Добрый день!
Я настроил три сервера на подключение к четвертому для связи между ними
school1 192.168.10.1/24
school2 192.168.10.1/24
offis 192.168.11.4/24
home 192.168.2.20/24
# порт на котором работает сервер
port 1194
# протокол - TCP или UDP
proto udp
# используемый тип устройства и номер
dev tun
# указываем по каким интерфейсам можно подключаться к OpenVPN по telnet
# указывать нужно IP адреса интерфейсов сервера
management localhost 8329
# указываем файл CA
ca keys/ca.crt
# указываем файл с сертификатом сервера
cert keys/server.crt
# указываем файл с ключем сервера
key keys/server.key
# указываем файл с генерированный алгоритмом Диффи Хеллмана
dh /usr/local/etc/openvpn/keys/dh1024.pem
# задаем IP-адрес сервера и маску подсети (виртуальной сети)
server 10.8.0.0 255.255.255.0
# указываем внутренний DNS и WINS серверы
push "dhcp-option DNS 192.168.2.1"
push "dhcp-option DNS 192.168.2.20"
push "dhcp-option WINS 192.168.2.1"
# задаем МАРШРУТ который передаём клиенту
# и маску подсети для того чтобы он "видел"
# сеть за OpenVPN сервером
# Офис
push "route 192.168.2.0 255.255.255.0"
# Филиал №1
;push "route 10.0.0.10 255.255.255.0"
# Филиал №2
push "route 192.168.10.0 255.255.255.0"
# Филиал №3
push "route 192.168.11.0 255.255.255.0"
# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршрут сервер-клиент
route 10.8.0.0 255.255.255.0
# Филиал №1
;route 10.0.0.10 255.255.255.0
# Филиал №2
route 192.168.10.0 255.255.255.0
# Филиал №3
;route 192.168.3.0 255.255.255.0
# делает сервер OpenVPN основным шлюзом у клиентов
#push "redirect-gateway"
# разрешает видеть клиентам друг друга (по виртуальным IP)
# по умолчанию клиенты видят только сервер
client-to-client
# разрешать подключаться с одинаковым сертификатом/ключом
#duplicate-cn
# включаем TLS аутентификацию
;tls-server
# для дополнительной безопасности при
# использовании SSL/TLS, создайте "HMAC firewall"
# для защиты от DoS аттак и флуда UDP порта.
#
# сгенерируйте с помощью:
# openvpn --genkey --secret ta.key
#
# сервер и каждый клиент должны иметь копию этого ключа.
# второй параметр выставляется в '0' для сервера и '1' для клиентов.
;tls-auth keys/ta.key 0
# TLS таймаут, полезен если выход в интернет осуществляется
# через GPRS мобильных операторов
;tls-timeout 120
# выбираем алгоритм хеширования по умолчанию используется SHA1
# вывод полного списка командой openvpn --show-digests
;auth SHA1
# выберите криптографический сертификат.
# этот пункт конфига должен копироваться
# в конфиг клиента, так же как он установлен здесь.
# по умолчанию используется/рекомендуется BF-CBC
# вывод полного списка командой openvpn --show-ciphers
#cipher BF-CBC # Blowfish (default)
#cipher AES-128-CBC # AES
#cipher DES-EDE3-CBC # Triple-DES
;cipher BF-CBC
# проверяет активность подключения каждые 10 секунд,
# если в течении 120 сек. нет ответа, подключение закрывается
keepalive 10 120
# сжатия трафика VPN туннеля с помощью библиотеки LZO
# если вы включили сжатие на сервере,
# вы так же должны включить и в конфиге у клиента
comp-lzo
# максимальное количество одновременно подключенных клиентов
max-clients 100
# от какого пользователя и группы будет работать OpenVPN
user nobody
group nogroup
# имеет смысл использовать при использовании протокола udp
#mssfix 1450
# эти опции позволяют избежать необходимости
# получения доступа к определенным ресурсам
# после рестарта, т.к. это может быть невозможным
# из-за понижения привилегий.
persist-key
persist-tun
# путь к файлу записи статуса OpenVPN в лог
status openvpn-status.log
# путь к файлу записи событий происходящих на сервере
# "log" - запись событий в лог будет перезаписываться при перезагрузке демона
# "log-append" - запись событий будет добавляться в лог
log openvpn.log
# установите необходимый уровень логирования.
# 0 - ничего, за исключением фатальных ошибок
# 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения
# 9 - максимально возможная информация
verb 9
# макс кол-во однотипных записей в лог
mute 10
Из этого появилось две проблемы, которые, я думаю, решаться одинаково.
1. Два компа с одним ip в разных сетях и пакеты начинают улетать куда не следует
2. Ноутбук переодически выходит в интернет из одной из этих сетей.
При его ip допустим из офиса 192.168.11.214
Шлюзе 192.168.11.1
netstat -n -r выдаст
istorik@Note-Satellite:~$ netstat -n -r
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.11.1 0.0.0.0 UG 0 0 0 wlan0
10.8.0.0 10.8.0.41 255.255.255.0 UG 0 0 0 tun0
10.8.0.41 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 wlan0
192.168.10.0 10.8.0.41 255.255.255.0 UG 0 0 0 tun0
192.168.11.0 10.8.0.41 255.255.255.0 UG 0 0 0 tun0
192.168.11.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
Собственно, что бы ему достучатся до шлюза, ему нужно постучать в сеть vpn, а не локально.
Интернет пропадает. Да и вся остальная связь с сетью тоже.
Как мне запретить двум клиентам брать маршруты от сервера?
Заранее благодарю.