[РЕШЕНО] openVPN помогите донастроить

[S-VL]

День добрый, имеется домашняя сеть воткнута в роутер, за ним комп с ubuntu server. Роутер подключен к интернету с белым ip, порт 1194 tcp открыт для компа с ubuntu. Комп с Ubuntu имеет внутренный сетевой адрес 192.168.1.1, роутер имеет внутренний адрес 192.168.1.100.
Установил OpenVPN, сделал ключи. Вот конфигурация:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

dev tun
server 192.168.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
tls-server
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
proto tcp
port 1194
comp-lzo
keepalive 10 120
verb 4


Комп который Я хочу подключить (с windows) находится в организации где все сидят за nat'ом и интернет раздается по прокси с авторизацией.
Итак, установил OpenVPN Client на этот комп, вписал параметры прокси, закопировал серфитикаты и ключ, создал файлик настройки openvpn.ovpn, вот его содержимое:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

dev tun
client
remote x.x.x.x 1194
tls-client
ca ca.crt
cert client.crt
key client.key
proto tcp-client
comp-lzo
verb 4Где x.x.x.x - Белый IP адрес роутера.

Пробую подключиться, все успешно в трее экраны загорелись зеленым цветом и диалоговое окно уведомило, что получен адрес 192.168.0.6

Как мне сделать теперь, чтобы я с клиента ходил по локалке своей домашней сети (192.168.1.x), пинги не идут.

$ netstat -nr

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.1.100   0.0.0.0         UG        0 0          0 eth0
192.168.0.0     192.168.0.2     255.255.255.0   UG        0 0          0 tun0
192.168.0.2     0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0

$ ifconfig

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:02:b3:d7:a8:1b
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::202:b3ff:fed7:a81b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:70278 errors:0 dropped:0 overruns:0 frame:0
          TX packets:71661 errors:3 dropped:0 overruns:0 carrier:3
          collisions:0 txqueuelen:1000
          RX bytes:21907433 (21.9 MB)  TX bytes:24148262 (24.1 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:199398 errors:0 dropped:0 overruns:0 frame:0
          TX packets:199398 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:31785612 (31.7 MB)  TX bytes:31785612 (31.7 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.0.1  P-t-P:192.168.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:252 (252.0 B)

[saber]

Может быть мой мануал что-то новое для вас откроет?
http://www.odmin4eg.ru/2010/ubuntu-openvpn-server-nastrojka-soedinenie-filialov-set/

[S-VL]

saber, спасибо. Но что-то не получается.

После подключения клиент не видит сервер и сервер не видит клиента, пинги не идут.
Пользователь решил продолжить мысль 28 Июня 2011, 06:31:19:Все, разобрался. нормальные у меня конфиги. В винде дело было.

[fisher74]

ну так поставьте в название тег [Решено]

[S-VL]

$ ifconfig

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:02:b3:d7:a8:1b
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::202:b3ff:fed7:a81b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:171353 errors:0 dropped:0 overruns:0 frame:0
          TX packets:176894 errors:3 dropped:0 overruns:0 carrier:3
          collisions:0 txqueuelen:1000
          RX bytes:68420603 (68.4 MB)  TX bytes:70741281 (70.7 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:262294 errors:0 dropped:0 overruns:0 frame:0
          TX packets:262294 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:48319740 (48.3 MB)  TX bytes:48319740 (48.3 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.120.1  P-t-P:192.168.120.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:33 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:2204 (2.2 KB)  TX bytes:190 (190.0 B)

server.conf

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

port 1194
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 192.168.120.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
push "dhcp-option DNS 192.168.1.1"
push "dhcp-option WINS 192.168.1.1"
client-config-dir /etc/openvpn/ccd

/etc/openvpn/ccd/client

Код: [Выделить]

ifconfig-push 192.168.120.101 192.168.120.102
Подключение проходит без ошибок, клиент получает адрес 192.168.120.101. Пингую сервер 192.168.1.1, пинг идет, все нормально могу даже на него зайти.
Сам сервер 192.168.1.1 подключен к роутеру (192.168.1.100) который является шлюзом для сервера, в роутер воткнуто еще несколько компов (192.168.1.х) но с клиента пинги на роутер не идут, также не идут пинги и на другие ПК подключенные к роутеру.
Как исправить?

[fisher74]

Шлюз знает где находится сеть 192.168.120.0/24? Покажите его таблицу маршрутизации.
Роутер и другие ПК знают где находится сеть 192.168.120.0/24?
На сервере включен форвардинг пакетов?

[S-VL]

почему клиент получает шлюз 192.168.120.102? Как указать в настройках OpenVPN какой шлюз должны получать клиенты?
В гугл рою, пытаюсь поставить, чтото не получается.
cat /proc/sys/net/ipv4/ip_forward
там стоит 1
route -F

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.1.100   0.0.0.0         UG    100    0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.120.0   192.168.120.2   255.255.255.0   UG    0      0        0 tun0
192.168.120.2   *               255.255.255.255 UH    0      0        0 tun0
Пользователь решил продолжить мысль 28 Июня 2011, 11:08:41:нет, на роутере не указан маршрут до 192.168.120.0, как правильно будет указать на нем?
 192.168.120.0  255.255.255.0  192.168.1.1 так?

[fisher74]

почему клиент получает шлюз 192.168.120.102? Как указать в настройках OpenVPN какой шлюз должны получать клиенты?

А почему Вы считаете это неправильным? Это же tun, а не tap - изучите разницу и поймёте - правильно или неправильно.
Пока будете изучать посмотрите и нам покажите на клиенте

Код: [Выделить]

ifconfig
route -n

нет, на роутере не указан маршрут до 192.168.120.0, как правильно будет указать на нем?
 192.168.120.0  255.255.255.0  192.168.1.1 так?

По маршрутизации правильно. Как вводить - не знаю, потому как даже названия Вашего роутера не знаю (и не хочу знать)

[S-VL]

На роутере маршрут прописал.

Клиент ПК Windows вот:

C:\> netstat -nr

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Таблица маршрутов

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0  192.168.120.102  192.168.120.101      1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0  192.168.120.102  192.168.120.101      1
     192.168.24.0    255.255.252.0   192.168.24.212  192.168.24.212       20
   192.168.24.212  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.24.255  255.255.255.255   192.168.24.212  192.168.24.212       20
    192.168.120.0    255.255.255.0  192.168.120.102  192.168.120.101      1
  192.168.120.100  255.255.255.252  192.168.120.101  192.168.120.101      30
  192.168.120.101  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.120.255  255.255.255.255  192.168.120.101  192.168.120.101      30
     217.74.116.8  255.255.255.255     192.168.25.1  192.168.24.212       1
        224.0.0.0        240.0.0.0   192.168.24.212  192.168.24.212       20
        224.0.0.0        240.0.0.0  192.168.120.101  192.168.120.101      30
  255.255.255.255  255.255.255.255   192.168.24.212  192.168.24.212       1
  255.255.255.255  255.255.255.255  192.168.120.101  192.168.120.101      1
Основной шлюз:     192.168.120.102
===========================================================================
Постоянные маршруты:
  Отсутствует


C:\> ipconfig/all

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\guah\Рабочий стол>ipconfig/all

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : 4403-ten
        Основной DNS-суффикс  . . . . . . : xxxx
        Тип узла. . . . . . . . . . . . . : гибридный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет
        Порядок просмотра суффиксов DNS . : xxxx
                                            xxxx

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . : empl.vvsu.ru
        Описание  . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit E
thernet NIC
        Физический адрес. . . . . . . . . : 00-1F-C6-A8-13-44
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.24.212
        Маска подсети . . . . . . . . . . : 255.255.252.0
        Основной шлюз . . . . . . . . . . :
        DHCP-сервер . . . . . . . . . . . : 10.100.100.246
        DNS-серверы . . . . . . . . . . . : 10.20.2.2
                                            10.20.2.3
        Основной WINS-сервер  . . . . . . : 10.20.2.3
        Дополнительный WINS-сервер. . . . : 10.20.2.2
        Аренда получена . . . . . . . . . : 28 июня 2011 г. 19:29:22
        Аренда истекает . . . . . . . . . : 28 июня 2011 г. 21:29:22

Подключение по локальной сети 2 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : TAP-Win32 Adapter V9
        Физический адрес. . . . . . . . . : 00-FF-91-DC-94-2F
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.120.101
        Маска подсети . . . . . . . . . . : 255.255.255.252
        Основной шлюз . . . . . . . . . . : 192.168.120.102
        DHCP-сервер . . . . . . . . . . . : 192.168.120.102
        DNS-серверы . . . . . . . . . . . : 192.168.1.1
        Основной WINS-сервер  . . . . . . : 192.168.1.1
        Аренда получена . . . . . . . . . : 28 июня 2011 г. 19:49:42
        Аренда истекает . . . . . . . . . : 27 июня 2012 г. 19:49:42

C:\Documents and Settings\guah\Рабочий стол>


[fisher74]

        IP-адрес  . . . . . . . . . . . . : 192.168.120.101
        Маска подсети . . . . . . . . . . : 255.255.255.252
        Основной шлюз . . . . . . . . . . : 192.168.120.102

Здесь таится ответ на Ваш вопрос.
Всё у Вас нормально на клиентах. Мучайте узлы.

[S-VL]

fisher74, спасибо большое за помощь!

В логах на клиенте OpenVPN заметил:

Код: [Выделить]

WARNING: potential route subnet conflict between local LAN [192.168.120.100/255.255.255.252] and remote VPN [192.168.120.0/255.255.255.0]

Всё у Вас нормально на клиентах. Мучайте узлы.

Я извиняюсь, каким макаром из "мучить"? Что сделать?

[fisher74]

А что Вы сделали? Клиенты ovpn пингуют роутер?

P.S. Кстати, в конфиге сервера строка "push "route 192.168.1.0 255.255.255.0"" лишняя, раз у Вас у клиентов сервер становится дефолтным шлюзом.

[S-VL]

После того как Я прописал на роутере
192.168.120.0  255.255.255.0  192.168.1.1

Все стало пинговать, я тупанул (Свет дома выключали соответственно компы рубануло кроме сервера с роутером т.к. они в  бесперебойнике =) Все, локалка пашет.
"push "route 192.168.1.0 255.255.255.0"" убрал спс.

Скажите пожалуста, какую строчку мне впихнуть в iptables чтобы расшарить интернет на клиента 192.168.120.101

[fisher74]

Код: [Выделить]

iptables -A FORWARD -s 192.168.120.101 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.120.101 -o ppp0 -j MASQUERADE
Это навскидку, потому что нужно знать какие правила уже есть

[S-VL]

Правил никаких нету, iptable-save имее такой вид:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Tue Jun 28 21:41:46 2011
*nat
:PREROUTING ACCEPT [854:60265]
:INPUT ACCEPT [818:57441]
:OUTPUT ACCEPT [7441:542278]
:POSTROUTING ACCEPT [7477:545102]
COMMIT
# Completed on Tue Jun 28 21:41:46 2011
# Generated by iptables-save v1.4.10 on Tue Jun 28 21:41:46 2011
*filter
:INPUT ACCEPT [84940:20964443]
:FORWARD ACCEPT [196:20228]
:OUTPUT ACCEPT [90475:21317738]
:fail2ban-default - [0:0]
-A INPUT -p tcp -j fail2ban-default
-A INPUT -p tcp -j fail2ban-default
-A INPUT -p tcp -j fail2ban-default
-A fail2ban-default -j RETURN
-A fail2ban-default -j RETURN
-A fail2ban-default -j RETURN
COMMIT
# Completed on Tue Jun 28 21:41:46 2011


У меня интернет раздает роутер (192.168.1.100), а сервер (192.168.1.1) на котором поднят OpenVPN имеются следующие интерфейсы:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:02:b3:d7:a8:1b
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::202:b3ff:fed7:a81b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:213251 errors:0 dropped:0 overruns:0 frame:0
          TX packets:224187 errors:9 dropped:0 overruns:0 carrier:9
          collisions:0 txqueuelen:1000
          RX bytes:84025385 (84.0 MB)  TX bytes:86603111 (86.6 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:312876 errors:0 dropped:0 overruns:0 frame:0
          TX packets:312876 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:55386507 (55.3 MB)  TX bytes:55386507 (55.3 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.120.1  P-t-P:192.168.120.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:134 errors:0 dropped:0 overruns:0 frame:0
          TX packets:105 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:12553 (12.5 KB)  TX bytes:8920 (8.9 KB)


Я так понимаю мне надо перенаправить трафик с eth0, тогда такие правила подойдут?

Код: [Выделить]

iptables -A FORWARD -s 192.168.120.101 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.120.101 -o eth0 -j MASQUERADE
Если чесно я iptables вообще плохо соображаю, но разве здесь нужен маскарад? Адреса ведь все нам извесны, у меня совершенно все статичное.
Пользователь решил продолжить мысль 28 Июня 2011, 14:53:09:Может лучше использовать SNAT?