OpenVPN - сервер за NAT

[thunderamur]

OpenVPN server --------> Router (NAT) ----------> Inet ----------> Router (NAT) -----------> OpenVPN client

на сервере

(Нажмите, чтобы показать/скрыть)

server.conf

Код: [Выделить]

port 1194
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
push "route 192.168.6.0 255.255.255.0"
push "route 192.168.7.0 255.255.255.0"

client-config-dir ccd

route 10.8.0.0 255.255.255.252

route 192.168.100.0 255.255.255.0

tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC

;client-to-client

keepalive 10 120

comp-lzo

max-clients 2

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

Код: [Выделить]

root@ramil-desktop:/etc/openvpn# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:25:22:f5:d6:36 
          inet addr:192.168.1.250  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::225:22ff:fef5:d636/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2305345 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1554616 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:2450761062 (2.4 GB)  TX bytes:414395338 (414.3 MB)
          Interrupt:44

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:262504 errors:0 dropped:0 overruns:0 frame:0
          TX packets:262504 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:84265692 (84.2 MB)  TX bytes:84265692 (84.2 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2890 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5264 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:207421 (207.4 KB)  TX bytes:2856098 (2.8 MB)

virbr0    Link encap:Ethernet  HWaddr 1e:8e:ed:2c:06:be 
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)




root@ramil-desktop:/etc/openvpn# route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.252 UG    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
192.168.100.0   10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0





root@ramil-desktop:/etc/openvpn# iptables-save
# Generated by iptables-save v1.4.12 on Wed Jul 25 21:48:28 2012
*nat
:PREROUTING ACCEPT [26463:2332762]
:INPUT ACCEPT [21611:2160735]
:OUTPUT ACCEPT [63097:4942223]
:POSTROUTING ACCEPT [62935:4927146]
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Jul 25 21:48:28 2012
# Generated by iptables-save v1.4.12 on Wed Jul 25 21:48:28 2012
*mangle
:PREROUTING ACCEPT [2565338:2500159658]
:INPUT ACCEPT [2560394:2499974789]
:FORWARD ACCEPT [10:840]
:OUTPUT ACCEPT [1672649:468272708]
:POSTROUTING ACCEPT [1690923:469880174]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Jul 25 21:48:28 2012
# Generated by iptables-save v1.4.12 on Wed Jul 25 21:48:28 2012
*filter
:INPUT ACCEPT [2560390:2499974370]
:FORWARD ACCEPT [10:840]
:OUTPUT ACCEPT [1672643:468272201]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Jul 25 21:48:28 2012

на клиенте:

(Нажмите, чтобы показать/скрыть)

client.conf

Код: [Выделить]

client
dev tun
proto udp

remote xxx.xxx.xxx.xxx
port xyz

resolv-retry infinite

;user nobody
;group nogroup

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/minnigaliev.r.crt
key /etc/openvpn/keys/minnigaliev.r.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun

;up /etc/openvpn/openvpn_up.sh

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20


Код: [Выделить]

root@a975:/etc/openvpn# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:25:22:87:f0:9b 
          inet addr:192.168.100.101  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::225:22ff:fe87:f09b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22339 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18136 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17766060 (17.7 MB)  TX bytes:3102312 (3.1 MB)
          Interrupt:43 Base address:0xc000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:12383 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12383 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:650975 (650.9 KB)  TX bytes:650975 (650.9 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.2  P-t-P:10.8.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:6296 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3744 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:3355722 (3.3 MB)  TX bytes:270617 (270.6 KB)





root@a975:/etc/openvpn# route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.100.1   0.0.0.0         UG    0      0        0 eth0
10.8.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
192.168.0.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.4.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.5.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.6.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.7.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.100.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0




root@a975:/etc/openvpn# iptables-save
root@a975:/etc/openvpn#


Проверка пинга на клиенте:

Код: [Выделить]

root@a975:/etc/openvpn# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=35.3 ms
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=33.8 ms
^C
--- 10.8.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 33.869/34.611/35.354/0.765 ms
root@a975:/etc/openvpn# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=51 time=157 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=51 time=156 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 156.491/156.801/157.112/0.503 ms
root@a975:/etc/openvpn# ping 192.168.1.42
PING 192.168.1.42 (192.168.1.42) 56(84) bytes of data.
^C
--- 192.168.1.42 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1007ms


[AnrDaemon]

Сложно сказать, не зная IP в локалке сервера.

[thunderamur]

Попробовал настроить по новой.
Всю информацию поместил в 1-й пост. Подскажите как достучаться до локалки за сервером.

[fisher74]

А локалка за сервером знает, где находится сеть 10.8.0.0/24?

[thunderamur]

вот как раз нет.
нужно завернуть сеть назначения 10.8.0.0 на 10.8.0.1, верно?

[djrust]

Код: [Выделить]

virbr0    Link encap:Ethernet  HWaddr 1e:8e:ed:2c:06:be 
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

У вас нет ни одного маршрута сюда


+ надо наверно с клиента пинг делать на 192.168.122.1 (Я понял, что локалка в 122 подсети?)
+
traceroute(tracert) 192.168.122.1

приведите все под разные спойлеры или коды.....не удобно жеж смотреть то.....
ааааа.....вон она как....не сразу понял....

[fisher74]

нужно завернуть сеть назначения 10.8.0.0 на 10.8.0.1, верно?

Нет, нужно завернуть на 192.168.1.250. Это с учётом того, что сервер в локалку смотрит портом eth0.

Код: [Выделить]

virbr0    Link encap:Ethernet  HWaddr 1e:8e:ed:2c:06:be 
У вас нет ни одного маршрута сюда

Как я понял в задачах доступ к виртуалке не рассматривался

[thunderamur]

djrust,
virbr0, это мост для гипервизора, локалка на eth0, как обычно - 192.168.1.250/24

ВМ находятся на сервере доступны в локалке 192.168.1.0/24
Пользователь решил продолжить мысль 25 Июля 2012, 16:56:52:fisher74,
на сервере

Код: [Выделить]

route add -net 10.8.0.0 netmask 255.255.255.0 dev eth0?

[fisher74]

нет, при чём тут сервер? Клиентам подобный маршрут надо (зависит от их ОС и интерфейсов)

[thunderamur]

добавил на сервер, пинг пошёл в сеть... (ничего не изменилось, некоторые машины уже были доступны, а большинство - нет)

про добавить клиентам не понятно, если я отправлю 10.8.0.0 на eth0 на клиенте... я наверное не догоняю, если не трудно можешь подробнее?
Пользователь решил продолжить мысль 25 Июля 2012, 17:05:14:некоторые машины доступны, некоторые нет, рано я обрадовался.

[fisher74]

Я так понимаю Router (NAT) является шлюзом для локальной сети. Если есть возможность, то лучше пропишите на нём маршрут на сеть 10.8.0.0/25 через gateway 192.168.1.250

[rayanAyar]

А ещё лучше было бы поднять OpenVPN на самих роутерах. У меня это работает на OpenWRT.

[fisher74]

Вынужден согласиться. Так же одно время эксплуатировал сервер OpenVPN на DIR-320 под DD-WRT (как-то не заморачивался OpenWRT - хватало). Но это совсем другая история.

[thunderamur]

вечером проверю, должно быть всё хорошо)

а что на счёт роутера и OpenVPN, дайте ссылку почитать. Какую канал осилит роутер?

[victor00000]

(Нажмите, чтобы показать/скрыть)

зачем впн? понимаю, спутник тарелка вход, а модем выход.