Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: OpenVPN. tun vs tap.  (Прочитано 18230 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
OpenVPN. tun vs tap.
« : 24 Февраля 2012, 13:46:37 »
Здраствуйте мои дорогие любители сладенького товарищи.
Задача в общем классическая. Объединить две сети через OpenVPN туннель.
Код: (text) [Выделить]
________________                                                                                  _____________
/                \        192.168.10.1    10.113.73.31        10.155.1.66       10.14.1.1         /             \
| 192.168.10.0/24 | <---->    LAN1  ШлюзА LAN_ISP     <---->    LAN_ISP   ШлюзВ    LAN2  <--->   | 10.14.1.0/24 |
\________________/                             OpenVPN 192.168.3.0/24                             \_____________/

Все в общем работает. Но для меня остался неясным один момент, а именно:
Если в OpenVPN использовать tun-устойства, нихрена не работает.
Что напрягает: в tun-интерфейсах p-t-p-адреса разные, по опыту с pptp|l2tp такого быть не должно.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
Если поменять условия. Вместо tun использовать tap. То все работает.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)

Собственно конфиги.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)

Cкажите пожалуйста, где я дурак.
« Последнее редактирование: 24 Февраля 2012, 14:19:35 от KT315 »
OpenWrt 19.07

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #1 : 24 Февраля 2012, 13:53:25 »
Таблесы?

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #2 : 24 Февраля 2012, 14:03:36 »
Таблесы.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
OpenWrt 19.07

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #3 : 24 Февраля 2012, 14:20:49 »
inet addr:192.168.3.6  P-t-P:192.168.3.5  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Два разных PtP туннеля, должно быть
inet addr:192.168.3.2  P-t-P:192.168.3.1  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255

В конфиге сервера указано:
ifconfig-pool-persist ipp.txt
а что в  ipp.txt ?
а если напрямую в конфиге указать:
ifconfig 192.168.3.1 192.168.3.2 - на сервере
ifconfig 192.168.3.2 192.168.3.1 - на клиенте

PS: давно этим занимался.
« Последнее редактирование: 24 Февраля 2012, 14:32:36 от AlDemin »

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #4 : 24 Февраля 2012, 14:40:21 »
inet addr:192.168.3.6  P-t-P:192.168.3.5  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Два разных PtP туннеля, должно быть
inet addr:192.168.3.2  P-t-P:192.168.3.1  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Я тоже обратил на это внимание. Почему именно так?
В конфиге сервера указано:
ifconfig-pool-persist ipp.txt
а что в  ipp.txt ?
Код: (text) [Выделить]
rushub,192.168.3.4Запись сделал OpenVPN сервер.
а если напрямую в конфиге указать:
ifconfig 192.168.3.1 192.168.3.2 - на сервере
ifconfig 192.168.3.2 192.168.3.1 - на клиенте
Закоментировал на сервере
ifconfig-pool-persist. Добавил принудительную конфигурацию по твоему совету.
Клиент проигнорировал такую запись.
Вот его лог
(Нажмите, чтобы показать/скрыть)
Лог сервера
(Нажмите, чтобы показать/скрыть)

Клиент и сервер - оба Ubuntu 10.04
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 24 Февраля 2012, 14:48:03 от KT315 »
OpenWrt 19.07

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #5 : 24 Февраля 2012, 14:47:31 »
Цитировать
в tun-интерфейсах p-t-p-адреса разные, по опыту с pptp|l2tp такого быть не должно.
Для OpenVPN это нормальное явление.
В этом VPN мы в ifconfig не видим сам сервер. Все tun+ - это соединения к виртуальному серверу, причём в том числе и в системе на которой крутится сервер.
Потому предложение AlDemin неверно в корне.

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #6 : 24 Февраля 2012, 14:57:07 »
Возможно я что то упустил, но года 4 назад настраивал туннель между двумя сетями, там и конфиги проще были строк 5-7 (без использования сертификатов) и в режиме клиент-клиент через udp, и клиент-сервер через tcp, работало с полпинка.
Настраивалось все друг на друга точка-точка ни каких вирт.серверов не создавалось.
Наверное надо обновить знания...
« Последнее редактирование: 24 Февраля 2012, 15:00:38 от AlDemin »

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #7 : 24 Февраля 2012, 15:00:55 »
Наверное...
Напоминаю, что проблема только с tun. С tap все отлично работает. И это главный вопрос.
OpenWrt 19.07

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #8 : 24 Февраля 2012, 15:11:32 »
Я понимаю. У меня не стояла задача делать прозрачную маршрутизацию (а точнее она как раз не нужна была), потому я решил этот вопрос банальным маскарадом.
С моей точки зрения косяков в конфигах нет, кроме того, что я бы подсунул в конфиг сервера
route 10.14.1.0 255.255.255.0
но этот маршрут и так добавляется.

Готов поучаствовать в решении.
Думаю стоит попробовать для начала от клиентской сети пингануть интерфейс tun0 серверной части.

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #9 : 24 Февраля 2012, 15:16:54 »
У меня как раз прозрачная маршрутизация приоритет.
Оставлю пока работать с tap'ами. Неохота на другой конец города пилить, случись чего.
C tun буду разбираться на виртуталках. Отпишусь позже.
OpenWrt 19.07

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #10 : 24 Февраля 2012, 15:47:37 »
Два конфига типа "сервер"-клиент
сервер в кавычках тк никакой он не сервер, для одного РтР вполне достаточного и этого:
local 91.225.20.2
port 55555
proto udp
dev tun
ifconfig 192.168.3.1 192.168.3.2
remote 91.225.20.2
port 55555
proto udp
dev tun
ifconfig 192.168.3.2 192.168.3.1
туннель поднимается, пинги бегают, дальше прикручиваем маршрутизацию и шифрование по вкусу.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #11 : 24 Февраля 2012, 16:18:04 »
Если так, то да.
А вот как с ключами в этом случае быть? Или не шифроваться? Не дело - параноя гложет.

В моём случае multiconnect - потому не катит.

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #12 : 24 Февраля 2012, 16:43:27 »
http://www.opennet.ru/base/net/openvpn_office.txt.html
Тут фактически та же конфигурация с прикрученными ключами шифрованием и компрессией.
Но это для простого варианта точка-точка.

Цитировать
В моём случае multiconnect - потому не катит.
согласен.

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #13 : 24 Февраля 2012, 16:49:02 »
Цитировать
Два конфига типа "сервер"-клиент
Взял за основу. Прикрутил ключи. Спасибо. Работает и через tun.
Тема пусть пока открытой будет. OpenVPN для меня новинка, возможно несколько вопросов будет.

Пользователь решил продолжить мысль 24 Февраля 2012, 19:47:00:
Ну и сразу вопрос. Эта схема хороша для двух участников. Клиент-сервер.
Если клиентов будет > 1 то  получается мы приходим к тому, с чего начинали.
К строчке в конфиге сервера.
server 192.168.3.0 255.255.255.0И к разным туннелям.
Код: (code) [Выделить]
inet addr:192.168.3.6  P-t-P:192.168.3.5  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Поэтому в топку tun. Если кто подскажет еще немножно, буду благодарен.
« Последнее редактирование: 24 Февраля 2012, 19:47:00 от KT315 »
OpenWrt 19.07

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #14 : 24 Февраля 2012, 21:49:37 »
Мне не нравится строчка
server 192.168.3.0 255.255.255.0

Где можно документацию почитать?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.051 секунд. Запросов: 25.