Openvpn

[fisher74]

/etc/openvpn/ccd/denis
добавьте
iroute 192.168.1.0 255.255.255.0

[ArcFi]

1) верните ifconfig-pool в конфиге сервера, иначе клиент не сможет получить IP:

Mon Sep 23 12:21:28 2013 denis/91.235.42.54:3515 MULTI: no dynamic or static remote --ifconfig address is available for denis/91.235.42.54:3515

2) верните iroute в /etc/openvpn/ccd/denis, иначе у сервера не будет доступа к сети клиента

3) покажите на сервере:

Код: [Выделить]

ls -laR /etc/openvpn

[Ma1oy83]

/etc/openvpn/ccd/denis

(Нажмите, чтобы показать/скрыть)

ifconfig-push 10.8.0.13 10.8.0.14 255.255.255.0
iroute 192.168.1.0 255.255.255.0

(Нажмите, чтобы показать/скрыть)

ls -la /etc/openvpn/ccd/
итого 12
drwx------ 2 root root 4096 сент. 24 14:04 .
drwx------ 5 root root 4096 сент. 24 14:08 ..
-rw-r--r-- 1 root root   82 сент. 24 13:30 denis

c сервера

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:22:5e:2e:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.127/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::225:22ff:fe5e:2e5f/64 scope link
       valid_lft forever preferred_lft forever
83: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.254 peer 10.8.0.253/32 scope global tun0
default via 192.168.0.1 dev eth0  proto static
10.8.0.253 dev tun0  proto kernel  scope link  src 10.8.0.254
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.127  metric 1
192.168.1.0/24 via 10.8.0.253 dev tun0
net.ipv4.ip_forward = 1
# Generated by iptables-save v1.4.12 on Tue Sep 24 15:01:22 2013
*filter
:INPUT ACCEPT [850986:809982410]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2239169:2698539450]
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT
COMMIT
# Completed on Tue Sep 24 15:01:22 2013

с клиента

(Нажмите, чтобы показать/скрыть)

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:26:18:bc:34:e4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.38/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::226:18ff:febc:34e4/64 scope link
       valid_lft forever preferred_lft forever
11: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.14 peer 10.8.0.13/32 scope global tun0
default via 192.168.1.1 dev eth0  proto static
10.8.0.13 dev tun0  proto kernel  scope link  src 10.8.0.14
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.38  metric 1
net.ipv4.ip_forward = 1
# Generated by iptables-save v1.4.12 on Tue Sep 24 15:04:10 2013
*filter
:INPUT ACCEPT [41164:3651156]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12235:1893778]
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
COMMIT
# Completed on Tue Sep 24 15:04:10 2013

[ArcFi]

OK, что насчёт пинга?

Кстати, у вас на все цепочки стоит политика ACCEPT, так что нет смысла добавлять правила на ACCEPT.

[Ma1oy83]

c клиента

(Нажмите, чтобы показать/скрыть)

ping 192.168.0.127
PING 192.168.0.127 (192.168.0.127) 56(84) bytes of data.
64 bytes from 192.168.0.127: icmp_req=1 ttl=252 time=2.18 ms
64 bytes from 192.168.0.127: icmp_req=2 ttl=252 time=2.03 ms
64 bytes from 192.168.0.127: icmp_req=3 ttl=252 time=1.29 ms
64 bytes from 192.168.0.127: icmp_req=4 ttl=252 time=1.83 ms
64 bytes from 192.168.0.127: icmp_req=5 ttl=252 time=1.61 ms
64 bytes from 192.168.0.127: icmp_req=6 ttl=252 time=1.62 ms
64 bytes from 192.168.0.127: icmp_req=7 ttl=252 time=5.03 ms
64 bytes from 192.168.0.127: icmp_req=8 ttl=252 time=3.57 ms


PING 10.8.0.254 (10.8.0.254) 56(84) bytes of data.
From 91.235.42.53 icmp_seq=1 Destination Host Unreachable
From 91.235.42.53 icmp_seq=2 Destination Host Unreachable
From 91.235.42.53 icmp_seq=3 Destination Host Unreachable
From 91.235.42.53 icmp_seq=4 Destination Host Unreachable
From 91.235.42.53 icmp_seq=5 Destination Host Unreachable
From 91.235.42.53 icmp_seq=6 Destination Host Unreachable
From 91.235.42.53 icmp_seq=7 Destination Host Unreachable

c сервера

(Нажмите, чтобы показать/скрыть)

PING 10.8.0.14 (10.8.0.14) 56(84) bytes of data.
^C
--- 10.8.0.14 ping statistics ---
71 packets transmitted, 0 received, 100% packet loss, time 70558ms
ping 192.168.1.38
PING 192.168.1.38 (192.168.1.38) 56(84) bytes of data.
^C
--- 192.168.1.38 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7054ms

[ArcFi]

Чтобы пинговать сеть 10.8.0.0/24, надо добавить в конфиг сервера:

Код: [Выделить]

route 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"

[Ma1oy83]

Если в /etc/openvpn/ccd/denis вбить ifconfig-push 10.8.0.13 10.8.0.254 вместо ifconfig-push 10.8.0.13 10.8.0.14 255.255.255.0 то пинги идут в сеть 10.8.0.0/24

клиент

(Нажмите, чтобы показать/скрыть)

ping 10.8.0.254
PING 10.8.0.254 (10.8.0.254) 56(84) bytes of data.
64 bytes from 10.8.0.254: icmp_req=1 ttl=64 time=229 ms
^C
--- 10.8.0.254 ping statistics ---
2 packets transmitted, 1 received, 50% packet loss, time 1001ms
rtt min/avg/max/mdev = 229.536/229.536/229.536/0.000 ms
root@denis:~# ping 192.168.0.127
PING 192.168.0.127 (192.168.0.127) 56(84) bytes of data.
64 bytes from 192.168.0.127: icmp_req=1 ttl=252 time=60.4 ms
64 bytes from 192.168.0.127: icmp_req=2 ttl=252 time=123 ms

сервер

(Нажмите, чтобы показать/скрыть)

ping 10.8.0.14
PING 10.8.0.14 (10.8.0.14) 56(84) bytes of data.
64 bytes from 10.8.0.14: icmp_req=1 ttl=64 time=58.5 ms
64 bytes from 10.8.0.14: icmp_req=2 ttl=64 time=56.9 ms
^C
--- 10.8.0.14 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 56.917/57.716/58.515/0.799 ms
root@ub:~# ping 192.168.1.38
PING 192.168.1.38 (192.168.1.38) 56(84) bytes of data.
^C
--- 192.168.1.38 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1007ms

[Ma1oy83]

клиент

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto tcp

# Внеший IP, за которым находится ваш сервер
remote ххх,хх,хх,xx
# Внешний порт, который роутер на стороне сервера направит на сервер OpenVPN.
port 3515

# необходимо для DynDNS
resolv-retry infinite
topology subnet
pull

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/anton.crt
key /etc/openvpn/keys/anton.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

сервер

(Нажмите, чтобы показать/скрыть)

#порт на котором работает сервер
port 1194
# протокол - советую udp
proto udp
# - используемый тип устройства и номер
dev tun0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
#задаем IP-адрес сервера и маску подсети
# (виртуальной сети) - можно произвольную, (я выбрал такую)
server 10.10.200.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.1.0/24)
push "route 192.168.0.0 255.255.255.0"
# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршрут сервер-клиент
route 10.10.200.0 255.255.255.252
# этой строкой описываем маршруты к сетям к которым ходить
# через тунель!!!!!(в данном случае к сети в филиале)
route 192.168.10.0 255.255.255.0
route 192.168.1.0 255.255.255.0
client-to-client
# включаем TLS аутификацию
tls-server
# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
tls-auth keys/ta.key 0
# таймаут до реконекта
tls-timeout 120
auth MD5 #
# включаем шифрацию пакетов
cipher BF-CBC
keepalive 10 120
# сжатие трафика
comp-lzo
# максимум клиентов
max-clients 100
#user nobody
#group nogroup
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
# логгирование (не забудьте создать эту дирректорию /var/log/openvpn/)
status /var/log/openvpn-status.log
log /var/log/openvpn.log
# Уровень информации для отладки
verb 3

на каждой стороне
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
и пинги пошли

[ArcFi]

на каждой стороне
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
и пинги пошли

Это значит, что косяк либо в фаерволе на одном из хостов, либо в маршрутах.