VPN сервер помогите

[MAvrON]

Доброе время суток. У меня проблемка получилось, не могу разобраться с роутингом в VPN.
Имеет сервер под убунтой 9.10, на нем имеется два сетевых интерфейса eth0 (192.168.2.1) и eth1 (10.1.1.2). Первый это локалка, второй инет. Инет работает через роутер который имеет ip 10.1.1.1. На роуторе настроена переадресация по порту.
Не могу настроить, что бы от меня (сервер)шли пинги до клиента. Хотя от него ко мне идут. в iptables все разрешено. Так же там настроин nat, где tun0 это vpn интерфейс

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE


config vpn server'a

(Нажмите, чтобы показать/скрыть)

port 1194 #Порт
proto udp #Протокол
dev tun   #Название виртуального устройства
ca /etc/openvpn/ccd/ca.crt
cert /etc/openvpn/ccd/server.crt
key /etc/openvpn/ccd/server.key # This file should be kept secret
dh /etc/openvpn/ccd/dh1024.pem
server 10.10.10.0 255.255.255.0 # vpn subnet
ifconfig-pool-persist ipp.txt # Тут будут храниться ip адреса клиентов
push "route 10.1.1.0 255.255.255.0 10.1.1.0" # home
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 4
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd # Тут будут настройки для каждого филиала
route 192.168.1.0 255.255.255.0 # Маршрут от сервера до филиала 1

[fisher74]

Какая ось у клиента? У клиента брандмауер смотрели?

[MAvrON]

клиент тоже на убунте 9.10 сидит. тоже вроде все разрешал...

[fisher74]

eth1 (10.1.1.2)..... Инет работает через роутер который имеет ip 10.1.1.1.

server 10.10.10.0 255.255.255.0 # vpn subnet
...
push "route 10.1.1.0 255.255.255.0 10.1.1.0" # home

Можете пояснить?

Ну и показывайте раскладки на обоих компах:

Код: [Выделить]

ifconfig -a
route -n

[MAvrON]

eth1 (10.1.1.2)..... Инет работает через роутер который имеет ip 10.1.1.1.

Т.е. у меня стоит роутер с IP 10.1.1.1 подключенный напрямую по витой паре к ubuntu server 9.10 на интерфейс eth1 (10.1.1.2)

server 10.10.10.0 255.255.255.0 # vpn subnet
...
push "route 10.1.1.0 255.255.255.0 10.1.1.0" # home

Можете пояснить?
Не много лоханулся по поводу push "route 10.1.1.0 255.255.255.0 10.1.1.0" нужно без последнего 10.1.1.0
[/quote]

Ну и показывайте раскладки на обоих компах:

Код: [Выделить]

ifconfig -a
route -n

На моем сервере ifconfig -a

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:e0:50:72:00:4e
          inet addr:192.168.2.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:50ff:fe72:4e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6136273 errors:2 dropped:113612 overruns:0 frame:2
          TX packets:5392384 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1660415473 (1.6 GB)  TX bytes:4053646760 (4.0 GB)
          Interrupt:19 Base address:0xec00

eth1      Link encap:Ethernet  HWaddr 00:01:6c:d2:92:5d
          inet addr:10.1.1.2  Bcast:10.1.0.255  Mask:255.255.255.0
          inet6 addr: fe80::201:6cff:fed2:925d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4789958 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5463741 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3008266631 (3.0 GB)  TX bytes:1598541403 (1.5 GB)
          Interrupt:19 Base address:0xe800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:101 errors:0 dropped:0 overruns:0 frame:0
          TX packets:101 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:13243 (13.2 KB)  TX bytes:13243 (13.2 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:1040 (1.0 KB)


route -n

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

10.10.10.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.1.1.2        255.255.255.0   UG    0      0        0 eth1
10.10.10.0      10.10.10.2      255.255.255.0   UG    0      0        0 tun0
10.1.1.0        10.1.1.2        255.255.255.0   UG    0      0        0 eth1
10.1.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         10.1.1.1        0.0.0.0         UG    100    0        0 eth1


[fisher74]

Я просил пояснить не столько что куда, сколько именно про синтаксис команды push, а ещё (особенно): зачем клиенту знать про сеть между сервером и роутером?

[MAvrON]

Я просил пояснить не столько что куда, сколько именно про синтаксис команды push, а ещё (особенно): зачем клиенту знать про сеть между сервером и роутером?

Честно не знаю, зачем ему видеть, но это было с какого примера слизано. И как то времени не было сильно вникать в команды. Вот поэтому прошу ткнуть меня носом где ошибки. Нужно, что бы клиент видел мою локалку и что бы я мог увидеть его локалку...

[fisher74]

Ну так и дайте ему маршрут не на сеть с роутером, а на локальную сеть

Кстати, при таком раскладе и маскарад не нужен будет
Пользователь решил продолжить мысль 15 Сентября 2011, 12:38:10:А чтобы его локалку увидеть - нужно Вам добавить маршрут на его локалку.

[MAvrON]

т.е. route + ip адреса и маска наших локалок? А шлюз он сам подхватит или нужно дописывать "route 192.168.2.0 255.255.255.0 192.168.2.1" так получается если я его хочу к себе пустить ? А еще такой вопрос, его локалка будет через мой инет сидеть или через его ? Просто как раз в далеком прошлом настраивал vpn и получилось так, что его компы которые в локалке были, ели мой интернет...

[fisher74]

На самом деле нужно смотреть схему и организацию обоих сетей: сети, маски, кто у клиентов шлюз и т.д.
Обычно при соединении двух оффисов использыется прозрачная адресация, т.е. каждый клиент общается с абонентом напрямую, безо всяких маскарадов. Если мостовые железки являются основными щлюзами для сетей, то вопрос решается только их настройкой. Если в сетях в качестве основного используется не участники моста, то придётся шаманить либо на основном шлюзе либо у клиентов.

Про настройку OpenVPN:
Шлюз клиент сам подхватит, то есть команда должна выглядеть так
push "route 192.168.2.0 255.255.255.0"
Интернет .... ну это опять же как настроить.

[MAvrON]

Понятно, буду думать дальше... у меня как раз данный серв, является и шлюзом и местным маршрутизатором, и squid'ом ) т.е. мне лучше перенести на другую машинку отдельно VPN ?

[fisher74]

Нет. Зачем? Как раз это самый идеальный вариант (в плане настройки сети), когда сервер VPN на основном шлюзе..

[MAvrON]

Понятно. Надеюсь сегодня все получится...если времени хватит на VPN