OpenVpn & маршрутизация

[djrust]

Есть Роутер(D-Link) который раздает интернет.За роутером сеть(192.168.1.0).В этой сети есть Ubuntu server 10.04(192.168.1.252)

На роутере настроен проброс порта(1194) на 192.168.1.252.На Ubuntu настроен openvpn в режиме туннеля L3

На сам сервер я подключаюсь и пингую его,а как подключаться на компы сети 192.168.1.0?
Знаю,что маршрутизация?а дальше пропасть))).....?на сервере или на клиенте прописывать маршрут?получается,что до каждого клиента отдельный маршрут?

Всегда настраивал в режиме моста или с двумя сетевыми картами,когда ubuntu являлся шлюзом.А вот когда сервер обычная машина в сети не знаю((

ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:16:76:b4:62:dc
          inet addr:192.168.1.252  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::216:76ff:feb4:62dc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3733695 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4304733 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:482091293 (482.0 MB)  TX bytes:3324273064 (3.3 GB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:5589 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5589 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:348247 (348.2 KB)  TX bytes:348247 (348.2 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.40.1  P-t-P:10.10.40.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:28 errors:0 dropped:0 overruns:0 frame:0
          TX packets:27 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1450 (1.4 KB)  TX bytes:1675 (1.6 KB)

route -n

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.40.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.10.40.0      10.10.40.2      255.255.255.0   UG    0      0        0 tun0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eth0

[fisher74]

На сервере нужно включить ip_forward, а на роутере(Dlink) (или на компьютерах сети 192.168.1.0, но это изврат) добавить маршрут

Код: [Выделить]

sudo route add -net 10.10.40.0 netmask 255.255.255.0 gw 192.168.1.252

[djrust]

получается ,если мне нужен только один комп(XP)

Код: [Выделить]

route add 10.10.40.0 mask 255.255.255.0 192.168.1.252

[StribogB]

/usr/share/doc/openvpn/examples/easy-rsa/2.0/
Здесь примеры конфигов. Может поможет.

В конфиг сервера
push "route 192.168.1.0 255.255.255.0"
Пользователь решил продолжить мысль 22 Апреля 2011, 23:38:29:

получается ,если мне нужен только один комп(XP)

Код: [Выделить]

route add 10.10.40.0 mask 255.255.255.0 192.168.1.252

Нет. Удобней Iptables-ом регулировать доступ.
Добавлю для понимания.
 10.10.40.0 mask 255.255.255.0 - это мы указываем подсеть в которою должны ходить какие то компьютеры с помощью гейтвея(роутера)  192.168.1.252.
А тебе нужно ходить из виртуальной подсети VPN в локальную сеть. Для этого тебе нужно на сервере в конфиге сервера расказать куда обращаться клиентам VPN сервера, что бы попасть в твою под сеть. А т.к. смотря как ты настроишь свой сервер.  Для каждого клиента VPN будет создаваться на  VPN сервере свой роутер(гейтвей). Поэтому ты должен добавить в конфиг сервера, push "route 192.168.1.0 255.255.255.0", тоесть клиентам указать в какую сеть ходить а роутер(гейт) через который можно будет попасть в подсеть 192.168.1.0 255.255.255.0 допишет сам VPN сервер. Где-то так, надеюсь не запутал полностью.

[djrust]

StribogB
ваша правда,только когда сервер является шлюзом и на нем 2 сетевые......у меня одна и он как обычный комп

[StribogB]

StribogB
ваша правда,только когда сервер является шлюзом и на нем 2 сетевые......у меня одна и он как обычный комп

вообщем-то на нем два сетевых интерфейса это физическая сетевуха и виртальная. Для клиентов VPN роутером будет виртуальная сетевая карта? А дальше пакеты должны поидее попадать на физический интерфейс и там разруливаться. И об этом уже беспокоються маршруты на физической сетевой карте. Помоему правильно. Может тебе прийдеться добавить на Роутер(D-Link) маршрут к подсети route add 10.10.40.0 mask 255.255.255.0 192.168.1.252. Т.к. Этот роутер должен знать куда возвращать пакеты для подсети 10.10.40.0 mask 255.255.255.0. Но думаю тебе это не понадобиться, т.к. ты будешь натить с помощью где-то похожего правила iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE в свою подсеть. А если ты их будешь натить значит источником всего твоего трафика будет физический интерфейс с ip адрессом 192.168.1.252, а об этом  ip-ке твой роутер по умолчанию на Роутер(D-Link) будет знать. Одно ты не сможешь увидеть в сети своих VPN клиентов.

[djrust]

А дальше пакеты должны поидее попадать на физический интерфейс и там разруливаться. И об этом уже беспокоються маршруты на физической сетевой карте. Помоему правильно

Про это я и спрашиваю,какие там должны быть маршруты!

Все Остальное(то что вы писали) Есть с самого начала!

[StribogB]

Я дописал свою мысль прочитай предыдущее мое сообщение. Можно конечно посмотреть tcpdump-ом  попадают ли пакеты на какой либо хост, и они не возвращаються, это может быть или из-за маршрутизации или от настроек твоего фаирвола iptables на сервере Ubuntu.

[djrust]

Я думаю вам нужно прочесть вот это
http://forum.ixbt.com/topic.cgi?id=14:49976:64#64

Правда была у fisher74

[StribogB]

Я думаю вам нужно прочесть вот это
http://forum.ixbt.com/topic.cgi?id=14:49976:64#64

Правда была у fisher74

Я помоему говорил тоже самое, что написано в статье, но не так разжевано, но статья классная автору респект и уважуха. Интересно куда ты добавил этот маршрут на какую машину? И напиши как ты на сервере Ubuntu прописывал правило для ната, интересно.

[djrust]

но статья классная автору респект и уважуха

Автор вообще молодец)
StribogB
Насколько я понял,вы говорили про правила фаервола(но не привели ни одного примера реализации)

Добавил я маршрут на машину с XP - в ccd правило push "route 192.168.X.0 255.255.255.0" .Это же правило можно и в конфиг сервера для всех клиентов!

Так же попробовал на роутер добавить правило,так же все отлично заработало!

Фаервол я не трогал вообще!Если вы приведете пример реализации без маршрутов,то будет вообще отлично!
Т.е чтобы сервер был выбеленный и на нем был openvpn + все правила настраивались только на этой машине...Только вроде это не реализуемо!или!?

[djrust]

Всем привет,есть проблемка!

windows 2003 server x64(192.168.1.5) --> утстановлен virtual box(192.168.1.10),ubuntu server 10.04lts

На ubuntu настроен openvpn

server.conf

Код: [Выделить]


port 1194
#Указываем протокол
proto udp
# Тип интерфейса
dev tun


server 10.10.40.0 255.255.255.0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/Server.crt
key /etc/openvpn/keys/Server.key
dh /etc/openvpn/keys/dh1024.pem


#Шифрование
cipher DES-CBC

user nobody
group nogroup

status /etc/openvpn/logs/openvpn-status.log

log-append /etc/openvpn/logs/openvpn.log

verb 4

mute 20

max-clients 10


keepalive 10 120

client-config-dir /etc/openvpn/ccd

comp-lzo

persist-key
persist-tun

ccd-exclusive

push "route 192.168.1.0 255.255.255.0"


client.ovpn

Код: [Выделить]

client
dev tun
proto udp
remote ip 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
cipher DES-CBC
comp-lzo

На 192.168.1.5 добавлен маршрут

Код: [Выделить]

route add 10.10.40.0 mask 255.255.255.0 192.168.1.10
RDP работает,все ок!Но как только захожу на обменник(\\192.168.1.5\obmen) сыпятся ошибки

Это с клиента

Код: [Выделить]

Mon Dec 12 01:30:03 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #160 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Если добавляю маршрут на сеть 10.10.40.0 на роутере,то ошибки на клиенте начинают сыпаться сразу...На обменник заходишь 1 раз и потом полный зависон....до рестарта explorer.exe

при этом в логах сервера наблюдаю

Код: [Выделить]

MULTI: bad source address from client:192.168.50.15 packet dropped


[fisher74]

при этом в логах сервера наблюдаю

MULTI: bad source address from client:192.168.50.15 packet dropped

Опечатка?

[djrust]

насколько помню, то Нет! Это локальный Ip клиента.

[djrust]

Идей нету?так и сыпятся сообщения

(Нажмите, чтобы показать/скрыть)

Sat Dec 17 16:57:26 2011 Initialization Sequence Completed
Sat Dec 17 16:59:09 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #71 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:12 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #100 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:16 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #146 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:20 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #153 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:25 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #162 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:33 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #203 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:37 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #261 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:41 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #288 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:45 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #303 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:49 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #364 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:54 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #406 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 16:59:57 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #447 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:01 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #477 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:06 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #492 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:10 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #522 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:14 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #588 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:18 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #961 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:22 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1068 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:26 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1130 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:30 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1288 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:35 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1311 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:39 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1315 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:44 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1367 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:00:47 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1391 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:01:45 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1441 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:01:50 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1459 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sat Dec 17 17:01:53 2011 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1467 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings