Страница 1 из 2
VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 13:51:42
mistik266
Уважаемые гуру проблема состоит в том что после установки связи по vpn доступны только локальные службы сервера а вся остальная сетка за сервером не видна .
Реализация : vpn server PopTop , сервер OpenBSD,клиент WinXP.
до установки связи с vpn:
netstat
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Interface
default 192.168.0.254 UGS 4 309 - sk0
127/8 127.0.0.1 UGRS 0 0 33224 lo0
127.0.0.1 127.0.0.1 UH 1 0 33224 lo0
192.168.0/24 link#1 UC 4 0 - sk0
192.168.0.16 0:16:e6:65:d0:f7 UHLc 0 0 - sk0
192.168.0.104 0:14:85:e1:5f:85 UHLc 1 15 - sk0
192.168.0.200 127.0.0.1 UH 0 0 33224 lo0
192.168.0.254 0:4:e2:df:df:e4 UHLc 1 0 - sk0
192.168.0.255 link#1 UHLc 2 37 - sk0
224/4 127.0.0.1 URS 0 0 33224 lo
после
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Interface
default 192.168.0.254 UGS 6 478 - sk0
127/8 127.0.0.1 UGRS 0 0 33224 lo0
127.0.0.1 127.0.0.1 UH 1 0 33224 lo0
192.168.0/24 link#1 UC 4 0 - sk0
192.168.0.16 0:16:e6:65:d0:f7 UHLc 0 0 - sk0
192.168.0.104 0:14:85:e1:5f:85 UHLc 0 15 - sk0
192.168.0.200 127.0.0.1 UH 0 0 33224 lo0
192.168.0.254 0:4:e2:df:df:e4 UHLc 1 0 - sk0
192.168.0.255 link#1 UHLc 3 39 - sk0
192.168.1.42 192.168.0.200 UH 0 0 1398 tun0
224/4 127.0.0.1 URS 0 0 33224 lo0
тоесть видно что роутинг добавляеться для клиента 192.168.1.42
в чем траблы не пойму .
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 13:54:42
Alex Keda
чё-то непонял, к чему это - про роутинг для клиента...
==========
незнаю как это будет в OpenBSD, но всё же - гатевай енаблед - стоит?
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 14:47:44
mistik266
просто перебрав все возможные грехи, по совету специалистов , начал копать в напровлении роутинга так как других проблем не нашел.
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 14:58:08
mistik266
Openbsd v rc.conf нету такой опции:(, гатевай енаблед,может она гдето в другом месте
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 15:03:20
Alex Keda
в sysctl есть? как во фре - соседнюю тему глянь.
собсно она и растянулась потому что человек не заметил этого в одном из первых постов
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 15:32:48
mistik266
sysctl.conf
Код: Выделить всё
$OpenBSD: sysctl.conf,v 1.36 2005/07/19 15:34:43 tom Exp $
#
# This file contains a list of sysctl options the user wants set at
# boot time. See sysctl(3) and sysctl(8) for more information on
# the many available variables.
net.inet.gre.allow=1
net.inet.ip.forwarding=1 # 1=Permit forwarding (routing) of packets
#net.inet6.ip6.forwarding=1 # 1=Permit forwarding (routing) of packets
#net.inet6.ip6.accept_rtadv=1 # 1=Permit IPv6 autoconf (forwarding must be 0)
#net.inet.tcp.rfc1323=0 # 0=disable TCP RFC1323 extensions (for if tcp is slow)
#net.inet.tcp.rfc3390=1 # 1=Enable RFC3390 for TCP window increasing
#net.inet.esp.enable=0 # 0=Disable the ESP IPsec protocol
#net.inet.ah.enable=0 # 0=Disable the AH IPsec protocol
#net.inet.esp.udpencap=0 # 0=Disable ESP-in-UDP encapsulation
#net.inet.ipcomp.enable=1 # 1=Enable the IPCOMP protocol
#net.inet.etherip.allow=1 # 1=Enable the Ethernet-over-IP protocol
#net.inet.tcp.ecn=1 # 1=Enable the TCP ECN extension
#ddb.panic=0 # 0=Do not drop into ddb on a kernel panic
#ddb.console=1 # 1=Permit entry of ddb from the console
#fs.posix.setuid=0 # 0=Traditional BSD chown() semantics
#vm.swapencrypt.enable=0 # 0=Do not encrypt pages that go to swap
#vfs.nfs.iothreads=4 # number of nfsio kernel threads
#net.inet.ip.mtudisc=0 # 0=disable tcp mtu discovery
#kern.usercrypto=1 # 1=enable userland use of /dev/crypto
#kern.splassert=2 # 2=enable with verbose error messages
machdep.allowaperture=2 # See xf86(4)
#machdep.apmwarn=10 # battery % when apm status messages enabled
#machdep.apmhalt=1 # 1=powerdown hack, try if halt -p doesn't work
#machdep.kbdreset=1 # permit console CTRL-ALT-DEL to do a nice halt
#machdep.userldt=1 # allow userland programs to play with ldt,
# required by some ports
#kern.emul.aout=1 # enable running dynamic OpenBSD a.out bins
#kern.emul.bsdos=1 # enable running BSD/OS binaries
#kern.emul.freebsd=1 # enable running FreeBSD binaries
#kern.emul.ibcs2=1 # enable running iBCS2 binaries
#kern.emul.linux=1 # enable running Linux binaries
#kern.emul.svr4=1 # enable running SVR4 binaries
~
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 16:51:59
Alex Keda
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 17:06:57
mistik266
форвардинг включен ?
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 17:09:28
Alex Keda
это ты сам у себя спрашиваешь?
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 17:14:53
mistik266
Ну в принципе меня смутил твой вопрос
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 17:16:28
mistik266
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 17:37:23
Alex Keda
c сервера при подключенном клиенте
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 17:59:06
mistik26
Код: Выделить всё
# ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33224
groups: lo
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:13:d4:47:ca:22
groups: egress
media: Ethernet autoselect (100baseTX full-duplex,flag0,flag1)
status: active
inet 192.168.0.200 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::213:d4ff:fe47:ca22%sk0 prefixlen 64 scopeid 0x1
pflog0: flags=0<> mtu 33224
pfsync0: flags=0<> mtu 1348
enc0: flags=0<> mtu 1536
bridge0: flags=41<UP,RUNNING> mtu 1500
groups: bridge
tun1: flags=10<POINTOPOINT> mtu 3000
groups: tun
tun2: flags=10<POINTOPOINT> mtu 3000
groups: tun
tun3: flags=10<POINTOPOINT> mtu 3000
groups: tun
tun0: flags=8011<UP,POINTOPOINT,MULTICAST> mtu 1398
inet 127.0.0.1 --> 192.168.1.199 netmask 0xffffffff
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 19:48:56
Alex Keda
странный внутренний адрес...
странно что хотя бы сервер с таким виден....
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 20:04:56
mistik26
рабочий интерфейс sк0 (192.168.0.200), после дампирования я вижу как пакеты проходят через виртуальный интерфейс и идут на физический а там все чтото затыкается и они не выходят наружу в lan:(
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 20:13:22
Alex Keda
сделай туннель с внутреннего IP
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 20:36:35
mistik26
ipconfig /all (клиент в нутри сети после подключения )
Код: Выделить всё
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
Physical Address. . . . . . . . . : 00-14-85-E4-85-01
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.14
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.254
DNS Servers . . . . . . . . . . . : 192.168.0.254
192.115.106.35
PPP adapter lovendent:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.61
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.61
DNS Servers . . . . . . . . . . . : 192.168.50.70
все отлично все пингуется в двух случаях 1 когда хотом я ему прописываю локальный адрес 2 когда хостом пишу интернетовский.
причем оставил его подключонным к впн и проверил с другой стороны ( с наружи ) он тоже начал пинговаться по локалному адресу)
Код: Выделить всё
C:\Documents and Settings\Administrator>ping 192.168.0.14
Pinging 192.168.0.14 with 32 bytes of data:
Reply from 192.168.0.14: bytes=32 time=743ms TTL=127
Reply from 192.168.0.14: bytes=32 time=1647ms TTL=127
Reply from 192.168.0.14: bytes=32 time=519ms TTL=127
Reply from 192.168.0.14: bytes=32 time=1079ms TTL=127
Ping statistics for 192.168.0.14:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 519ms, Maximum = 1647ms, Average = 997ms
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 20:37:48
Alex Keda
не надо с внутреннего клиента подключаться.
из инета подключайся
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 20:45:24
mistik26
ок ето то что я сделал подключил 1 клиента к впн изнутри ,а сам подключился снаружи и смог пинговать тот комп который внутри но тоже подключон к впн.
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 22:07:38
Alex Keda
каие-то извраты...
==========
каоква цель сооружения впн?
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 23:16:08
mistik26
Да уж не говори извелся уже ,такое впечатление что в опенке впн как то вынесен за пределы всего
и надо чтото открыть чтобы ето за работало.
Цель впн соединить 2 клиники в которых работают с корпоративной програмой сервер которой находится в одной из них ,база данных ,бугалтерия дигитальный рентген ну и ещо куча всякого .
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-13 23:31:50
Alex Keda
а чем плох
IPSEC например?
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-14 0:23:31
mistik26
Да не чем он не плох но мне кажеться проблема на уровне ядра ,а не протокола,я уже пробовал OpenVPN поднимал ,тоже еффект ,у меня подозрение что есть какаято защита которая выносит впн за рамки ,что то из пресловутой безопасности OpenBSD
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-14 10:15:27
Din
Может поможет :
Код: Выделить всё
dev tap0
mode server
client-to-client <----- если этой опции нет то сеть за сервером видна небудет
tls-server
ifconfig-pool 5.132.126.2 5.132.126.30
# Certificates for VPN Authentication
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
ifconfig 5.132.126.1 255.0.0.0
ping-timer-rem
persist-tun
persist-key
group nobody
daemon
Это на Фре 6.2 если надо могу и на опёнке проверить. Делался сервер под игрушки которые только по бродкасту работают, чтоб через инет их гонять, все всех видят никаких траблов, клиенты все сидят за NAT, кроме 1
И клиента до кучи, W2K3 но ОС не принципиальна
Код: Выделить всё
dev tap
dev-node 22
proto udp
remote 192.168.0.112
port 1194
client
tls-client
ns-cert-type server
ca ca.crt
cert din.crt
key din.key
ping 15
ping-restart 45
ping-timer-rem
persist-key
persist-tun
verb 1
Кнопа Code это да, торможу )
PS Чтобы сконектить сети на уровне L2 нужно использовать не tun а tap
Re: VPN PopTop не видна LAN за сервером.
Добавлено: 2007-10-14 13:25:04
mistik26
Так то оно так
) просто есть готовый вариант на поптопе ,и все подозрения сводяться к тому что какаято опция закрыта потому как все тесты проходят удачно кроме конечного результата
,тем более ето уже дело принципа у всех работает а у меня нет
))(шутю).