OpenVPN | Сеть за клиентом не видна. Клиент не является шлюзом.

[PsihoZ]

Доброго всем вечера, и всех с праздничками и новым годом 
 
У меня аналогичная проблема, но с немного отличающимися исходными данными.
Перерыл море тем, но не смог решить одну проблему, надеюсь вы мне поможете.
 
Собственно задача следующая.
 
Есть две сети: Lan home (192.168.0.0/24) и Lan office (192.168.93.0/24)? соединенные туннелем OVPN (192.168.100.0/24).
Туннель поднимается, оба конца пингуются.
СХЕМА

Необходимо:
с компьютера РС1.1 (192.168.0.11) попадать на любой компьютер сети 192.168.93.0/24 (обратное прохождение не требуется)
Имею на данный момент:
С компьютера PC1.1 (192.168.0.11) спокойно пингуется туннель (адреса 192.168.100.1 и 192.168.100.2), и удаленная машина по её IP удаленной сети (192.168.93.10), но дальше не проходит.

Привожу данные с PFSense (OVPN Server):

(Нажмите, чтобы показать/скрыть)

ifconfig

Код: [Выделить]

[2.0.1-RELEASE][admin@fbrouter.localdomain]/root(17): ifconfig
vr0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether 00:0d:b9:24:f6:00
        inet6 fe80::20d:b9ff:fe24:f600%vr0 prefixlen 64 scopeid 0x1
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether 00:0d:b9:24:f6:01
        inet6 fe80::20d:b9ff:fe24:f601%vr1 prefixlen 64 scopeid 0x2
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8280b<RXCSUM,TXCSUM,VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether 00:22:b0:f4:97:9a
        inet6 fe80::222:b0ff:fef4:979a%vr2 prefixlen 64 scopeid 0x3
        inet 85.159.?.? netmask 0xffffffe0 broadcast 85.159.?.?
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 2290
        ether 00:16:cf:83:62:45
        media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
        status: running
pflog0: flags=100<PROMISC> metric 0 mtu 33200
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
enc0: flags=0<> metric 0 mtu 1536
ath0_wlan0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:16:cf:83:62:45
        inet6 fe80::216:cfff:fe83:6245%ath0_wlan0 prefixlen 64 scopeid 0x9
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
        media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
        status: running
        ssid WiFiNet channel 1 (2412 MHz 11g) bssid 00:16:cf:83:62:45
        regdomain 99 indoor ecm authmode WPA2/802.11i privacy MIXED
        deftxkey 2 AES-CCM 2:128-bit AES-CCM 3:128-bit txpower 20 scanvalid 60
        protmode OFF burst -apbridge dtimperiod 1 -dfs
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 86:c4:1b:ca:34:d3
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: vr0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 1 priority 128 path cost 200000
        member: ath0_wlan0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 9 priority 128 path cost 370370
        member: vr1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 2 priority 128 path cost 200000
ovpns1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet6 fe80::20d:b9ff:fe24:f600%ovpns1 prefixlen 64 scopeid 0xb
        inet 192.168.100.1 --> 192.168.100.2 netmask 0xffffffff
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
        Opened by PID 7146


 
netstat -rn

Код: [Выделить]

[2.0.1-RELEASE][admin@fbrouter.localdomain]/root(18): netstat -rn
Routing tables
 
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            85.159.42.33       UGS         0 1542026841    vr2
85.159.42.32/27    link#3             U           0  1837641    vr2
85.159.42.37       link#3             UHS         0        0    lo0
127.0.0.1          link#6             UH          0      476    lo0
192.168.0.0/24     link#10            U           0 620671280 bridge
192.168.0.1        link#10            UHS         0        0    lo0
192.168.93.0/24    192.168.100.2      UGS         0       11 ovpns1
192.168.100.0/24   192.168.100.2      UGS         0        0 ovpns1
192.168.100.1      link#11            UHS         0        2    lo0
192.168.100.2      link#11            UH          0        2 ovpns1
212.1.224.6        00:22:b0:f4:97:9a  UHS         0      318    vr2
212.1.244.6        00:22:b0:f4:97:9a  UHS         0      318    vr2


 
конфиг сервера:

Код: [Выделить]

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 85.159.42.37
tls-server
server 192.168.100.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 5
push "route 192.168.0.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
float
push "route 192.168.100.0 255.255.255.0"
route 192.168.93.0 255.255.255.0 192.168.100.2
route 192.168.100.0 255.255.255.0


 
клиент-конфиг на сервере:

Код: [Выделить]

ifconfig-push 192.168.100.2 192.168.100.1
push "route 192.168.0.0 255.255.255.0"
iroute 192.168.93.0 255.255.255.0
route 192.168.93.0 255.255.255.0 192.168.93.2


С удаленного сервера (VPN Client):

(Нажмите, чтобы показать/скрыть)

ifconfig

Код: [Выделить]

sanchez@ubuntu-srv:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:15:b6:92
          inet addr:192.168.93.10  Bcast:192.168.93.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe15:b692/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:866769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:859936 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:60406428 (60.4 MB)  TX bytes:47275082 (47.2 MB)
 
lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:672 (672.0 B)  TX bytes:672 (672.0 B)
 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.2  P-t-P:192.168.100.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1092 (1.0 KB)  TX bytes:336 (336.0 B)


 
route

Код: [Выделить]

sanchez@ubuntu-srv:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         192.168.93.2    0.0.0.0         UG    100    0        0 eth0
192.168.0.0     192.168.100.1   255.255.255.0   UG    0      0        0 tun0
192.168.93.0    *               255.255.255.0   U     0      0        0 eth0
192.168.100.0   192.168.100.1   255.255.255.0   UG    0      0        0 tun0
192.168.100.1   *               255.255.255.255 UH    0      0        0 tun0


Вот собственно пока всё. Буду благодарен за любую помощь.
Повторюсь, клиент OpenVPN не является шлюзом сети 192.168.93.0/24 по умолчанию, сервер OpenVPN является шлюзом сети 192.168.0.0/24 по умолчанию.
Буду благодарен, если не будет затрагиваться iptables.

[fisher74]

Если iptables не трогались ни под каким видом (даже через GUI-свистелки), то вроде ничего не должно помешать.
Давайте ещё посмотрим:
sysctl net.ipv4.ip_forward на сервере и клиенте OpenVPN;
таблицу маршрутизации на роутере на клиентской стороне (192.168.93.2)

[PsihoZ]

со стороны сервера:

Код: [Выделить]

[2.0.1-RELEASE][admin@fbrouter.localdomain]/root(63): sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1
со стороны клиента:

Код: [Выделить]

sanchez@ubuntu-srv:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
Роутер 192.168.93.2, просто шелезяка, на уровне "воткнул в розетку и работай", просто раздает интернет и натит как может. Если скажете что с неё можно взять, попробую Каких то особенных маршрутов не прописывалось на ней.

GUI-евые игрушки не трогались (на клиенте как вид нету, голый Ubuntu Server), в PDSense, автоматом создались "всеразрешающие" правила.

[drako]

Собственно, чтоб все работало, необходимо наличие маршрута на офисных ПК аля 192.168.0.0/24 gw 192.168.93.10. Потому что иначе офисные компьютеры будут отсылать пакеты неизвестной сети в шлюз. Это как бы азы маршрутизации.

[PsihoZ]

Да, пизнаюсь, не спец по сетям
Но данный маршут прописал на машине (WinXP,192.168.93.103) с которой сейчас эксперементирую, предварительно проверив, что бы она была видна и пинговалась в своей сети.
Надеюсь верно записал:

Код: [Выделить]

Route add -p 192.168.0.0 192.168.93.10
Пожалуйста поправьте, если не верно, исправлюсь

[drako]

Код: [Выделить]

route -p add 192.168.0.0 mask 255.255.255.0 192.168.93.10Или как вариант добавить маршрут на шлюз, не зря у вас fisher74 про таблицу маршрутизации роутера спрашивал, чтоб не прописывать маршруты на клиентах.

[PsihoZ]

к сожалению, на роутере нет возможности добавить маршруты (там даже такого понятия нет).
на клиентской машине добавлен маршрут:

Код: [Выделить]

C:\Documents and Settings\Alex>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0c 29 37 51 2a ...... AMD PCNET ёхьхщёЄтю PCI Ethernet рфряЄхЁют - ╠шэ
шяюЁЄ яырэшЁют∙шър яръхЄют
0x10004 ...cc af 78 87 b1 48 ...... Bluetooth Device (Personal Area Network)
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.93.2  192.168.93.103       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.93.10  192.168.93.103       1
     192.168.93.0    255.255.255.0   192.168.93.103  192.168.93.103       10
   192.168.93.103  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.93.255  255.255.255.255   192.168.93.103  192.168.93.103       10
        224.0.0.0        240.0.0.0   192.168.93.103  192.168.93.103       10
  255.255.255.255  255.255.255.255   192.168.93.103  192.168.93.103       1
  255.255.255.255  255.255.255.255   192.168.93.103           10004       1
Основной шлюз:        192.168.93.2
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0    255.255.255.0    192.168.93.10       1

картина пока не меняется, так же, пингуется клиент VPN (оба интерфейса и tun0 (192.168.100.2) и eth1 (192.168.93.10)), но дальше никуда не уходит.

[koshev]

Задействуйте ip_forward на клиенте OpenVPN.

[fisher74]

Задействуется примерно так

Код: [Выделить]

sudo -s
echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p
Либо находите в файле /etc/sysctl.conf строку
net.ipv4.ip_forward = 1
снимаете знак комментария #, сохраняете и даёте команду sysctl -p

P.S. Оба этих действия делаю практически одно и тоже, но разными путями.

[koshev]

(Нажмите, чтобы показать/скрыть)

к сожалению, на роутере нет возможности добавить маршруты (там даже такого понятия нет).

dhcpd на Ubuntu (который OpenVPN-клиент),выдающий нужную маршрутизацию, может немного облегчить дело.

[PsihoZ]

форвардинг включил.
что самое интересное, начал пинговаться клиент 192.168.93.103 (на котором добавлен маршрут в сеть 192.168.0.0/24).
даже немного расстроился, что так просто оказалось

KT315,

(Нажмите, чтобы показать/скрыть)

к сожалению, на роутере нет возможности добавить маршруты (там даже такого понятия нет).

dhcpd на Ubuntu (который OpenVPN-клиент),выдающий нужную маршрутизацию, может немного облегчить дело.

идея очень даже интересная, а можно в двух словах суть данного действа? Я, повторюсь, к сожалению в сетях слаб.

[drako]

идея очень даже интересная, а можно в двух словах суть данного действа? Я, повторюсь, к сожалению в сетях слаб.

Если в двух, то dhcp сервера умеют раздавать клиентам маршруты, чтоб не писать их ручками на каждой машине.

[PsihoZ]

никогда не мог предположить, что DHCP может что то подобное вытворять
стоит ли просить чуть подробнее описать процедуру?
drako, вы правы, прописывать маршрут ручками (скрипты и бла бла, просьба не предлагать ) на всех компах клиентской сети, не есть верное решение, а так хочется всё сделать культурно.
drako, KT315 буду вам благодарен.

[shumtest]

Как задать статический маршрут на клиентских машинах c Windows через DHCP сервер

[PsihoZ]

Снова всем доброго вечер/дня/утра/ночи

Снова обращаюсь за помощью.
Установил DHCP3 Server, настроил, зарезервировал адреса, всё замечательно.
Ну собственно попытался раздать с него нужный маршрут (в винде записан как route add -p 192.168.0.0 mask 255.255.255.0 192.168.93.10), и сеть падает.
теряется шлюз/ДНС и маска, остаентся только IP.

конфиг DHCP и результат его отработки, ниже:

конфиг DHCP

(Нажмите, чтобы показать/скрыть)

#
# Sample configuration file for ISC dhcpd for Debian
#
# Attention: If /etc/ltsp/dhcpd.conf exists, that will be used as
# configuration file instead of this file.
#
#

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;

# option definitions common to all supported networks...
option domain-name "example.org";
option domain-name-servers 192.168.93.2;
option ms-classless-static-routes code 249 = array of unsigned integer 8;

#default-lease-time 600;
#max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# A slightly different configuration for an internal subnet.
subnet 192.168.93.0 netmask 255.255.255.0 {
  range 192.168.93.150 192.168.93.200;
  option domain-name-servers 192.168.93.2;
  option domain-name "internal.example.org";
  option routers 192.168.93.2;
  option broadcast-address 192.168.93.255;
  option ms-classless-static-routes 32, 192,168, 192,168,93,10;
  default-lease-time 604800;
  max-lease-time 604800;
}

# WinXP1
host xp1 {
   hardware ethernet 00:0C:29:37:51:2A;
   fixed-address 192.168.93.102;
   }

результат в WinXP SP3:

(Нажмите, чтобы показать/скрыть)

C:\Documents and Settings\Alex>ipconfig /all

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : xp1
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : PCNet Adapter

        Физический адрес. . . . . . . . . : 00-0C-29-37-51-2A
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.93.102
        Маска подсети . . . . . . . . . . : 255.0.0.0
        Основной шлюз . . . . . . . . . . :
        DHCP-сервер . . . . . . . . . . . : 192.168.93.10
        Аренда получена . . . . . . . . . : 8 января 2013 г. 1
        Аренда истекает . . . . . . . . . : 8 января 2013 г. 2

Сетевое подключение Bluetooth - Ethernet адаптер:

        Состояние сети  . . . . . . . . . : сеть отключена
        Описание  . . . . . . . . . . . . : Bluetooth Device (
ork)
        Физический адрес. . . . . . . . . : CC-AF-78-87-B1-48