Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: OpenVPN. tun vs tap.  (Прочитано 15566 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
OpenVPN. tun vs tap.
« : 24 Февраль 2012, 13:46:37 »
Здраствуйте мои дорогие любители сладенького товарищи.
Задача в общем классическая. Объединить две сети через OpenVPN туннель.
Код: Text
  1.  ________________                                                                                  _____________
  2. /                \        192.168.10.1    10.113.73.31        10.155.1.66       10.14.1.1         /             \
  3. | 192.168.10.0/24 | <---->    LAN1  ШлюзА LAN_ISP     <---->    LAN_ISP   ШлюзВ    LAN2  <--->   | 10.14.1.0/24 |
  4. \________________/                             OpenVPN 192.168.3.0/24                             \_____________/

Все в общем работает. Но для меня остался неясным один момент, а именно:
Если в OpenVPN использовать tun-устойства, нихрена не работает.
Что напрягает: в tun-интерфейсах p-t-p-адреса разные, по опыту с pptp|l2tp такого быть не должно.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
Если поменять условия. Вместо tun использовать tap. То все работает.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)

Собственно конфиги.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)

Cкажите пожалуйста, где я дурак.
« Последнее редактирование: 24 Февраль 2012, 14:19:35 от KT315 »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #1 : 24 Февраль 2012, 13:53:25 »
Таблесы?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #2 : 24 Февраль 2012, 14:03:36 »
Таблесы.
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #3 : 24 Февраль 2012, 14:20:49 »
inet addr:192.168.3.6  P-t-P:192.168.3.5  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Два разных PtP туннеля, должно быть
inet addr:192.168.3.2  P-t-P:192.168.3.1  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255

В конфиге сервера указано:
ifconfig-pool-persist ipp.txt
а что в  ipp.txt ?
а если напрямую в конфиге указать:
ifconfig 192.168.3.1 192.168.3.2 - на сервере
ifconfig 192.168.3.2 192.168.3.1 - на клиенте

PS: давно этим занимался.
« Последнее редактирование: 24 Февраль 2012, 14:32:36 от AlDemin »

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #4 : 24 Февраль 2012, 14:40:21 »
inet addr:192.168.3.6  P-t-P:192.168.3.5  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Два разных PtP туннеля, должно быть
inet addr:192.168.3.2  P-t-P:192.168.3.1  Mask:255.255.255.255
inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Я тоже обратил на это внимание. Почему именно так?
В конфиге сервера указано:
ifconfig-pool-persist ipp.txt
а что в  ipp.txt ?
Код: Text
  1. rushub,192.168.3.4
Запись сделал OpenVPN сервер.
а если напрямую в конфиге указать:
ifconfig 192.168.3.1 192.168.3.2 - на сервере
ifconfig 192.168.3.2 192.168.3.1 - на клиенте
Закоментировал на сервере
ifconfig-pool-persist. Добавил принудительную конфигурацию по твоему совету.
Клиент проигнорировал такую запись.
Вот его лог
(Нажмите, чтобы показать/скрыть)
Лог сервера
(Нажмите, чтобы показать/скрыть)

Клиент и сервер - оба Ubuntu 10.04
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 24 Февраль 2012, 14:48:03 от KT315 »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #5 : 24 Февраль 2012, 14:47:31 »
Цитировать
в tun-интерфейсах p-t-p-адреса разные, по опыту с pptp|l2tp такого быть не должно.
Для OpenVPN это нормальное явление.
В этом VPN мы в ifconfig не видим сам сервер. Все tun+ - это соединения к виртуальному серверу, причём в том числе и в системе на которой крутится сервер.
Потому предложение AlDemin неверно в корне.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #6 : 24 Февраль 2012, 14:57:07 »
Возможно я что то упустил, но года 4 назад настраивал туннель между двумя сетями, там и конфиги проще были строк 5-7 (без использования сертификатов) и в режиме клиент-клиент через udp, и клиент-сервер через tcp, работало с полпинка.
Настраивалось все друг на друга точка-точка ни каких вирт.серверов не создавалось.
Наверное надо обновить знания...
« Последнее редактирование: 24 Февраль 2012, 15:00:38 от AlDemin »

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #7 : 24 Февраль 2012, 15:00:55 »
Наверное...
Напоминаю, что проблема только с tun. С tap все отлично работает. И это главный вопрос.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #8 : 24 Февраль 2012, 15:11:32 »
Я понимаю. У меня не стояла задача делать прозрачную маршрутизацию (а точнее она как раз не нужна была), потому я решил этот вопрос банальным маскарадом.
С моей точки зрения косяков в конфигах нет, кроме того, что я бы подсунул в конфиг сервера
route 10.14.1.0 255.255.255.0
но этот маршрут и так добавляется.

Готов поучаствовать в решении.
Думаю стоит попробовать для начала от клиентской сети пингануть интерфейс tun0 серверной части.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #9 : 24 Февраль 2012, 15:16:54 »
У меня как раз прозрачная маршрутизация приоритет.
Оставлю пока работать с tap'ами. Неохота на другой конец города пилить, случись чего.
C tun буду разбираться на виртуталках. Отпишусь позже.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #10 : 24 Февраль 2012, 15:47:37 »
Два конфига типа "сервер"-клиент
сервер в кавычках тк никакой он не сервер, для одного РтР вполне достаточного и этого:
local 91.225.20.2
port 55555
proto udp
dev tun
ifconfig 192.168.3.1 192.168.3.2
remote 91.225.20.2
port 55555
proto udp
dev tun
ifconfig 192.168.3.2 192.168.3.1
туннель поднимается, пинги бегают, дальше прикручиваем маршрутизацию и шифрование по вкусу.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #11 : 24 Февраль 2012, 16:18:04 »
Если так, то да.
А вот как с ключами в этом случае быть? Или не шифроваться? Не дело - параноя гложет.

В моём случае multiconnect - потому не катит.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AlDemin

  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #12 : 24 Февраль 2012, 16:43:27 »
http://www.opennet.ru/base/net/openvpn_office.txt.html
Тут фактически та же конфигурация с прикрученными ключами шифрованием и компрессией.
Но это для простого варианта точка-точка.

Цитировать
В моём случае multiconnect - потому не катит.
согласен.

Оффлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #13 : 24 Февраль 2012, 16:49:02 »
Цитировать
Два конфига типа "сервер"-клиент
Взял за основу. Прикрутил ключи. Спасибо. Работает и через tun.
Тема пусть пока открытой будет. OpenVPN для меня новинка, возможно несколько вопросов будет.

Пользователь решил продолжить мысль 24 Февраль 2012, 19:47:00:
Ну и сразу вопрос. Эта схема хороша для двух участников. Клиент-сервер.
Если клиентов будет > 1 то  получается мы приходим к тому, с чего начинали.
К строчке в конфиге сервера.
server 192.168.3.0 255.255.255.0И к разным туннелям.
Код: Text
  1. inet addr:192.168.3.6  P-t-P:192.168.3.5  Mask:255.255.255.255
  2. inet addr:192.168.3.1  P-t-P:192.168.3.2  Mask:255.255.255.255
Поэтому в топку tun. Если кто подскажет еще немножно, буду благодарен.
« Последнее редактирование: 24 Февраль 2012, 19:47:00 от KT315 »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Re: OpenVPN. tun vs tap.
« Ответ #14 : 24 Февраль 2012, 21:49:37 »
Мне не нравится строчка
server 192.168.3.0 255.255.255.0

Где можно документацию почитать?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.081 секунд. Запросов: 24.