openvpn клиент не видит сеть за сервером

[looooner]

Есть хост машина - 192.168.1.4/255.255.255.0 шлюз 192.168.1.1
 на ней установлен virtualbox с ubuntu server 12.04, openvpn, openssh - 192.168.1.11/255.255.255.0 шлюз 192.168.1.1, dns - 192.168.1.10
 так же на virtualbox запущен winserver2012r2 - 192.168.1.10/255.255.255.0 шлюз 192.168.1.1, роли dns, dc.
На модеме (192.168.1.1) проброшен порт 1194 и 443 для ip адреса 192.168.1.11

Клиент ovpn получает ip адрес из сети 192.168.2.0/255.255.255.0, т.е. адрес сервер ovpn - 192.168.2.1, ip клиенту выдается 192.168.2.6.

Проблема:
1. Клиент не видит сеть 192.168.1.0 (не пингуются машины из этой сети). Подключаясь к ovpn серверу клиент должен иметь доступ по rdp к winserver и ssh к ubuntu server.
2. с хост машины (192.168.1.4) отсутствует доступ по ssh к ubuntu server (192.168.1.11)
ssh 192.168.1.11 -l lcadm: no route to server

заранее огромное спасибо, что непонятно поясню, на моментальный ответ не рассчитываю, тыкайте в маны, гугл, ну как обычно:)

я так понимаю надо настроить марщрутизацию из сети 192.168.2.0 в 192.168.1.0
что то вроде 192.168.2.0  255.255.255.0    192.168.1.1   192.168.1.0       20

[thunderamur]

1. Скорее всего форвардинг забыл включить на Ubuntu
2. Показать надо маршруты на хосте и на Ubuntu
Пользователь решил продолжить мысль 10 Апреля 2014, 07:29:23:и да, правильно будет также показать конфиги openvpn и сервера и клиента.

[looooner]

echo 1 > /proc/sys/net/ipv4/ip_forward? да не включал:)
конфиги вечером, после того как доберусь к ПК

[thunderamur]

looooner,
Это включит до 1-й перезагрузки.

Читал?

https://help.ubuntu.ru/wiki/openvpn

[looooner]

https://help.ubuntu.com/13.10/serverguide/openvpn.html
http://www.odmin4eg.ru/2010/ubuntu-openvpn-server-nastrojka-soedinenie-filialov-set/
вот это читал. пока только начал вникать. спасибо за ссылку, изучу!!!:)

[thunderamur]

looooner,
Я когда сам разбирался, немного тяжко было, поэтому и создал мануал. В том числе и для себя, чтобы не забыть, сам щас пользуюсь.

[looooner]

вот конфиги, извиняюсь конечно, но все будет на хостинге картинок.

ifconfig на виртуальной машине c ovpn


конфиг сервера


маршруты на виртуальной машине c ovpn


маршруты на хосте


ошибка ssh


конфиг клиента

(Нажмите, чтобы показать/скрыть)

remote 46.50.xxx.xx 1194
client
dev tun
proto udp
resolv-retry infinite # this is necessary for DynDNS
nobind
user nobody
group nogroup
persist-key
persist-tun
ca c:\\keys\\ca.crt
cert c:\\keys\\cl1.crt
key c:\\keys\\cl1.key
#ca ca.crt
#cert nout.crt
#key nout.key
comp-lzo
verb 4
mute 20
#redirect-gateway
#show-net-up
verb 4

[fisher74]

ПроблемаЫ:

1. Клиент не видит сеть 192.168.1.0 (не пингуются машины из этой сети). Подключаясь к ovpn серверу клиент должен иметь доступ по rdp к winserver и ssh к ubuntu server.

На хостах сети 192.168.1.0/24 придётся добавлять маршрут на сеть 192.168.2.0/24

2. с хост машины (192.168.1.4) отсутствует доступ по ssh к ubuntu server (192.168.1.11)
ssh 192.168.1.11 -l lcadm: no route to server

Уберите последнюю строку из конфига сервера
Про предпоследнюю не знаю, так как про сеть 192.168.0.0/24 нет никакой информации.

[looooner]

Уберите последнюю строку из конфига сервера
Про предпоследнюю не знаю, так как про сеть 192.168.0.0/24 нет никакой информации.

Спасибо, обязательно попробую.
192.168.0.0/255.255.255.0 это халявный соседский вайфай, через который клиент выходит в интернет.

[looooner]

Читал?

https://help.ubuntu.ru/wiki/openvpn

сделал все, по этой записке, только без tls.

Параметры сети идентичные.

192.168.1.0/24 192.168.1.1
Белый внешний IP
Внутренний IP сервера OpenVPN - 192.168.1.11

192.168.0.0/24 192.168.0.1
Динамический IP
Внутренний IP клиента OpenVPN - 192.168.0.105

10.8.0.1 адрес vpn сервера (из диапазона, заданного в конфигурации)
10.8.0.6 адрес клиента (на клиенте брандмауэр, защитник выключены, антивируса и т.д нету)
с клиента не пингуется ни 10.8.0.1, ни 192.168.1.11

Что еще выложить, логи, конфиги?

Уберите последнюю строку из конфига сервера

Убрал, с хоста доступ по ssh появился. Спасибо

[thunderamur]

с обеих машин.

Код: [Выделить]

cat /var/log/openvpn.log
route -n

[looooner]

route Print клиента

(Нажмите, чтобы показать/скрыть)

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.105     25
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    286
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    286
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.105    281
    192.168.0.105  255.255.255.255         On-link     192.168.0.105    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.105    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    286
        224.0.0.0        240.0.0.0         On-link     192.168.0.105    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    286
  255.255.255.255  255.255.255.255         On-link     192.168.0.105    281
===========================================================================

route -n на сервере ovpn


лог с сервера

(Нажмите, чтобы показать/скрыть)

Tue Apr 15 21:57:28 2014 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 13 2014
Tue Apr 15 21:57:28 2014 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Tue Apr 15 21:57:28 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Apr 15 21:57:28 2014 Diffie-Hellman initialized with 1024 bit key
Tue Apr 15 21:57:28 2014 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Apr 15 21:57:28 2014 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Apr 15 21:57:28 2014 ROUTE default_gateway=192.168.1.1
Tue Apr 15 21:57:28 2014 TUN/TAP device tun0 opened
Tue Apr 15 21:57:28 2014 TUN/TAP TX queue length set to 100
Tue Apr 15 21:57:28 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Apr 15 21:57:28 2014 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Tue Apr 15 21:57:28 2014 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.8.0.2
Tue Apr 15 21:57:28 2014 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Tue Apr 15 21:57:28 2014 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Apr 15 21:57:28 2014 GID set to nogroup
Tue Apr 15 21:57:28 2014 UID set to nobody
Tue Apr 15 21:57:28 2014 UDPv4 link local (bound): [undef]
Tue Apr 15 21:57:28 2014 UDPv4 link remote: [undef]
Tue Apr 15 21:57:28 2014 MULTI: multi_init called, r=256 v=256
Tue Apr 15 21:57:28 2014 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Tue Apr 15 21:57:28 2014 ifconfig_pool_read(), in='cl1,10.8.0.4', TODO: IPv6
Tue Apr 15 21:57:28 2014 succeeded -> ifconfig_pool_set()
Tue Apr 15 21:57:28 2014 IFCONFIG POOL LIST
Tue Apr 15 21:57:28 2014 cl1,10.8.0.4
Tue Apr 15 21:57:28 2014 Initialization Sequence Completed
Tue Apr 15 21:58:29 2014 MULTI: multi_create_instance called
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 Re-using SSL/TLS context
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 LZO compression initialized
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 Local Options hash (VER=V4): '530fdded'
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 Expected Remote Options hash (VER=V4): '41690919'
Tue Apr 15 21:58:29 2014 109.203.212.31:1194 TLS: Initial packet from [AF_INET]109.203.212.31:1194, sid=360cd2cf db91658b
Tue Apr 15 21:58:34 2014 109.203.212.31:1194 VERIFY OK: depth=1, /C=RU/ST=AltKr/L=Barnaul/O=MyCorp/OU=server/CN=server/name=server/emailAddress=mail@host.domain
Tue Apr 15 21:58:34 2014 109.203.212.31:1194 VERIFY OK: depth=0, /C=RU/ST=AltKr/L=Barnaul/O=MyCorp/OU=client/CN=cl1/name=client/emailAddress=mail@host.domain
Tue Apr 15 21:58:36 2014 109.203.212.31:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 15 21:58:36 2014 109.203.212.31:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 15 21:58:36 2014 109.203.212.31:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 15 21:58:36 2014 109.203.212.31:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 15 21:58:36 2014 109.203.212.31:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Apr 15 21:58:36 2014 109.203.212.31:1194 [cl1] Peer Connection Initiated with [AF_INET]109.203.212.31:1194
Tue Apr 15 21:58:36 2014 cl1/109.203.212.31:1194 OPTIONS IMPORT: reading client specific options from: ccd/cl1
Tue Apr 15 21:58:36 2014 cl1/109.203.212.31:1194 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=707a:ee40:597f:0:15a8:8e3e:597f:0
Tue Apr 15 21:58:36 2014 cl1/109.203.212.31:1194 MULTI: Learn: 10.8.0.6 -> cl1/109.203.212.31:1194
Tue Apr 15 21:58:36 2014 cl1/109.203.212.31:1194 MULTI: primary virtual IP for cl1/109.203.212.31:1194: 10.8.0.6
Tue Apr 15 21:58:36 2014 cl1/109.203.212.31:1194 MULTI: internal route 192.168.0.0/24 -> cl1/109.203.212.31:1194
Tue Apr 15 21:58:36 2014 cl1/109.203.212.31:1194 MULTI: Learn: 192.168.0.0/24 -> cl1/109.203.212.31:1194
Tue Apr 15 21:58:38 2014 cl1/109.203.212.31:1194 PUSH: Received control message: 'PUSH_REQUEST'
Tue Apr 15 21:58:38 2014 cl1/109.203.212.31:1194 send_push_reply(): safe_cap=960
Tue Apr 15 21:58:38 2014 cl1/109.203.212.31:1194 SENT CONTROL [cl1]: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,route 192.168.1.0 255.255.255.0,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Tue Apr 15 22:16:41 2014 cl1/109.203.212.31:1194 TLS: new session incoming connection from [AF_INET]109.203.212.31:1194
Tue Apr 15 22:16:48 2014 cl1/109.203.212.31:1194 VERIFY OK: depth=1, /C=RU/ST=AltKr/L=Barnaul/O=MyCorp/OU=server/CN=server/name=server/emailAddress=mail@host.domain
Tue Apr 15 22:16:48 2014 cl1/109.203.212.31:1194 VERIFY OK: depth=0, /C=RU/ST=AltKr/L=Barnaul/O=MyCorp/OU=client/CN=cl1/name=client/emailAddress=mail@host.domain
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 TLS: tls_multi_process: untrusted session promoted to semi-trusted
Tue Apr 15 22:16:53 2014 cl1/109.203.212.31:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Apr 15 22:16:55 2014 cl1/109.203.212.31:1194 PUSH: Received control message: 'PUSH_REQUEST'
Tue Apr 15 22:16:55 2014 cl1/109.203.212.31:1194 send_push_reply(): safe_cap=960
Tue Apr 15 22:16:55 2014 cl1/109.203.212.31:1194 SENT CONTROL [cl1]: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,route 192.168.1.0 255.255.255.0,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Tue Apr 15 22:16:59 2014 cl1/109.203.212.31:1194 Replay-window backtrack occurred [1]
Tue Apr 15 22:19:37 2014 MULTI: multi_create_instance called
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Re-using SSL/TLS context
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 LZO compression initialized
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Local Options hash (VER=V4): '530fdded'
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Expected Remote Options hash (VER=V4): '41690919'
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 TLS: Initial packet from [AF_INET]46.50.ххх.23:1194, sid=4ad806c6 29a57a26
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 VERIFY OK: depth=1, /C=RU/ST=AltKr/L=Barnaul/O=MyCorp/OU=server/CN=server/name=server/emailAddress=mail@host.domain
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 VERIFY OK: depth=0, /C=RU/ST=AltKr/L=Barnaul/O=MyCorp/OU=client/CN=cl1/name=client/emailAddress=mail@host.domain
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Apr 15 22:19:37 2014 46.50.ххх.23:1194 [cl1] Peer Connection Initiated with [AF_INET]46.50.214.23:1194
Tue Apr 15 22:19:37 2014 MULTI: new connection by client 'cl1' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Apr 15 22:19:37 2014 OPTIONS IMPORT: reading client specific options from: ccd/cl1
Tue Apr 15 22:19:37 2014 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=9025:f240:597f:0:15a8:8e3e:597f:0
Tue Apr 15 22:19:37 2014 MULTI: Learn: 10.8.0.6 -> cl1/46.50.ххх.23:1194
Tue Apr 15 22:19:37 2014 MULTI: primary virtual IP for cl1/46.50.ххх.23:1194: 10.8.0.6
Tue Apr 15 22:19:37 2014 MULTI: internal route 192.168.0.0/24 -> cl1/46.50.ххх.23:1194
Tue Apr 15 22:19:37 2014 MULTI: Learn: 192.168.0.0/24 -> cl1/46.50.ххх.23:1194
Tue Apr 15 22:19:39 2014 cl1/46.50.ххх.23:1194 PUSH: Received control message: 'PUSH_REQUEST'
Tue Apr 15 22:19:39 2014 cl1/46.50.ххх.23:1194 send_push_reply(): safe_cap=960
Tue Apr 15 22:19:39 2014 cl1/46.50.ххх.23:1194 SENT CONTROL [cl1]: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,route 192.168.1.0 255.255.255.0,ifconfig 10.8.0.6 10.8.0.5' (status=1)

лог клиента не велся

[fisher74]

Вы прикалываетесь? Сами-то не видите, что лог сервера от 15 апреля, а клиента - 5-ого?

Но причину "слепоты" клиента и так видно, маршрута на сеть за сервером ovpn нету.
Если Вы ещё ничего не экспериментировали с конфигами и они, кроме последних 2-х строк не отличаютс от выложенных здесь, предлагаю в конфиг клиента добавить параметр push

(Нажмите, чтобы показать/скрыть)

P.S.про то что client вкладывает в себя этот параметр знаю, но маршрут-то команда-то не выполняется

[looooner]

push "route 192.168.1.0 255.255.255.0"  ?
спасибо, буду за компом попробую обязательно

[fisher74]

наврал... push - это команда от сервера клиенту, в клиенте за приём этой команды отвечает pull
Добавьте в конфиг клиента pull.
Кстати, клиента от имени администратора запускается? Какая система на клиенте?
Включайте логирование на клиенте и давайте смотреть, что происходит (только мусор приберите)