Форум русскоязычного сообщества Ubuntu


Автор Тема: OpenVPN 2.3.10 ccd и iroute  (Прочитано 296 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн hs85

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
OpenVPN 2.3.10 ccd и iroute
« : 13 Ноябрь 2017, 12:15:46 »
Доброго дня! С обновлением openvpn до 2.3 что-то пошло не так. Конфиг сервера:
(Нажмите, чтобы показать/скрыть)

ccd:
iroute 10.122.254.1 255.255.255.255



на клиенте:
(Нажмите, чтобы показать/скрыть)

И в итоге роут я не получаю. Т.е. на ccd оно вообще никак не реагирует. Так же пытался вписать iroute в конфиг клиенту, но клиент даже не запустился.

Кто-нибудь работал с новой версией?


Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13351
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #1 : 13 Ноябрь 2017, 19:51:43 »
Так же пытался вписать iroute в конфиг клиенту, но клиент даже не запустился.
Естественно. С каких это пор клиенту позволялось диктовать свои правила?

Лог подключения клиента смотрели? (на обеих сторонах)

ЗЫ в ccd-файле конец строки определён?
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

Оффлайн hs85

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #2 : 14 Ноябрь 2017, 14:34:44 »
Естественно. С каких это пор клиенту позволялось диктовать свои правила?
Это был крик отчаяния.

Лог подключения клиента смотрели? (на обеих сторонах)
Есть пара непонятных пунктов в логах

(Нажмите, чтобы показать/скрыть)


ЗЫ в ccd-файле конец строки определён?
Это как?

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13351
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #3 : 14 Ноябрь 2017, 16:09:02 »
А почему вдруг эта команда у клиента оказалась?

конец строки это некоторые называют как "клацнуть в конце строки Enter"
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

Оффлайн hs85

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #4 : 14 Ноябрь 2017, 16:18:24 »
А почему вдруг эта команда у клиента оказалась?
Я даже не знаю кто ему отдает эту команду.

конец строки это некоторые называют как "клацнуть в конце строки Enter"
:) Тут всё в порядке.

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13351
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #5 : 14 Ноябрь 2017, 16:26:53 »
где ccd-файл лежит?

И просто ради интереса (уже запамятовал об обязательности этого параметра):
А почему Вы не указали серверу добавить маршрут на сеть VPN? Т.е.
route 10.10.0.0 255.255.255.0
Пользователь добавил сообщение 14 Ноябрь 2017, 16:54:36:
Кстати, маршрут в маршрутизатор OVPN всё-таки добавляется
Tue Nov 14 11:22:47 2017 MULTI: internal route 10.122.254.1 -> msk-work001/ip_address_2:40655
Tue Nov 14 11:22:47 2017 MULTI: Learn: 10.122.254.1 -> msk-work001/ip_address_2:40655


Пользователь добавил сообщение 14 Ноябрь 2017, 21:02:56:
Так... освежил память (поигрался н стенде).
iroute в ccd-файле добавляет маршрут в маршрутизатор самого OVPN, что м и видим в логе.
А вот чтобы сам сервер получил маршрут, нужно добавлять в основной конфиг запись
route 10.122.254.1 255.255.255.255
Возможно (а скорее всего так оно и есть) есть возможность отдавать маршрут самому серверу с помощью ccd файла, но я пока не нашёл (время на тесты закончилось).
« Последнее редактирование: 14 Ноябрь 2017, 21:02:56 от fisher74 »
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

Оффлайн hs85

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #6 : 15 Ноябрь 2017, 15:54:59 »
где ccd-файл лежит?
/etc/openvpn/ccd

И просто ради интереса (уже запамятовал об обязательности этого параметра):
А почему Вы не указали серверу добавить маршрут на сеть VPN? Т.е.
Код: [Выделить]

route 10.10.0.0 255.255.255.0

Оно вроде само добавилось.

Кстати, маршрут в маршрутизатор OVPN всё-таки добавляется
Цитата: hs85 от 14 Ноябрь 2017, 14:34:44

    Tue Nov 14 11:22:47 2017 MULTI: internal route 10.122.254.1 -> msk-work001/ip_address_2:40655
    Tue Nov 14 11:22:47 2017 MULTI: Learn: 10.122.254.1 -> msk-work001/ip_address_2:40655
Правильно ли я понимаю, что route -n может и не показать мне этот маршрут?

Так... освежил память (поигрался н стенде).
iroute в ccd-файле добавляет маршрут в маршрутизатор самого OVPN, что м и видим в логе.
А вот чтобы сам сервер получил маршрут, нужно добавлять в основной конфиг запись
Код: [Выделить]

route 10.122.254.1 255.255.255.255

В основной конфиг сервера?

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13351
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #7 : 15 Ноябрь 2017, 19:50:33 »
Правильно ли я понимаю, что route -n может и не показать мне этот маршрут?
Не может, а не покажет. Этот маршрут добавляется в таблицу маршрутизации ядра процесса OVPN, который не связан с ядром ОС

В основной конфиг сервера?
Да.
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

Оффлайн katrin-a-a

  • Любитель
  • *
  • Сообщений: 69
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #8 : 16 Ноябрь 2017, 23:38:52 »
hs85, а почему у вас сервер запущен на 30701 порту, а клиент подключается к 35501?
Компьютер который подключается как клиент это Ubuntu? Разрешено ли на это компьютере пропускать трафик между интерфейсами и указано ли правило NAT?
Вы специально не используете push "redirect-gateway def1 bypass-dhcp"?

Я обычно использую на сервере:
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
Заворачивая весь трафик через VPN. Путь к папке ccd обычно прописываю как client-config-dir ccd
в настройках клиента (папка ccd) попробуйте указать iroute 10.122.254.1 без маски. Так как вы не используете пинг в настройках сервера после подключения клиента пройдет около 5 минут после чего запросы к 10.122.254.1 пойдут через этот компьютер.

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13351
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #9 : 17 Ноябрь 2017, 08:15:53 »
Попробую ответить за топикстартера.
почему у вас сервер запущен на 30701 порту, а клиент подключается к 35501?
Предположу, что сервер находится за nat.

Вы специально не используете push "redirect-gateway def1 bypass-dhcp"?
Уверен, что да.

Я обычно использую на сервере:
А я обычно использую те параметры, которые необходимы для решения поставленной задачи. Что-то мне подсказывает, что ТС применял ту же тактику.

Путь к папке ccd обычно прописываю как client-config-dir ccd
Косвенная адресация не всегда приносит ожидаемый результат и часто приводит к ошибкам в конфигурации (приложение подхватывает конфиги из других директорий, которые отличаются от предполагаемых настраивающим админом)

попробуйте указать iroute 10.122.254.1 без маски
Цель?

Так как вы не используете пинг в настройках сервера
проясните, про какой пинг Вы вещаете?

после подключения клиента пройдет около 5 минут после чего запросы к 10.122.254.1 пойдут через этот компьютер.
Бред. Если в таблице маршрутизации ядра появляется запись, то трафик сразу же поворачивается согласно этого маршрута.

« Последнее редактирование: 17 Ноябрь 2017, 08:18:05 от fisher74 »
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

Оффлайн katrin-a-a

  • Любитель
  • *
  • Сообщений: 69
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #10 : 17 Ноябрь 2017, 08:39:49 »
проясните, про какой пинг Вы вещаете?
push "ping 15"
push "ping-restart 60"
данные опции помогли мне ускорить процесс, чтобы после подключения клиента с iroute трафик через него пошел быстрее.
Бред. Если в таблице маршрутизации ядра появляется запись, то трафик сразу же поворачивается согласно этого маршрута.
Вот именно, когда появляется запись. Когда клиент который берет на себя iroute только подключился, то маршруты не появляются моментально в среднем это занимает до 5 минут. По крайней мере у меня так на Ubuntu Server 14.04.

hs85, если вы хотите объединить сети, то попробуйте в настройках сервера через route указать какие сети объединяете. А в ccd в настройках для подключаемого клиента добавить push "route сеть с которой объединяете".
« Последнее редактирование: 17 Ноябрь 2017, 08:59:35 от katrin-a-a »

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13351
    • Просмотр профиля
Re: OpenVPN 2.3.10 ccd и iroute
« Ответ #11 : 17 Ноябрь 2017, 19:48:27 »
push "ping 15"
push "ping-restart 60"
данные опции помогли мне ускорить процесс, чтобы после подключения клиента с iroute трафик через него пошел быстрее.
Так-то у ТС включена опция keep-alive, что есть тоже самое, что эти два параметра. Причём к скорости поднятия маршрута они никак не относятся и срабатывают только при отсутствии трафика.

И Ваше утверждение для меня остаётся под сомнением
Если в основном конфиге нет указаний маршрута к сети за клиентом, то она НИКОГДА не появится в таблице маршрутизации ядра ОС. Ни через 5 сек, ни через 5 минут. Проверил лично.
Раньше iroute работало и для ОС. В 2.3 - только через основной конфиг.(точный переход между релизами не скажу, не засекал).
« Последнее редактирование: 17 Ноябрь 2017, 20:02:43 от fisher74 »
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

 

Страница сгенерирована за 0.246 секунд. Запросов: 24.