Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Помогите с настройкой OpenVPN и маршрутизации в Ubuntu Server 10.04  (Прочитано 4149 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Magmatrax

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Собственнно, сабж: Нужна помощь с настройкой OpenVPN в Ubuntu Server 10.04.
Есть компания с небольшой филиальной сетью в разных городах. В каждом филиале - своя подсеть (192.168.1.0/24 в ЦО; 192.168.2.0/24, 192.168.3.0/24 и так далее - в филиалах). Нужно увязать это всё вместе таким образом, чтобы сотрудники филиалов имели доступ к информационным ресурсам ЦО.
В филиалах и ЦО стоят шлюзы с Ubuntu Server 10.04 и поднятым OpenVPN.

Конфигурация сервера:
port 1357
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.6
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tls-server
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3 # На данный момент предполагается таким образом подключить 3 филиала
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

Конфигурация клиента:

client
dev tun
proto udp
remote 198.198.198.198 #Условно, внешний IP шлюза в ЦО
port 1357
resolv-retry infinite
persist-key
persist-tun
ns-cert-type server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/filial1.crt
key /etc/openvpn/keys/filial1.key
dh /etc/openvpn/keys/dh1024.pem
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
cipher AES-128-CBC
comp-lzo
#ifconfig 10.8.0.6 10.8.0.1
#route 192.168.1.0 255.255.255.0
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

При вышеуказанной конфигурации VPN-туннель вроде поднимается, пинги между 10.8.0.1 (IP шлюза в ЦО) и 10.8.0.6 (IP, получаемый шлюзом в филиале) идут, но подсеть 192.168.2.0/24 со шлюза и, тем более, РС в ЦО не видна.

У меня не большой опыт настройки linux, поэтому прошу помочь. Не могу разобраться, в чем проблема. Если нужны маршруты или какие-то изменения iptables - посоветуйте какие и как их прописать.

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
один из вариантов Bridge(сетевой мост) между br0 и сетевой смотрящей в локальную сеть(в главном офисе)
sudo apt-get install bridge-utils


Пользователь решил продолжить мысль 21 Июля 2010, 11:22:24:
http://nikizaru.52.com1.ru/page.php?al=openvpn

Оффлайн kassper

  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
В фаерволе открыт доступ?

Оффлайн Magmatrax

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
В фаерволе открыт доступ?
Если бы он был закрыт, VPN-туннель не поднялся бы.

Сейчас получается, я могу из сети ЦО пропинговать только интерфейсы шлюза в ЦО, а с этого шлюза - внешний и получаемый при подключении VPN IP-адреса шлюза в филиале. Но всё что за шлюзом, и его интерфейс, смотрящий в сеть филиала пингануть не могу.
Пропуск трафика через шлюзы вроде включил, а толку - ноль (Может, не всё, что нужно сделал. Для включения раскомментировал строку "net.ipv4.ip_forward=1" в файле /etc/sysctl.conf).

Гарри Кашпировский

  • Гость
А как же маршрутизация?
В ЦО на сети филиалов, и в сетях филиалов на ЦО?

Оффлайн Magmatrax

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
один из вариантов Bridge(сетевой мост) между br0 и сетевой смотрящей в локальную сеть(в главном офисе)
sudo apt-get install bridge-utilsПользователь решил продолжить мысль 21 Июля 2010, 11:22:24:
http://nikizaru.52.com1.ru/page.php?al=openvpn

Спасибо за ссылку. Там вполне толковый ман, я немного подправил свои конфиги, с поправкой на linux, конечно, и всё заработало.

У меня забавная ситуация сейчас вышла. Маршруты на шлюзах поднимаются вместе с установкой VPN-туннеля, видимость между сетями есть, но сами шлюзы видят только другие шлюзы, а не сеть за ними. То есть, из сети 192.168.1.0/24 пингуется любой хост сети 192.168.2.0/24 и наоборот, но со шлюза 192.168.1.1 (в ЦО) я пингую только 192.168.2.1 (шлюз филиала), но не пингую остальные хосты этой сети.

 

Страница сгенерирована за 0.081 секунд. Запросов: 23.