Openvpn

[Ma1oy83]

Добрый день.  Есть 2 сеть 192.168.0.0/24 и 192.168.1.0/24. На компе 192.168.0.127 стоит openvpn сервер. На 192.168.1.38 стоит клиент. Соединение происходит. С клиента можно пинговать 192.168.0.127 c сервера 192.168.1.38 не пингует/ пингуется только 10.8.0.1 и 10.8.0.6
конфиг сервера

(Нажмите, чтобы показать/скрыть)

port 1194
# Протокол может быть UDP или TCP, я выбрал 1-й вариант.
proto tcp
# Если вы выберите протокол TCP, здесь должно быть устройство tap. Однако, это вариант я не проверял, поэтому ищите информацию отдельно. FIXME
dev tun 
# Указываем где искать ключи
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key 
# This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem 
mode server 
# Задаем IP и маску виртуальной сети. Произвольно, но если не уверены лучше делайте как показано здесь
server 10.8.0.0 255.255.255.0   
# Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir /ect/openvpn/ccd 
# Указываем сети, в которые нужно идти через туннель (сеть-клиента).
route 192.168.1.0 255.255.255.0   
# Включаем TLS
tls-server
tls-auth
keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC 
# Если нужно, чтобы клиенты видели друг друга раскомментируйте
client-to-client 
keepalive 10 120 
# Сжатие трафика
comp-lzo 
# Максимум клиентов
 max-clients 100 
user nobody
group nogroup 
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
# Детальность логирования
verb 3
# Защита от повторов (максимум 20 одинаковых сообщений подряд)
mute 20

/etc/openvpn/ccd

(Нажмите, чтобы показать/скрыть)

# Назначаем IP-адрес клиенту
ifconfig-push 10.8.0.2 10.8.0.1 255.255.255.0

# Внутренний путь до клиента
iroute 192.168.1.0 255.255.255.0


# Задаем маршрут для клиента, чтобы он видел сеть за OpenVPN-сервером.
push "route 192.168.0.0 255.255.255.0"

ifconfig

(Нажмите, чтобы показать/скрыть)

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:25:22:5e:2e:5f 
          inet addr:192.168.0.127  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::225:22ff:fe5e:2e5f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7981522 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6338144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4289434418 (4.2 GB)  TX bytes:181474538 (181.4 MB)
          Interrupt:40 Base address:0x2000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:17930 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17930 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2115358 (2.1 MB)  TX bytes:2115358 (2.1 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
 

sysctl -p net.ipv4.ip_forward = 1

(Нажмите, чтобы показать/скрыть)

ping ping 10.8.0.6
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=217 ms
64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=188 ms
^C
--- 10.8.0.6 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 188.576/203.084/217.592/14.508 ms
ma1oy@ub:~$ ping 192.168.1.38
PING 192.168.1.38 (192.168.1.38) 56(84) bytes of data.
^C
--- 192.168.1.38 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

 

route

(Нажмите, чтобы показать/скрыть)

route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         DD-WRT          0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.0        proxy.local     255.255.255.0   UG    0      0        0 eth0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0

 конфиг клиента

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto tcp 
# Внеший IP, за которым находится ваш сервер
remote хх.хх.хх.хх
# Внешний порт, который роутер на стороне сервера направит на сервер OpenVPN.
port 3515 
# необходимо для DynDNS
resolv-retry infinite 
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/denis.crt
key /etc/openvpn/keys/denis.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun 
status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

 
route

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default        keenetic_lite    0.0.0.0         UG    0      0        0 eth0
10.8.0.1        10.8.0.5        255.255.255.255 UG    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.1.0     *               255.255.255.0   UG    1      0        0 eth0

 
sysctl -p net.ipv4.ip_forward = 1

[fli]

Не вижу в таблице маршрутизации клиента пути в 192.168.0.0/24.

[Ma1oy83]

добавил маршрут у клиента, сетка сервера пингуется

(Нажмите, чтобы показать/скрыть)

denis@denis:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         KEENETIC_LITE   0.0.0.0         UG    0      0        0 eth0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.0.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     1      0        0 eth0
 
denis@denis:~$ ping 192.168.0.250
PING 192.168.0.250 (192.168.0.250) 56(84) bytes of data.
64 bytes from 192.168.0.250: icmp_req=1 ttl=63 time=57.2 ms
64 bytes from 192.168.0.250: icmp_req=2 ttl=63 time=57.2 ms

А с сети сервера не пингуется сеть клиента

(Нажмите, чтобы показать/скрыть)

ma1oy@ub:~$ ping 192.168.1.38
PING 192.168.1.38 (192.168.1.38) 56(84) bytes of data.
^C
--- 192.168.1.38 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3024ms

[ArcFi]

Ma1oy83, давайте ещё раз посмотрим с сервера и с клиента:

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-saveМожно всё одной строкой выполнить и под спойлер.

[Ma1oy83]

клиент

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:26:18:bc:34:e4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.38/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::226:18ff:febc:34e4/64 scope link
       valid_lft forever preferred_lft forever
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
default via 192.168.1.1 dev eth0  proto static
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 via 10.8.0.5 dev tun0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.38  metric 1
net.ipv4.ip_forward = 1
[sudo] password for denis:
# Generated by iptables-save v1.4.12 on Sat Sep 21 16:07:14 2013
*filter
:INPUT ACCEPT [65935:7775032]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53077:6931577]
COMMIT
# Completed on Sat Sep 21 16:07:14 2013

сервер

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:22:5e:2e:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.127/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::225:22ff:fe5e:2e5f/64 scope link
       valid_lft forever preferred_lft forever
12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
default via 192.168.0.1 dev eth0  proto static
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.127  metric 1
192.168.1.0/24 via 10.8.0.2 dev tun0
net.ipv4.ip_forward = 1
[sudo] password for ma1oy:
# Generated by iptables-save v1.4.12 on Sat Sep 21 16:09:57 2013
*filter
:INPUT ACCEPT [168612:103434215]
:FORWARD ACCEPT [16:1344]
:OUTPUT ACCEPT [140816:83378304]
COMMIT
# Completed on Sat Sep 21 16:09:57 2013
# Generated by iptables-save v1.4.12 on Sat Sep 21 16:09:57 2013
*mangle
:PREROUTING ACCEPT [216137:106228420]
:INPUT ACCEPT [172489:103982863]
:FORWARD ACCEPT [16:1344]
:OUTPUT ACCEPT [143002:83670412]
:POSTROUTING ACCEPT [143611:83798090]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Sep 21 16:09:57 2013
# Generated by iptables-save v1.4.12 on Sat Sep 21 16:09:57 2013
*nat
:PREROUTING ACCEPT [68853:5302493]
:INPUT ACCEPT [25124:3053190]
:OUTPUT ACCEPT [10724:901414]
:POSTROUTING ACCEPT [2214:219148]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Sat Sep 21 16:09:57 2013

[ArcFi]

С клиента роут до 192.168.0.0/24 убирайте и добавляйте в конфиг сервера:

Код: [Выделить]

push "route 192.168.0.0 255.255.255.0"Рестарт сервиса и переподключение.

И нужность маскарадинга в iptables на сервере под вопросом.

[Ma1oy83]

На клиенте роут убрал прописал в конфиге. Сервер полностью перезагружал чтоб сбросить iptables которые не записывал

server

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:22:5e:2e:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.127/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::225:22ff:fe5e:2e5f/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
default via 192.168.0.1 dev eth0  proto static
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.127  metric 1
192.168.1.0/24 via 10.8.0.2 dev tun0
net.ipv4.ip_forward = 1
# Generated by iptables-save v1.4.12 on Sat Sep 21 21:23:27 2013
*filter
:INPUT ACCEPT [824:80294]
:FORWARD ACCEPT [103:7188]
:OUTPUT ACCEPT [578:105926]
COMMIT
# Completed on Sat Sep 21 21:23:27 2013
ma1oy@ub:~$

route

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         DD-WRT          0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0

ping

(Нажмите, чтобы показать/скрыть)

ping 192.168.1.38
PING 192.168.1.38 (192.168.1.38) 56(84) bytes of data.
^C
--- 192.168.1.38 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

ma1oy@ub:~$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
^C
--- 192.168.1.1 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3024ms

client

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:26:18:bc:34:e4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.38/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::226:18ff:febc:34e4/64 scope link
       valid_lft forever preferred_lft forever
11: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
default via 192.168.1.1 dev eth0  proto static
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 via 10.8.0.5 dev tun0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.38  metric 1
net.ipv4.ip_forward = 1
# Generated by iptables-save v1.4.12 on Sat Sep 21 21:25:58 2013
*filter
:INPUT ACCEPT [82282:9663444]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [69482:9305958]
COMMIT
# Completed on Sat Sep 21 21:25:58 2013

route

(Нажмите, чтобы показать/скрыть)

route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         KEENETIC_LITE   0.0.0.0         UG    0      0        0 eth0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.0.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     1      0        0 eth0
denis@denis:~$

ping

(Нажмите, чтобы показать/скрыть)

ping 192.168.0.127
PING 192.168.0.127 (192.168.0.127) 56(84) bytes of data.
64 bytes from 192.168.0.127: icmp_req=1 ttl=64 time=61.1 ms
64 bytes from 192.168.0.127: icmp_req=2 ttl=64 time=63.8 ms
^C
--- 192.168.0.127 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 61.149/62.522/63.896/1.396 ms
denis@denis:~$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
^C
--- 192.168.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2015ms

[fisher74]

Попрошу уточнить маленький момент

/etc/openvpn/ccd
# Назначаем IP-адрес клиенту
ifconfig-push 10.8.0.2 10.8.0.1 255.255.255.0

# Внутренний путь до клиента
iroute 192.168.1.0 255.255.255.0

У вас это записано в файл /etc/openvpn/ccd? Или это директория, а настройки в отдельном файле?

[Ma1oy83]

У вас это записано в файл /etc/openvpn/ccd? Или это директория, а настройки в отдельном файле?

Это директория в которой лежит файл

[ArcFi]

На будущее, "ip r" выдаёт достаточно информации по маршрутам, так что "route" смотреть нет необходимости.
Хорошо, поехали дальше.

1) пропишите в конфиге VPN-сервера его IP-адрес статически:

Код: [Выделить]

ifconfig 10.8.0.254 10.8.0.2532) убедитесь, что имя файла конфига в ccd совпадает с "common name" в сертификате клиента

[Ma1oy83]

убедитесь, что имя файла конфига в ccd совпадает с "common name" в сертификате клиента

имя файла в ccd denis. В сертификате Sbject: C=RU, ST=RUS, L=Rostov-on-Don, O=server, OU=\xd0\xB2\xD1\x83\xD1denis CN=denis/emailAddress=12@localhost

[ArcFi]

На всякий случай, ещё давайте попробуем поменять IP-адрес в конфиге ccd/denis:

Код: [Выделить]

ifconfig-push 10.8.0.13 10.8.0.14 255.255.255.0А затем снова посмотрим диагностику:

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save

И проверим ping.

[Ma1oy83]

В конфиге ccd/denis поменял адрес. Сделал рестарт openvpn на сервере и клиенте.

сервер

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:22:5e:2e:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.127/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::225:22ff:fe5e:2e5f/64 scope link
       valid_lft forever preferred_lft forever
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
default via 192.168.0.1 dev eth0  proto static
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.127  metric 1
192.168.1.0/24 via 10.8.0.2 dev tun0
net.ipv4.ip_forward = 1
# Generated by iptables-save v1.4.12 on Sun Sep 22 14:07:31 2013
*filter
:INPUT ACCEPT [71797:10291955]
:FORWARD ACCEPT [119:8532]
:OUTPUT ACCEPT [60950:9991691]
COMMIT
# Completed on Sun Sep 22 14:07:31 2013

клиент

(Нажмите, чтобы показать/скрыть)

$ ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:26:18:bc:34:e4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.38/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::226:18ff:febc:34e4/64 scope link
       valid_lft forever preferred_lft forever
14: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
default via 192.168.1.1 dev eth0  proto static
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 via 10.8.0.5 dev tun0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.38  metric 1
net.ipv4.ip_forward = 1
# Generated by iptables-save v1.4.12 on Sun Sep 22 14:08:01 2013
*filter
:INPUT ACCEPT [126292:15828685]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [111065:15620154]
COMMIT
# Completed on Sun Sep 22 14:08:01 2013

с клиента пингуется 10.8.0.1 и 192.168.0.127, все остальное молчит.
с сервера только 10.8.0.6

[ArcFi]

Судя по диагностике, ничего не изменилось.

Вот это точно сделали?

пропишите в конфиге VPN-сервера его IP-адрес статически:

Код: [Выделить]

ifconfig 10.8.0.254 10.8.0.253

На всякий случай, ещё давайте попробуем поменять IP-адрес в конфиге ccd/denis:

Код: [Выделить]

ifconfig-push 10.8.0.13 10.8.0.14 255.255.255.0

[Ma1oy83]

Ip поменялся на сервере после того как убрал server 10.8.0.0
сейчас конфиг на сервере

(Нажмите, чтобы показать/скрыть)

port 1194
# Протокол может быть UDP или TCP, я выбрал 1-й вариант.
proto udp
# Если вы выберите протокол TCP, здесь должно быть устройство tap. Однако, это вариант я не проверял, поэтому ищите информацию отдельно. FIXME
dev tun

# Указываем где искать ключи
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem

mode server

ifconfig 10.8.0.254 10.8.0.253
#ifconfig-pool 10.8.0.10 10.8.0.100
# Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir /ect/openvpn/ccd

# Указываем сети, в которые нужно идти через туннель (сеть-клиента).
route 192.168.1.0 255.255.255.0

#Включаем TLS
tls-server
#tls-auth keys/ta.key 0
#tls-timeout 120
#auth MD5
#cipher BF-CBC

# Если нужно, чтобы клиенты видели друг друга раскомментируйте
client-to-client

keepalive 10 120

# Сжатие трафика
comp-lzo

# Максимум клиентов
max-clients 100

user nobody
group nogroup

# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
# Детальность логирования
verb 3
# Защита от повторов (максимум 20 одинаковых сообщений подряд)
mute 20

/etc/openvpn/ccd/denis

(Нажмите, чтобы показать/скрыть)

ifconfig-push 10.8.0.13 10.8.0.14 255.255.255.0

log на сервере

(Нажмите, чтобы показать/скрыть)

Mon Sep 23 12:20:22 2013 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Mon Sep 23 12:20:22 2013 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Mon Sep 23 12:20:22 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Sep 23 12:20:22 2013 Diffie-Hellman initialized with 1024 bit key
Mon Sep 23 12:20:22 2013 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Sep 23 12:20:22 2013 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Sep 23 12:20:22 2013 ROUTE default_gateway=192.168.0.1
Mon Sep 23 12:20:22 2013 TUN/TAP device tun0 opened
Mon Sep 23 12:20:22 2013 TUN/TAP TX queue length set to 100
Mon Sep 23 12:20:22 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Sep 23 12:20:22 2013 /sbin/ifconfig tun0 10.8.0.254 pointopoint 10.8.0.253 mtu 1500
Mon Sep 23 12:20:22 2013 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.253
Mon Sep 23 12:20:22 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 23 12:20:22 2013 GID set to nogroup
Mon Sep 23 12:20:22 2013 UID set to nobody
Mon Sep 23 12:20:22 2013 UDPv4 link local (bound): [undef]
Mon Sep 23 12:20:22 2013 UDPv4 link remote: [undef]
Mon Sep 23 12:20:22 2013 MULTI: multi_init called, r=256 v=256
Mon Sep 23 12:20:22 2013 Initialization Sequence Completed
Mon Sep 23 12:21:21 2013 MULTI: multi_create_instance called
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 Re-using SSL/TLS context
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 LZO compression initialized
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 Local Options hash (VER=V4): '530fdded'
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 Expected Remote Options hash (VER=V4): '41690919'
Mon Sep 23 12:21:21 2013 91.235.42.54:3515 TLS: Initial packet from [AF_INET]91.235.42.54:3515, sid=9a439363 5daabb61
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 VERIFY OK: depth=1, /C=RU/ST=RU/L=Rostov-on-Don/O=server/OU=server/CN=server/name=server/emailAddress=root@lacalhost
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 VERIFY OK: depth=0, /C=RU/ST=RU/L=Rostov-on-Don/O=server/OU=server/CN=denis/name=server/emailAddress=root@lacalhost
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 23 12:21:28 2013 91.235.42.54:3515 [denis] Peer Connection Initiated with [AF_INET]91.235.42.54:3515
Mon Sep 23 12:21:28 2013 denis/91.235.42.54:3515 MULTI: no dynamic or static remote --ifconfig address is available for denis/91.235.42.54:3515
Mon Sep 23 12:21:30 2013 denis/91.235.42.54:3515 PUSH: Received control message: 'PUSH_REQUEST'
Mon Sep 23 12:21:30 2013 denis/91.235.42.54:3515 send_push_reply(): safe_cap=960
Mon Sep 23 12:21:30 2013 denis/91.235.42.54:3515 SENT CONTROL [denis]: 'PUSH_REPLY,ping 10,ping-restart 120' (status=1)

соединение не устанавливается