OpenVPN - не видно сеть за сервером, нужна помощь профи...

[rromms]

Уважаемые господа!

На Virtualbox установил:
1. Windows XP sp3 (192.168.0.189) шлюзом у которой=>
2. Ubuntu 10.10 (LAN-192.168.0.190; WAN-192.168.1.190), на ней сервер OpenVPN (10.10.100.0/24).
3. pfSense 1.2.3 (LAN-192.168.2.70; WAN-192.168.1.200), которая шлюз у =>
4. XP sp3 (192.168.2.50), на ней клиента OpenVPN.

Мысль такая:
Связать клиента OpenVPN на Windows XP (Ip 192.168.2.50), у которой шлюз - pfSense (LAN 192.168.2.70, WAN 192.168.1.200),
с сервером OpenVPN на Ubuntu 10.10 (192.168.1.190) и получить доступ в сеть 192.168.0.0/24, представленную Windows XP sp3 (192.168.0.189) .
pfSense особо не настраивал, NAT там по умолчанию, разрешил только пинги.
Вроде бы все получилось, клиент устанавливает соединение с сервером (значок горит зеленым и логи говорят о том же), адреса присваиваются, маршруты прописываются.
Но, =>
1. Сервер не пингует клиента по адресу его сети, по "виртуальному" адресу пингует.
2. Клиент пингует сервер по всем адресам, но не может достучаться в сеть за сервером.

В общем прошу совета у гуру...

Схема этого "чуда" - во вложенном файле...

Сервер.
Конфиг:

(Нажмите, чтобы показать/скрыть)

# указываем на каком локальном интерфейсе OpenVPN будет слушать
# по умолчанию OpenVPN слушает все интерфейсы
#local xxx.xxx.xx.x

# порт на котором работает сервер
port 2101

# протокол - TCP или UDP
proto udp

# используемый тип устройства и номер
dev tun0

# указываем файл CA
ca /etc/openvpn/keys/ca.crt

# указываем файл с сертификатом сервера
cert /etc/openvpn/keys/server.crt

# указываем файл с ключем сервера
key /etc/openvpn/keys/server.key

# указываем файл с генерированный алгоритмом Диффи Хеллмана
dh /etc/openvpn/keys/dh1024.pem

# указываем где находится файл отозванных сертификатов
#crl-verify /etc/openvpn/crl.pem

# задаем IP-адрес сервера и маску подсети (виртуальной сети)
server 10.10.100.0 255.255.255.0

# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir /etc/openvpn/ccd

# добавляем маршрут сервер-клиент
route 10.10.100.0 255.255.255.252

# Клиент
route 192.168.2.0 255.255.255.0

# включаем TLS аутентификацию
tls-server

# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
tls-auth keys/ta.key 0

# TLS таймаут, полезен если выход в интернет осуществляется
# через GPRS мобильных операторов
tls-timeout 120

# выбираем алгоритм хеширования
# по умолчанию используется SHA1
# выбирать вам какой использовать (SHA1, MD5 итд итп)
# вывод полного списка openvpn --show-digests
auth SHA1

# выбираем алгоритм шифрования пакетов
# по умолчанию используется/рекомендуется BF-CBC
# вывод полного списка openvpn --show-ciphers
cipher BF-CBC

# проверяет активность подключения каждые 10 секунд,
# если в течении 120 сек. нет ответа, подключение закрывается
keepalive 10 120

# сжатия трафика с помощью библиотеки LZO
comp-lzo

# максимальное количество одновременных соединений/количество клиентов
max-clients 100

# от какого пользователя и группы работает OpenVPN
user nobody
group nogroup

# не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key

# не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun

# путь к файлу записи статуса OpenVPN в лог
status /var/log/openvpn/openvpn-status.log

# путь к файлу записи событий происходящих на сервере
# "log" - запись событий в лог будет перезаписываться при перезагрузке демона
# "log-append" - запись событий будет добавляться в лог
log /var/log/openvpn/openvpn.log

# уровень информации для отладки
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3

# макс кол-во однотипных записей в лог
#mute 20

Файл с настройками клиента в ccd:

(Нажмите, чтобы показать/скрыть)

===================================================
root@ubuntu:/etc/openvpn/ccd# cat client01
ifconfig-push 10.10.100.2 10.10.100.1
iroute 192.168.2.0  255.255.255.0
===================================================

Конфигурация интерфейсов:

(Нажмите, чтобы показать/скрыть)

root@ubuntu:/etc/network# ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:20:28:eb
          inet addr:192.168.1.190  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fe20:28eb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3922 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4169 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:494755 (494.7 KB)  TX bytes:859428 (859.4 KB)

eth1      Link encap:Ethernet  HWaddr 08:00:27:61:a3:3b
          inet addr:192.168.0.190  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fe61:a33b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:364 errors:0 dropped:0 overruns:0 frame:0
          TX packets:79 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:55825 (55.8 KB)  TX bytes:15340 (15.3 KB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.100.1  P-t-P:10.10.100.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:420 (420.0 B)  TX bytes:0 (0.0 B)

Маршруты:

(Нажмите, чтобы показать/скрыть)

====================================================================================
root@ubuntu:/etc/openvpn# route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.100.2     *               255.255.255.255 UH    0      0        0 tun0
10.10.100.0     10.10.100.2     255.255.255.0   UG    0      0        0 tun0
192.168.2.0     10.10.100.2     255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         192.168.1.1     0.0.0.0         UG    100    0        0 eth0
====================================================================================

Пинги с сервера:

(Нажмите, чтобы показать/скрыть)

Не пингуется клиент по IP cвоей сети:
root@ubuntu:/home/rromms# ping 192.168.2.50
PING 192.168.2.50 (192.168.2.50) 56(84) bytes of data.
^C
--- 192.168.2.50 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7024ms

А по IP виртуальной сети пингуется:

root@ubuntu:/home/rromms# ping 10.10.100.2
PING 10.10.100.2 (10.10.100.2) 56(84) bytes of data.
64 bytes from 10.10.100.2: icmp_req=1 ttl=128 time=2.13 ms

Оpenvpn-status.log

(Нажмите, чтобы показать/скрыть)

показывает, что клиент подключен:
====================================================================================
OpenVPN CLIENT LIST
Updated,Thu Apr  7 15:40:54 2011
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
client01,192.168.1.200:46842,11543,12823,Thu Apr  7 15:28:18 2011
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.10.100.2,client01,192.168.1.200:46842,Thu Apr  7 15:29:42 2011
192.168.2.0/24,client01,192.168.1.200:46842,Thu Apr  7 15:28:19 2011
GLOBAL STATS
Max bcast/mcast queue length,0
END
====================================================================================

Openvpn.log

(Нажмите, чтобы показать/скрыть)

====================================================================================
Thu Apr  7 15:27:40 2011 OpenVPN 2.1.0 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
Thu Apr  7 15:27:40 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this migh$
Thu Apr  7 15:27:40 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Apr  7 15:27:40 2011 Diffie-Hellman initialized with 1024 bit key
Thu Apr  7 15:27:40 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Thu Apr  7 15:27:41 2011 Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file
Thu Apr  7 15:27:41 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Apr  7 15:27:41 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Apr  7 15:27:41 2011 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Apr  7 15:27:41 2011 ROUTE default_gateway=192.168.1.1
Thu Apr  7 15:27:41 2011 TUN/TAP device tun0 opened
Thu Apr  7 15:27:41 2011 TUN/TAP TX queue length set to 100
Thu Apr  7 15:27:41 2011 /sbin/ifconfig tun0 10.10.100.1 pointopoint 10.10.100.2 mtu 1500
Thu Apr  7 15:27:41 2011 /sbin/route add -net 10.10.100.0 netmask 255.255.255.0 gw 10.10.100.2
Thu Apr  7 15:27:41 2011 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.10.100.2
Thu Apr  7 15:27:41 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr  7 15:27:41 2011 GID set to nogroup
Thu Apr  7 15:27:41 2011 UID set to nobody
Thu Apr  7 15:27:41 2011 Socket Buffers: R=[126976->131072] S=[126976->131072]
Thu Apr  7 15:27:41 2011 UDPv4 link local (bound): [undef]
Thu Apr  7 15:27:41 2011 UDPv4 link remote: [undef]
Thu Apr  7 15:27:41 2011 MULTI: multi_init called, r=256 v=256
Thu Apr  7 15:27:41 2011 IFCONFIG POOL: base=10.10.100.4 size=62
Thu Apr  7 15:27:41 2011 Initialization Sequence Completed
Thu Apr  7 15:28:18 2011 MULTI: multi_create_instance called
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Re-using SSL/TLS context
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 LZO compression initialized
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Local Options hash (VER=V4): '14168603'
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Expected Remote Options hash (VER=V4): '504e774e'
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 TLS: Initial packet from [AF_INET]192.168.1.200:46842, sid=051239a2 864658b2
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 VERIFY OK: depth=1, /C=UA/ST=DP/L=DNEPR/O=RROMMS/OU=ubuntu/CN=ubuntu/name=ubuntu/emailAddress=$
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 VERIFY OK: depth=0, /C=UA/ST=DP/L=DNEPR/O=RROMMS/CN=client01/emailAddress=rom023@mail.ru
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Apr  7 15:28:18 2011 192.168.1.200:46842 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Apr  7 15:28:19 2011 192.168.1.200:46842 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Apr  7 15:28:19 2011 192.168.1.200:46842 [client01] Peer Connection Initiated with [AF_INET]192.168.1.200:46842
Thu Apr  7 15:28:19 2011 client01/192.168.1.200:46842 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/ccd/client01
Thu Apr  7 15:28:19 2011 client01/192.168.1.200:46842 MULTI: Learn: 10.10.100.2 -> client01/192.168.1.200:46842
Thu Apr  7 15:28:19 2011 client01/192.168.1.200:46842 MULTI: primary virtual IP for client01/192.168.1.200:46842: 10.10.100.2
Thu Apr  7 15:28:19 2011 client01/192.168.1.200:46842 MULTI: internal route 192.168.2.0/24 -> client01/192.168.1.200:46842
Thu Apr  7 15:28:19 2011 client01/192.168.1.200:46842 MULTI: Learn: 192.168.2.0/24 -> client01/192.168.1.200:46842
Thu Apr  7 15:28:21 2011 client01/192.168.1.200:46842 PUSH: Received control message: 'PUSH_REQUEST'
Thu Apr  7 15:28:21 2011 client01/192.168.1.200:46842 SENT CONTROL [client01]: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 10.10.100.$
====================================================================================

Конфигурация клиента на Windows XP sp3.
Конфиг OpenVPN клиента:

(Нажмите, чтобы показать/скрыть)

===========================================================================
dev tun
proto udp
# IP сервера (основной канал)
remote 192.168.1.190
port 2101
client
resolv-retry infinite
# указываем файл CA
ca c:\\keys\\ca.crt
# указываем файл с сертификатом сервера
cert c:\\keys\\client01.crt
# указываем файл с ключем сервера
key c:\\keys\\client01.key
tls-client
tls-auth "c:\\Program Files\\OpenVPN\\ta.key" 1
auth SHA1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
===========================================================================

Интерфейсы на клиенте:

(Нажмите, чтобы показать/скрыть)

===========================================================================
C:\Documents and Settings\rromms>ipconfig /all

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : microsof-ab7d07
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : да
        WINS-прокси включен . . . . . . . : да

OpenVPN - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : TAP-Win32 Adapter V9
        Физический адрес. . . . . . . . . : 00-FF-82-65-EF-A4
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 10.10.100.2
        Маска подсети . . . . . . . . . . : 255.255.255.252
        Основной шлюз . . . . . . . . . . :
        DHCP-сервер . . . . . . . . . . . : 10.10.100.1
        Аренда получена . . . . . . . . . : 7 апреля 2011 г. 15:28:31
        Аренда истекает . . . . . . . . . : 6 апреля 2012 г. 15:28:31

Lan - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : AMD PCNET Family Ethernet Adapter (PCI)
        Физический адрес. . . . . . . . . : 08-00-27-E0-F9-33
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.2.50
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.2.70
        DNS-серверы . . . . . . . . . . . : 8.8.8.8
===========================================================================

Маршруты на клиенте:

(Нажмите, чтобы показать/скрыть)

C:\Documents and Settings\rromms>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 82 65 ef a4 ...... TAP-Win32 Adapter V9
0x20003 ...08 00 27 e0 f9 33 ...... AMD PCNET Family Ethernet Adapter (PCI)
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.2.70    192.168.2.50       20
      10.10.100.0  255.255.255.252      10.10.100.2     10.10.100.2       30
      10.10.100.0    255.255.255.0      10.10.100.1     10.10.100.2       1
      10.10.100.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255      10.10.100.2     10.10.100.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      10.10.100.1     10.10.100.2       1
      192.168.2.0    255.255.255.0     192.168.2.50    192.168.2.50       20
     192.168.2.50  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.2.255  255.255.255.255     192.168.2.50    192.168.2.50       20
        224.0.0.0        240.0.0.0      10.10.100.2     10.10.100.2       30
        224.0.0.0        240.0.0.0     192.168.2.50    192.168.2.50       20
  255.255.255.255  255.255.255.255      10.10.100.2     10.10.100.2       1
  255.255.255.255  255.255.255.255     192.168.2.50    192.168.2.50       1
Основной шлюз:        192.168.2.70
===========================================================================
Постоянные маршруты:
  Отсутствует
=============================================================================

Пинги с клиента:

(Нажмите, чтобы показать/скрыть)

Сервер пингуется отлично по всем адресам:

C:\Documents and Settings\rromms>ping 192.168.0.190
Обмен пакетами с 192.168.0.190 по 32 байт:
Ответ от 192.168.0.190: число байт=32 время=4мс TTL=64

C:\Documents and Settings\rromms>ping 10.10.100.1
Обмен пакетами с 10.10.100.1 по 32 байт:
Ответ от 10.10.100.1: число байт=32 время=1мс TTL=64

А вот WinXP (192.168.0.189) тоже не пингуется:

C:\Documents and Settings\rromms>ping 192.168.0.189

Обмен пакетами с 192.168.0.189 по 32 байт:

Ответ от 10.10.100.1: Заданный узел недоступен.
Ответ от 10.10.100.1: Заданный узел недоступен.
Ответ от 10.10.100.1: Заданный узел недоступен.
Ответ от 10.10.100.1: Заданный узел недоступен.

Статистика Ping для 192.168.0.189:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

И, наконец, настройки iptables на сервере:

(Нажмите, чтобы показать/скрыть)

===============================================================================================   
*mangle
:PREROUTING ACCEPT [276:56228]
:INPUT ACCEPT [233:48960]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [237:40647]
:POSTROUTING ACCEPT [245:44579]
COMMIT
# Completed on Thu Apr  7 20:03:35 2011
# Generated by iptables-save v1.4.4 on Thu Apr  7 20:03:35 2011
*nat
:PREROUTING ACCEPT [11:1466]
:OUTPUT ACCEPT [55:4662]
:POSTROUTING ACCEPT [5:715]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.151
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.190
COMMIT
# Completed on Thu Apr  7 20:03:35 2011
# Generated by iptables-save v1.4.4 on Thu Apr  7 20:03:35 2011
*filter
:INPUT DROP [1:83]
:FORWARD DROP [0:0]
:OUTPUT DROP [28:2156]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:open_vpn - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -d 192.168.0.255/32 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_inbound
-A INPUT -i eth0 -p udp -j udp_inbound
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -s 10.10.100.0/24 -i tun0 -j open_vpn #----------------------------------<== Jump на цепочку OpenVPN
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "
-A FORWARD -j bad_packets
-A FORWARD -i eth1 -p tcp -j tcp_outbound
-A FORWARD -i eth1 -p udp -j udp_outbound
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.151/32 -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 10.10.100.0/24 -o tun0 -j open_vpn #--------------------------------<== Jump на цепочку OpenVPN
-A FORWARD -s 10.10.100.0/24 -i tun0 -j open_vpn #--------------------------------<== Jump на цепочку OpenVPN
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.0.190/32 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -d 10.10.100.0/24 -o tun0 -j open_vpn #----------------------------------<== Jump на цепочку OpenVPN
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "
-A bad_packets -s 192.168.0.0/24 -i eth0 -j LOG --log-prefix "fp=bad_packets:2 a=DROP "
-A bad_packets -s 192.168.0.0/24 -i eth0 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "fp=bad_packets:1 a=DROP "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth1 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "fp=icmp_packets:1 a=DROP "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A open_vpn -d 10.10.100.0/24 -o tun0 -j ACCEPT # ------------------------------------<== Цепочка OpenVPN
-A open_vpn -s 10.10.100.0/24 -i tun0 -j ACCEPT # ------------------------------------<== Цепочка OpenVPN
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 143 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 995 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 993 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 2101 -j ACCEPT
-A tcp_inbound -s 192.168.1.151/32 -p tcp -m tcp --dport 10000 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 123 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 2101 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT

Заранее благодарен всем откликнувшемся!

[podkovyrsty]

А форвардинг включен?

[rromms]

Включен:

-A INPUT -s 10.10.100.0/24 -i tun0 -j open_vpn #---------------------------------------<== Jump на цепочку OpenVPN
=======================================================================
-A FORWARD -d 10.10.100.0/24 -o tun0 -j open_vpn #--------------------------------<== Jump на цепочку OpenVPN
-A FORWARD -s 10.10.100.0/24 -i tun0 -j open_vpn #----------------------------------<== Jump на цепочку OpenVPN
=======================================================================
-A OUTPUT -d 10.10.100.0/24 -o tun0 -j open_vpn #-----------------------------------<== Jump на цепочку OpenVPN
=======================================================================
-A open_vpn -d 10.10.100.0/24 -o tun0 -j ACCEPT # -----------------------------------<== Цепочка OpenVPN
-A open_vpn -s 10.10.100.0/24 -i tun0 -j ACCEPT # -------------------------------------<== Цепочка OpenVPN

[fisher74]

это правила iptables, а сам-то форвардинг включен?

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forward

[rromms]

Форвардинг включен.
Добавил скрипт в автозагрузку, при старте он, в т.ч., включает форвардинг и загружает правила iptables.

[fisher74]

Пошли по порядку:

1. Сервер не пингует клиента по адресу его сети, по "виртуальному" адресу пингует.

правила для пакетов с destination-адресом 192.168.2.0/24 для -o tun0 не вижу, как собственно и обратного разрешающего правила тоже не вижу.

2. Клиент пингует сервер по всем адресам, но не может достучаться в сеть за сервером.

правила для пакетов с destination-адресом 192.168.0.0/24 для -i tun0 не вижу, как собственно и обратного разрешающего правила тоже не вижу.

[rromms]

Спасибо за совет! Правила добавил. Сервер начал пинговать клиента по его IP (192.168.2.50)

Однако клиент по прежнему не видит сеть за сервером:

Код: [Выделить]

C:\Documents and Settings\rromms>ping 192.168.0.189

Обмен пакетами с 192.168.0.189 по 32 байт:

Ответ от 10.10.100.1: Заданный узел недоступен.
Точно также не видно клиента из сети за сервером, пинги уходят в никуда (превышен интервал ожидания для запроса).

Такое впечатление, что между tun0 и eth1 какой-то затык и пакеты между ними не ходят.

[fisher74]

Показывайте действующие правила.

[rromms]

Действущие правила:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@ubuntu:/home/rromms# iptables-save
# Generated by iptables-save v1.4.4 on Fri Apr  8 18:30:57 2011
*mangle
:PREROUTING ACCEPT [125:13086]
:INPUT ACCEPT [105:10069]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [101:12164]
:POSTROUTING ACCEPT [90:12637]
COMMIT
# Completed on Fri Apr  8 18:30:57 2011
# Generated by iptables-save v1.4.4 on Fri Apr  8 18:30:57 2011
*nat
:PREROUTING ACCEPT [9:984]
:OUTPUT ACCEPT [18:1329]
:POSTROUTING ACCEPT [1:217]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.151
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.190
COMMIT
# Completed on Fri Apr  8 18:30:57 2011
# Generated by iptables-save v1.4.4 on Fri Apr  8 18:30:57 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [27:2078]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:open_vpn - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -d 192.168.0.255/32 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_inbound
-A INPUT -i eth0 -p udp -j udp_inbound
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -i tun0 -j open_vpn
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "
-A FORWARD -j bad_packets
-A FORWARD -i eth1 -p tcp -j tcp_outbound
-A FORWARD -i eth1 -p udp -j udp_outbound
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.151/32 -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -o tun0 -j open_vpn
-A FORWARD -i tun0 -j open_vpn
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.0.190/32 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o tun0 -j open_vpn
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "
-A bad_packets -s 192.168.0.0/24 -i eth0 -j LOG --log-prefix "fp=bad_packets:2 a=DROP "
-A bad_packets -s 192.168.0.0/24 -i eth0 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "fp=bad_packets:1 a=DROP "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth1 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "fp=icmp_packets:1 a=DROP "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A open_vpn -d 10.10.100.0/24 -o tun0 -j ACCEPT
-A open_vpn -s 10.10.100.0/24 -i tun0 -j ACCEPT
-A open_vpn -d 192.168.0.0/24 -o tun0 -j ACCEPT
-A open_vpn -s 192.168.0.0/24 -i tun0 -j ACCEPT
-A open_vpn -d 192.168.2.0/24 -o tun0 -j ACCEPT
-A open_vpn -s 192.168.2.0/24 -i tun0 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 143 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 995 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 993 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 2101 -j ACCEPT
-A tcp_inbound -s 192.168.1.151/32 -p tcp -m tcp --dport 10000 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 123 -j ACCEPT
-A udp_inbound -p udp -m udp --dport 2101 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Fri Apr  8 18:30:57 2011


Форвардинг:

Код: [Выделить]

root@ubuntu:/home/rromms# cat /proc/sys/net/ipv4/ip_forward
1


[fisher74]

На машине Windows XP sp3 (192.168.0.189) покажите "route print"

[rromms]

route print c Windows XP sp3 (192.168.0.189)

Код: [Выделить]

C:\Documents and Settings\rromms>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP
0x10003 ...08 00 27 97 85 ea ...... AMD PCNET
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.0.190   192.168.0.189       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.189   192.168.0.189       20
    192.168.0.189  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255    192.168.0.189   192.168.0.189       20
        224.0.0.0        240.0.0.0    192.168.0.189   192.168.0.189       20
  255.255.255.255  255.255.255.255    192.168.0.189   192.168.0.189       1
Основной шлюз:       192.168.0.190
===========================================================================
Постоянные маршруты:
  Отсутствует

[fisher74]

-A open_vpn -d 192.168.0.0/24 -o tun0 -j ACCEPT
-A open_vpn -s 192.168.0.0/24 -i tun0 -j ACCEPT

Вы тут исходящий с входящим интерфейсом перепутали. Сетка 192.168.0.0/24 находится со стороны сервера относительно туннеля.
Потому правильно так

-A open_vpn -d 192.168.0.0/24 -i tun0 -j ACCEPT
-A open_vpn -s 192.168.0.0/24 -o tun0 -j ACCEPT

[rromms]

Поменял по Вашей подсказке. Сам действительно запутался...
Ситуация улучшилась - сеть за севером теперь видит клиента, без проблем зашел на админ.шару - \\192.168.2.50\c$\.
Но клиент до сети за сервером так и не достучался.

tcpdump при пинге клиентом OpenVPN сети за сервером говорит:

Код: [Выделить]

root@ubuntu:/home/rromms# tcpdump -r /home/rromms/tcp3
reading from file /home/rromms/tcp3, link-type EN10MB (Ethernet)
00:04:55.076342 IP 192.168.2.50.rtcm-sc104 > ubuntu.WORKGROUP.rtcm-sc104: UDP, length 101
00:04:55.076470 IP 192.168.1.200.14044 > ubuntu.WORKGROUP.rtcm-sc104: UDP, length 101
00:04:55.077030 IP 10.10.100.2 > 192.168.0.189: ICMP echo request, id 512, seq 20480, length 40
00:04:59.508232 IP ubuntu.WORKGROUP.rtcm-sc104 > 192.168.1.200.14044: UDP, length 53
00:04:59.508969 IP ubuntu.WORKGROUP.rtcm-sc104 > 192.168.2.50.rtcm-sc104: UDP, length 53
00:05:00.083398 IP 192.168.2.50.rtcm-sc104 > ubuntu.WORKGROUP.rtcm-sc104: UDP, length 101
00:05:00.083755 IP 192.168.1.200.14044 > ubuntu.WORKGROUP.rtcm-sc104: UDP, length 101
00:05:00.084194 IP 10.10.100.2 > 192.168.0.189: ICMP echo request, id 512, seq 20736, length 40
т.е. на 10.10.100.2 где-то пинги теряются...

При пинге клиента из сети сервера все в порядке:

Код: [Выделить]

23:55:28.404486 IP 192.168.0.189 > 192.168.2.50: ICMP echo request, id 1, seq 30, length 40
23:55:28.404689 IP ubuntu.WORKGROUP.rtcm-sc104 > 192.168.1.200.14044: UDP, length 101
23:55:28.405211 IP ubuntu.WORKGROUP.rtcm-sc104 > 192.168.2.50.rtcm-sc104: UDP, length 101
23:55:28.406085 IP 192.168.2.50.rtcm-sc104 > ubuntu.WORKGROUP.rtcm-sc104: UDP, length 101
23:55:28.407058 IP 192.168.1.200.14044 > ubuntu.WORKGROUP.rtcm-sc104: UDP, length 101
23:55:28.407570 IP 192.168.2.50 > 192.168.0.189: ICMP echo reply, id 1, seq 30, length 40

Мозги немного кипят уже...

[fisher74]

на 0.189 брандмауер разрешает icmp протокол не из локальной сети?
Препятствий больше не вижу.
192.168.0.190 со стороны 192.168.2,50 предполагаю, что пингуется.

[rromms]

Спасибо огромное за помощь!

Все получилось. WinXP (которая 192.168.0.189) мозги пудрила. Голая система с отключенным брандмауэром и на тебе...
Сделал клона из второй WinXP (которая 192.168.2.50), перенастроил и все заработало.

Теперь только записать для себя (что и как) осталось.