.168.192.2 netmask 0xffffffff
Opened by PID 93126
Последняя догадка - это все из-за того, что на сервере не включен natd, но в силу малого опыта затрудняюсь в его правильном включении и настройке.
Re: Клиент не видит сеть за VPN-сервером
Добавлено: 2012-08-16 9:09:25
mak_v_
natd - вообще ни при чем. Вы не натите, вы маршрутизируете 2 сети.
И все же: "у внутренних" машин шлюзом прописан сервер с опенвпн-сервером? в принципе могу глянуть и помочь по ссх, если это не ЦРУ-шная машина