Частный вопрос по openvpn

[metris]

Добрый день!

Сразу скажу, что я недавно начал администрирование сетей, поэтому прошу сильно не ругать.

У меня частный вопрос по настройке openvpn, никакие маны не дают ответ Не вижу ничего за VPN-сервером.

Есть сеть в офисе 192.168.10.0, есть тестовый сервер в ней, на котором я настраиваю openvpn, с роутера порт 1194 форвардится прямо на сервер. Виртуальная сеть 192.168.100.0
Есть PC на вин7 вне сети, с которого я подключился.
Настроил сервер, клиент, подключился, но пинговать что угодно в 192.168.10.0 не получается. Пинг на 192.168.100.1 и 192.168.100.5 проходит отлично.

Конфиг сервера:

Код: [Выделить]

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 192.168.100.0  255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 192.168.10.1"
route 192.168.100.0 255.255.255.0
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log-append /etc/openvpn/openvpn-log.log
verb 6
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd
status /etc/openvpn/openvpn-status.log
Форвардинг на сервере включен

Код: [Выделить]

user@ubuntu-server:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
route print клиента

Код: [Выделить]

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.0.100   192.168.0.103       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.103   192.168.0.103       20
    192.168.0.103  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255    192.168.0.103   192.168.0.103       20
     192.168.10.0    255.255.255.0    192.168.100.5   192.168.100.6       1
    192.168.100.0    255.255.255.0    192.168.100.5   192.168.100.6       1
    192.168.100.4  255.255.255.252    192.168.100.6   192.168.100.6       30
    192.168.100.6  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.100.255  255.255.255.255    192.168.100.6   192.168.100.6       30
        224.0.0.0        240.0.0.0    192.168.0.103   192.168.0.103       20
        224.0.0.0        240.0.0.0    192.168.100.6   192.168.100.6       30
  255.255.255.255  255.255.255.255    192.168.0.103   192.168.0.103       1
  255.255.255.255  255.255.255.255    192.168.100.6   192.168.100.6       1
  255.255.255.255  255.255.255.255    192.168.100.6               2       1
Default Gateway:     192.168.0.100

Если я не ошибаюсь - проблема с маршрутами, но самостоятельно пока поправить не могу

[fisher74]

route -n (route print) на клиентах сети 192.168.10.0 показывайте

[metris]

route -n (route print) на клиентах сети 192.168.10.0 показывайте

WinXP

Код: [Выделить]

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.10.1   192.168.10.48       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     192.168.10.0    255.255.255.0    192.168.10.48   192.168.10.48       20
    192.168.10.48  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.10.255  255.255.255.255    192.168.10.48   192.168.10.48       20
        224.0.0.0        240.0.0.0    192.168.10.48   192.168.10.48       20
  255.255.255.255  255.255.255.255    192.168.10.48   192.168.10.48       1
  255.255.255.255  255.255.255.255    192.168.10.48               3       1
Основной шлюз:        192.168.10.1
Сам сервер:

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.10.1    0.0.0.0         UG    100    0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.100.0   192.168.100.2   255.255.255.0   UG    0      0        0 tun0
192.168.100.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0
ifconfig:

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:a0:d1:ce:22:51
          inet addr:192.168.10.51  Bcast:192.168.10.255  Mask:255.255.255.0

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.1  P-t-P:192.168.100.2  Mask:255.255.255.255

[ArcFi]

На основном шлюзе сети 192.168.10.0/24 добавить маршрут на 192.168.100.0/24 через VPN-шлюз.
Либо добавить этот маршрут на всех хостах данной сети.
Либо сделать SNAT на VPN-шлюзе.

[metris]

На основном шлюзе сети 192.168.10.0/24 добавить маршрут на 192.168.100.0/24 через VPN-шлюз.
Либо добавить этот маршрут на всех хостах данной сети.
Либо сделать SNAT на VPN-шлюзе.

Супер, спасибо! Добавил маршрут на роутере.
Теперь я вижу компы и могу их пинговать, но RDP (для которого это все, собственно и задумывалось) не ходит...(

Читаю, что такое SNAT....

[ArcFi]

Похоже, что дальше надо настраивать/отключать фаервол на RDP-сервере, либо включать SNAT на VPN-шлюзе.
Кроме того, iptables на всех промежуточных узлах должны разрешать форвард трафика на 3389/tcp и обратно.

[fisher74]

что дальше, надо настраивать/отключать фаервол на RDP-сервере,

+1000000
Потому что в Windowsх по дефолту доступ на RDP ограничен локальной сетью

[metris]

Похоже, что дальше, надо настраивать/отключать фаервол на RDP-сервере, либо включать SNAT на VPN-шлюзе.
Кроме того, iptables на всех промежуточных узлах должны разрешать форвард трафика на 3389/tcp и обратно.

что дальше, надо настраивать/отключать фаервол на RDP-сервере,

+1000000
Потому что в Windowsх по дефолту доступ на RDP ограничен локальной сетью

Добавил разрешающее правило для 3389/tcp на сервере, куда пытался подключииться - не помогло, к другим РС тоже не хочет.
Из промежуточных узлов - только роутрет в офисной сети (Cisco SB rv042), там я ничего не запрещал, посему предполагаю, что ходит исправно. Можно как-то проверить, где упирается пакет? К примеру, попинговать на порт 3389 возможно пакет вернется с информацией, кто его развернул? Это мои догадки, если что...
Хотя, судя по тому, что RDP не выдает ошибку, а просто пытается подключиться и ничего не происходит - пакет таки не возвращается...

Похоже, придется рыть глубже.
Правильно ли я понял задачу SNAT - подставлять пакетам полученным из 192.168.100.Х адрес источника 192.168.10.X, чтобы их принимали "за своих" и на обратном пути в виртуальную сеть вернуть им подсеть 100?

[ArcFi]

Добавил разрешающее правило для 3389/tcp на сервере, куда пытался подключииться - не помогло

Попробуйте временно отрубить фаервол на RDP-сервере.

Если ping есть, то с большой вероятностью косяк в фаерволе на одном из узлов.

Можно как-то проверить, где упирается пакет?

На промежуточных хостах в цепочке следования:

Код: [Выделить]

nmap -Pv -sV -p3389 IP
telnet IP 3389
nc IP 3389Но тут надо понимать, что форвард трафика отличается от трафика непосредственно с хоста — это разные цепочки iptables.
И если не использовать SNAT, то IP источника будет из другой сети.

Правильно ли я понял задачу SNAT - подставлять пакетам полученным из 192.168.100.Х адрес источника 192.168.10.X, чтобы их принимали "за своих" и на обратном пути в виртуальную сеть вернуть им подсеть 100?

Ага.

[metris]

Добавил разрешающее правило для 3389/tcp на сервере, куда пытался подключииться - не помогло

Попробуйте временно отрубить фаервол на RDP-сервере.

Если ping есть, то с большой вероятностью косяк в фаерволе на одном из узлов.

Правильно ли я понял задачу SNAT - подставлять пакетам полученным из 192.168.100.Х адрес источника 192.168.10.X, чтобы их принимали "за своих" и на обратном пути в виртуальную сеть вернуть им подсеть 100?

Ага.

На RDP-сервере только Windowsкий родной, выключение его не дало эффекта.

По настройке SNAT не подскажете статью для чайников, а то я пока слабо въезжаю в высокие материи таблиц маршрутизации?

На промежуточных хостах в цепочке следования:

Код: [Выделить]

nmap -Pv -sV -p3389 IP
telnet IP 3389
nc IP 3389Но тут надо понимать, что форвард трафика отличается от трафика непосредственно с хоста — это разные цепочки iptables.
И если не использовать SNAT, то IP источника будет из другой сети.

Щас попробую понять, что с этим делать, спасибо

[ArcFi]

По настройке SNAT не подскажете статью для чайников, а то я пока слабо въезжаю в высокие материи таблиц маршрутизации?

SNAT выполняется средствами iptables.
Типа такого:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -d 192.168.10.0/24 -o eth0 -j SNAT --to-source VPN_SERVER_IP

[metris]

РАБОТАЕТ!!! 
Спасибо всем участника, и в особенности ArcFi за "финальный аккорд".