Настройка OpenVPN

[tagilchanin]

Добрый день.
Есть вопрос касательно настройки openvpn
Все настроено по этой статье: http://it-station.ru/node/6
VPN поднимается вижу ресурсы которые есть на сервере, могу пинговать и делать трассировку, но я не могу зайти на ресурсы которые находятся дажльше сервера.
Помогите кто сталкивался

[Romon]

Проверь маршруты.
Выложи сюда.

[fisher74]

Я бы ещё и на конфиги OpenVPN глянул. В частности на параметры "push "route*""в сервере и на наличие параметра pull
 на клиенте.
Ну и общее построение сети нужно рассматривать, а именно как настроены маршруты на ресурсах "которые находятся дальше сервера"

[tagilchanin]

Проверь маршруты.
Выложи сюда.

Маршруты на клиенте:

(Нажмите, чтобы показать/скрыть)

route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0     10.1.1.1        255.255.255.0   UG    0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     2      0        0 eth0
10.1.1.0        *               255.255.255.0   U     0      0        0 tap0
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         192.168.0.9     0.0.0.0         UG    0      0        0 eth0

[fisher74]

С роутами вроде всё ОК, если предположить, что ресурсы сети за сервером 192.168.1.0/24
Можете на вопрос всё-таки ответить?

как настроены маршруты на ресурсах "которые находятся дальше сервера"

?

И на сервере покажите

Код: [Выделить]

sudo iptables-save
cat /proc/sys/net/ipv4/ip_forward

[tagilchanin]

Я бы ещё и на конфиги OpenVPN глянул. В частности на параметры "push "route*""в сервере и на наличие параметра pull
 на клиенте.
Ну и общее построение сети нужно рассматривать, а именно как настроены маршруты на ресурсах "которые находятся дальше сервера"

Конфиги:
Сервер:

(Нажмите, чтобы показать/скрыть)

cat /etc/openvpn/openvpn_srv.conf
# режим сервера
mode server
# использовать TLS-аутентифкацию
tls-server
tls-timeout 120
# прослушивание по tcp-протоколу
proto tcp-server
# использовать tap устройство
dev tap
# прослушиваемый порт 1194
port 1194
# скрипт который будет выполнятся при поднятии впн туннеля
# up /etc/openvpn/upscript.sh
# режим демона
daemon


# TLS-ключ
tls-auth /etc/openvpn/keys/ta.key 0
# указываем файл с CA
ca /etc/openvpn/keys/ca.crt
# сертификат сервера
cert /etc/openvpn/keys/sotcium.crt
# указываем ключ сертификата
key /etc/openvpn/keys/sotcium.key
# файл Диффи-Хеллмана
dh /etc/openvpn/keys/dh1024.pem

# указываем IP-адрес сервера и маску виртуальной сети
ifconfig 10.1.1.1 255.255.255.0
# описываем наш vpn пул
# IP-адрес через push "ifconfig адрес маска"
ifconfig-pool 10.1.1.10 10.1.1.150
# Если вы хотите, что бы за клиентами закреплялись постоянные адреса,
# добавьте следующий параметр:
# Он определяет файл, в котором будет сохраняться информация о машине и ее IP.
# Файл содержит строки:
# Имя машины,IP адрес. Во время работы.
# Cервер с периодичностью в 600 секунд обновляет содержимое этого файла.
# При включении, сервер читает содержимое файла.
# Эта обция НЕ РАБОТАЕТ если включено duplicate-cn
ifconfig-pool-persist /var/log/openvpn-ipp.txt
# В этом файле сохраняется информация о текущих соединениях сервера.
status /var/log/openvpn-status.log 1
status-version 2
# Добавляем клиенту необходимые маршруты на локальные подсети, например:
push "route 192.168.1.0 255.255.255.0 10.1.1.1"
#push "route 192.168.1.0 255.255.255.0"
# Шлюз для вышеуказанных маршрутов
push "route-gateway 192.162.1.248 255.255.255.0"
# разрешаем обмен трафиком между клиентами
client-to-client
# разрешаем дублирование сертифкатов
# если упустить эту опцию то на каждого клиента надо
# генерировать отдельный сертификат с помощью pkitool
#duplicate-cn
# включаем режим отладки
verb 3
# алгоритм шифрования.Список алгоритмов можно получить
# с помощью команды openvpn --show-ciphers
cipher DES-EDE3-CBC
# не перечитывать ключ при сбросе соединения
persist-key
# лог файл
log-append /var/log/openvpn.log
persist-tun
# включаем сжатие
comp-lzo

Клиент:

(Нажмите, чтобы показать/скрыть)

cat /etc/openvpn/openvpn_client.conf
# работа в режиме клиента с TLS-аутентифкацией
tls-client
# протокол tcp
proto tcp-client
# удаленный сервер
remote хх.хх.хх.хх
# устройство
dev tap
port 1194
cd /etc/openvpn/
# принимать команды push от сервера.то есть позволять переконфигурировать клиента
pull
# файл для авторизации
tls-auth /etc/openvpn/keys/ta.key 1
# указываем файл Диффи-Хеллмана
dh /etc/openvpn/keys/dh1024.pem
# указываем файл CA
ca /etc/openvpn/keys/ca.crt
# указываем файл с сертификатом клиента
cert /etc/openvpn/keys/Andrey.crt
# указываем файл с ключем клиента
key /etc/openvpn/keys/Andrey.key
# алгоритм шифрования
cipher DES-EDE3-CBC
# использовать сжатие
comp-lzo

Пользователь решил продолжить мысль 29 Марта 2011, 10:56:10:

С роутами вроде всё ОК, если предположить, что ресурсы сети за сервером 192.168.1.0/24
Можете на вопрос всё-таки ответить?

как настроены маршруты на ресурсах "которые находятся дальше сервера"

?

И на сервере покажите

Код: [Выделить]

sudo iptables-save
cat /proc/sys/net/ipv4/ip_forward

Iptables-save:

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.4 on Tue Mar 29 10:52:09 2011
*mangle
:PREROUTING ACCEPT [1219028:274165041]
:INPUT ACCEPT [302327:164376782]
:FORWARD ACCEPT [49540:2832863]
:OUTPUT ACCEPT [205339:118686499]
:POSTROUTING ACCEPT [254874:121605830]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Mar 29 10:52:09 2011
# Generated by iptables-save v1.4.4 on Tue Mar 29 10:52:09 2011
*filter
:INPUT DROP [5721:432276]
:FORWARD DROP [46614:2302827]
:OUTPUT ACCEPT [204817:118643823]
-A INPUT -i ppp0 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -s 10.1.1.0/24 -d 192.168.1.248/32 -j ACCEPT
-A FORWARD -s 192.168.1.248/32 -d 10.1.1.0/24 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT
# Completed on Tue Mar 29 10:52:09 2011
# Generated by iptables-save v1.4.4 on Tue Mar 29 10:52:09 2011
*nat
:PREROUTING ACCEPT [822184:90418877]
:POSTROUTING ACCEPT [6557:453915]
:OUTPUT ACCEPT [6018:424803]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -s 192.168.1.0/24 -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j SNAT --to-source xx.xx.xx.xx
COMMIT
# Completed on Tue Mar 29 10:52:09 2011

Вывод: cat /proc/sys/net/ipv4/ip_forward
1

как настроены маршруты на ресурсах "которые находятся дальше сервера"

В смысле?

[fisher74]

:FORWARD DROP
-A FORWARD -s 10.1.1.0/24 -d 192.168.1.248/32 -j ACCEPT
-A FORWARD -s 192.168.1.248/32 -d 10.1.1.0/24 -j ACCEPT

Так у вас всё, кроме одногоIP перекрыто на шлюзе.

А про настройку на ресурсах - имелось ввиду: они-то по маршрутам знают где находится сетка 10.1.1.0/24?

[tagilchanin]

:FORWARD DROP
-A FORWARD -s 10.1.1.0/24 -d 192.168.1.248/32 -j ACCEPT
-A FORWARD -s 192.168.1.248/32 -d 10.1.1.0/24 -j ACCEPT

Так у вас всё, кроме одногоIP перекрыто на шлюзе.

А про настройку на ресурсах - имелось ввиду: они-то по маршрутам знают где находится сетка 10.1.1.0/24?

Поставил FORWARD в ACCEPT
поменял:
-A FORWARD -s 10.1.1.0/24 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j ACCEPT
Про настройку на ресурсах, нет там ничего не прописано про подсеть 10.1.1.0.

[fisher74]

Поставил FORWARD в ACCEPT

Я этого не рекомендовал

Про настройку на ресурсах, нет там ничего не прописано про подсеть 10.1.1.0.

А дефолтным шлюзом кто указан? Машина на которой работает сервер OpenVPN?

[tagilchanin]

Поставил FORWARD в ACCEPT

Я этого не рекомендовал

Про настройку на ресурсах, нет там ничего не прописано про подсеть 10.1.1.0.

Поставил FORWARD в ACCEPT

сделал ради эксперимента

А дефолтным шлюзом кто указан? Машина на которой работает сервер OpenVPN?

Все верно, но подсеть соответсвенно другая

[victor00000]

dev tap, не dev tap0?

[fisher74]

Тогда доступ должен быть. Пингуйте.

victor00000: нет с конфигами OpenVPN всё нормально
Пользователь решил продолжить мысль 29 Марта 2011, 11:53:10:Хотя нет. Строка вводит в сомнения

push "route-gateway 192.162.1.248 255.255.255.0"

ТС, зачем эта строка? Какой Вы смысл вложили в неё?

[tagilchanin]

push "route-gateway 192.162.1.248 255.255.255.0"

ТС, зачем эта строка? Какой Вы смысл вложили в неё?
[/quote]

Маршрут во внутреннюю сеть.

[fisher74]

Во внутреннюю сеть клиента или Вашу? Если клиента, то применяется несколько другой паратметр в качестве переменной для route-gateway

[tagilchanin]

Во внутреннюю сеть клиента или Вашу? Если клиента, то применяется несколько другой паратметр в качестве переменной для route-gateway

В мою, подскажите пжл какой параметр?