[РЕШЕНО] OpenVPN маршрутизация с сервера на клиент

[Shveller]

Всем привет. Я недопонимаю, почему с сервера не пингуется клиент. Кто силен, подскажите где я запутался.
Есть два офиса с разными подсетями 192.168.1.0/24 и 192.168.0.0/24
ip сервера 192.168.1.100
ip клиента 192.168.0.12

Сервер:

 /etc/openvpn/server.conf

(Нажмите, чтобы показать/скрыть)

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh2048.pem
server 10.254.254.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
route 192.168.0.0 255.255.255.0 10.254.254.2
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.17.0.100"
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret
cipher BF-CBC        # Blowfish (default)
comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn-append.log
verb 3
mute 20

 iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Sat Jan 24 10:53:08 2015
*nat
:PREROUTING ACCEPT [31:4454]
:INPUT ACCEPT [31:4454]
:OUTPUT ACCEPT [1067:67432]
:POSTROUTING ACCEPT [32:1920]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Jan 24 10:53:08 2015
# Generated by iptables-save v1.4.21 on Sat Jan 24 10:53:08 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13768:1802030]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A FORWARD -i tun0-00 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0-00 -j ACCEPT
COMMIT
# Completed on Sat Jan 24 10:53:08 2015

ifconfig

(Нажмите, чтобы показать/скрыть)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.254.254.1  P-t-P:10.254.254.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth0      Link encap:Ethernet  HWaddr 00:e0:4c:93:1d:d6 
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fdfb:ef59:f597:0:75c3:aeb5:4d99:2ddf/64 Scope:Общий
          inet6 addr: fe80::2e0:4cff:fe93:1dd6/64 Scope:Link
          inet6 addr: fdfb:ef59:f597:0:2e0:4cff:fe93:1dd6/64 Scope:Общий
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15732 errors:0 dropped:1 overruns:0 frame:0
          TX packets:14036 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:12687002 (12.6 MB)  TX bytes:2033659 (2.0 MB)

route

(Нажмите, чтобы показать/скрыть)

10.254.254.0    10.254.254.2    255.255.255.0   UG    0      0        0 tun0
10.254.254.2    *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.0.0     10.254.254.2    255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0

/etc/openvpn/ccd/client

(Нажмите, чтобы показать/скрыть)

iroute 192.168.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"

Клиент:

/etc/openvpn/client.conf

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto udp
remote ip_server 1194
resolv-retry infinite
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth SHA1 # по-умолчанию. Можно MD5
cipher BF-CBC
remote-cert-tls server
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20
script-security 2
up /etc/openvpn/update-resolv.conf
down /etc/openvpn/update-resolv.conf

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Sat Jan 24 11:06:42 2015
*nat
:PREROUTING ACCEPT [33:4423]
:INPUT ACCEPT [32:4350]
:OUTPUT ACCEPT [292:21781]
:POSTROUTING ACCEPT [140:8836]
-A POSTROUTING -o wlan0 -j MASQUERADE
COMMIT
# Completed on Sat Jan 24 11:06:42 2015
# Generated by iptables-save v1.4.21 on Sat Jan 24 11:06:42 2015
*filter
:INPUT ACCEPT [9:1828]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1199:109405]
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A FORWARD -i tun0-00 -o wlan0 -j ACCEPT
-A FORWARD -i wlan0 -o tun0-00 -j ACCEPT
COMMIT
# Completed on Sat Jan 24 11:06:42 2015

ifconfig

(Нажмите, чтобы показать/скрыть)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.254.254.6  P-t-P:10.254.254.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:5 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1374 (1.3 KB)  TX bytes:752 (752.0 B)

wlan0     Link encap:Ethernet  HWaddr f4:b7:e2:f1:9d:39 
          inet addr:192.168.0.12  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1594 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1726 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:158895 (158.8 KB)  TX bytes:197357 (197.3 KB)

route

(Нажмите, чтобы показать/скрыть)

default         10.254.254.5    128.0.0.0       UG    0      0        0 tun0
default         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
10.254.254.0    10.254.254.5    255.255.255.0   UG    0      0        0 tun0
10.254.254.5    *               255.255.255.255 UH    0      0        0 tun0
IP_server       192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
128.0.0.0       10.254.254.5    128.0.0.0       UG    0      0        0 tun0
192.168.1.0     10.254.254.5    255.255.255.0   UG    0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     9      0        0 wlan0

sysctl -p

(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward = 1

С клиента при поднятом vpn канале, весь трафик идет через сервер. Задача, клиентскую сеть расшарить для  сервера.

Прошу помощи

[fisher74]

Небольшая поправочка.
Раз уже делаете это в ccd, то зачем оставлять в конфиге серевера, да ещё с ошибкой

/etc/openvpn/server.conf
route 192.168.0.0 255.255.255.0 10.254.254.2

Теперь по проблеме: клиентская сеть знает про сеть за сервером?
покажите таблицу маршрутизации одной из машин из сети 192.168.0.0/24

[Shveller]

Небольшая поправочка.
Раз уже делаете это в ccd, то зачем оставлять в конфиге серевера, да ещё с ошибкой

/etc/openvpn/server.conf
route 192.168.0.0 255.255.255.0 10.254.254.2

Удалил с конфига, пусть будет в ccd - спасибо

Теперь по проблеме: клиентская сеть знает про сеть за сервером?
покажите таблицу маршрутизации одной из машин из сети 192.168.0.0/24

С понедельника скину, выходные. Но по крайнем мере с самого клиента вижу сеть за сервером, кроме самого сервера (тоже не удобно, приходиться стучаться по ssh на внешний ip, внутренний не пингуется)

[fisher74]

кроме самого сервера (тоже не удобно, приходиться стучаться по ssh на внешний ip, внутренний не пингуется)

ну так Вы же сами запретили все входящие, кроме eth0.

Код: [Выделить]

sudo iptables -A INPUT -i tun0 -p tcp --dport ssh -j ACCEPTи ситуация изменится

[Shveller]

кроме самого сервера (тоже не удобно, приходиться стучаться по ssh на внешний ip, внутренний не пингуется)

ну так Вы же сами запретили все входящие, кроме eth0.

Код: [Выделить]

sudo iptables -A INPUT -i tun0 -p tcp --dport ssh -j ACCEPTи ситуация изменится

C хоста 192.168.0.13 до роутера за сервером
 
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
 1  10.254.254.1 (10.254.254.1)  28.995 ms  29.796 ms  31.018 ms
 2  192.168.1.1 (192.168.1.1)  31.712 ms  33.154 ms  34.337 ms

До самого сервера пинги не идут.

На сервере:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Mon Jan 26 19:41:28 2015
*nat
:PREROUTING ACCEPT [1415:105323]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [10086:606670]
:POSTROUTING ACCEPT [9515:570869]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jan 26 19:41:28 2015
# Generated by iptables-save v1.4.21 on Mon Jan 26 19:41:28 2015
*filter
:INPUT DROP [901:73524]
:FORWARD ACCEPT [6471:2315264]
:OUTPUT ACCEPT [30470:3932547]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i tun0-00 -j ACCEPT
-A FORWARD -i tun0-00 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0-00 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Mon Jan 26 19:41:28 2015

На клиенте:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Mon Jan 26 19:42:35 2015
*nat
:PREROUTING ACCEPT [15:1890]
:INPUT ACCEPT [1:343]
:OUTPUT ACCEPT [336:20961]
:POSTROUTING ACCEPT [335:20702]
-A POSTROUTING -o wlan0 -j MASQUERADE
COMMIT
# Completed on Mon Jan 26 19:42:35 2015
# Generated by iptables-save v1.4.21 on Mon Jan 26 19:42:35 2015
*filter
:INPUT ACCEPT [1231:636047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3151:516996]
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A INPUT -i tun0-00 -j ACCEPT
-A FORWARD -i tun0-00 -o wlan0 -j ACCEPT
-A FORWARD -i wlan0 -o tun0-00 -j ACCEPT
COMMIT
# Completed on Mon Jan 26 19:42:35 2015

C сервера пинги не идут в сеть клиента.




Пользователь решил продолжить мысль [time]26 Январь 2015, 20:39:29[/time]:На клиенте tcpdump -i tun0 и пингую с сервера

21:33:21.589810 IP 10.254.254.1 > 192.168.0.13: ICMP echo request, id 3464, seq 58, length 64
21:33:21.589840 IP 192.168.0.13 > 10.254.254.1: ICMP echo reply, id 3464, seq 58, length 64
21:33:22.562244 IP 10.254.254.1 > 192.168.0.13: ICMP echo request, id 3464, seq 59, length 64
21:33:22.562277 IP 192.168.0.13 > 10.254.254.1: ICMP echo reply, id 3464, seq 59, length 64
21:33:23.548438 IP 10.254.254.1 > 192.168.0.13: ICMP echo request, id 3464, seq 60, length 64

Со стороны сервера пинги не идут, но по tcpdump'у видны запросы - ответы.

А если сделаем наоборот, то есть на сервере запускаем tcpdump -i tun0 и пингуем с клиента, то

21:37:52.289741 IP 10.254.254.6 > 192.168.1.100: ICMP echo request, id 5129, seq 1, length 64
21:37:53.289351 IP 10.254.254.6 > 192.168.1.100: ICMP echo request, id 5129, seq 2, length 64
21:37:54.311398 IP 10.254.254.6 > 192.168.1.100: ICMP echo request, id 5129, seq 3, length 64
21:37:55.288882 IP 10.254.254.6 > 192.168.1.100: ICMP echo request, id 5129, seq 4, length 64
21:37:56.288804 IP 10.254.254.6 > 192.168.1.100: ICMP echo request, id 5129, seq 5, length 64

Только запросы, ответа нет. В фаерволе что то недописал?
Пользователь решил продолжить мысль [time]26 Январь 2015, 20:43:19[/time]:Тьфу ты. Проблема с тем, что не правильно указал интерфейс, оказывается не tun0-00, а просто tun0. Проблема решена, fisher74 благодарю за участие.

Интересно то, что (ниже действующие правила)

-A INPUT -i tun0 -j ACCEPT - если тут указать tun0-00 то не работает правило
-A FORWARD -i tun0-00 -o wlan0 -j ACCEPT - если прописан интерфейс так, то работает forwarding
-A FORWARD -i wlan0 -o tun0-00 -j ACCEPT

Почему так? Я впервые с этим столкнулся.