Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: OpenVPN и сеть за сервером со стороны клиента.  (Прочитано 546 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн getoutaway

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Добрый день.

Появилась у меня проблема, поднятие которой на данном форуме наверняка вызовет не одно гневное восклицание и ни один пригоревший табурет ;)

Итак, имеется Win 2003, за ним сеть 192.168.100.0/23, на нем крутится OpenVPN сервер с такой конфигурацией:
dev tap
proto tcp-server
port 1194
tls-server
topology subnet
client-to-client
server-bridge 192.168.100.2 255.255.254.0 192.168.101.200 192.168.101.220
comp-lzo
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\server.crt
key C:\\OpenVPN\\ssl\\server.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
status C:\\OpenVPN\\log\\openvupn-status.log
log C:\\OpenVPN\\log\\openvpn.log
keepalive 5 60
verb 3

Далее имеется Ubutnu 12.04 сервер, работающий в режиме OpenVPN клиента, он успешно коннектится к серверу, поднимает тунель, за ним сеть 192.168.10.0/24, все хорошо.

ifconfig, при поднятом тунеле:
eth0      Link encap:Ethernet  HWaddr 00:30:84:6b:dd:60 
          inet addr:10.75.22.5  Bcast:10.75.255.255  Mask:255.255.0.0
          inet6 addr: fdce:e7b:844b:0:c4b6:cc51:129f:b99a/64 Scope:Общий
          inet6 addr: fdce:e7b:844b:0:230:84ff:fe6b:dd60/64 Scope:Общий
          inet6 addr: fe80::230:84ff:fe6b:dd60/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:138645 errors:0 dropped:0 overruns:0 frame:0
          TX packets:79497 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:148396826 (148.3 MB)  TX bytes:9078503 (9.0 MB)
          Interrupt:17 Base address:0x8400

eth1      Link encap:Ethernet  HWaddr 00:0c:6e:32:e7:2c 
          inet addr:192.168.10.3  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:6eff:fe32:e72c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:49534 errors:0 dropped:0 overruns:0 frame:0
          TX packets:104252 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7231447 (7.2 MB)  TX bytes:139593406 (139.5 MB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:300 (300.0 B)  TX bytes:300 (300.0 B)

tap0      Link encap:Ethernet  HWaddr 12:fe:47:6d:69:c1 
          inet addr:192.168.101.200  Bcast:192.168.101.255  Mask:255.255.254.0
          inet6 addr: fe80::10fe:47ff:fe6d:69c1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:35718 errors:0 dropped:3224 overruns:0 frame:0
          TX packets:238 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:5210804 (5.2 MB)  TX bytes:91031 (91.0 KB)

route -n:
0.0.0.0         10.75.0.1       0.0.0.0         UG    100    0        0 eth0
10.75.0.0       0.0.0.0         255.255.0.0     U     0      0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.254.0   U     0      0        0 tap0

iptables-save:
# Generated by iptables-save v1.4.12 on Fri Nov 28 17:12:34 2014
*nat
:PREROUTING ACCEPT [11328:1966425]
:INPUT ACCEPT [3828:442512]
:OUTPUT ACCEPT [2096:140324]
:POSTROUTING ACCEPT [65:60553]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Nov 28 17:12:34 2014
# Generated by iptables-save v1.4.12 on Fri Nov 28 17:12:34 2014
*filter
:INPUT ACCEPT [44030:10006467]
:FORWARD ACCEPT [151798:144302683]
:OUTPUT ACCEPT [32707:1945516]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Nov 28 17:12:34 2014

Сам сервер видит сеть за Win 2003, все машины из 192.168.100.0/23 видят Ubuntu сервер, могут подключиться по ssh и т. д.

Пробовал объединять eth1 и tap0 интерфейсы в мост с помощью bridge-utils, но это не совсем то что нужно. 

Как сделать так что бы машины из 192.168.10.0/24 видели машины 192.168.100.0/23 и наоборот 192.168.100.0/23 видели 192.168.10.0/24? Честно скажу много читал и гуглил, но так и не смог ничего допилить под свой случай.
Ubuntu 10.04 LTS -> Ubuntu 11.04+Unity -> Xubuntu 11.04 -> Ubuntu 10.04.3 LTS -> Linux Mint 17

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: OpenVPN и сеть за сервером со стороны клиента.
« Ответ #1 : 28 Ноябрь 2014, 15:53:10 »
Её Величество маршрутизация....
Подсказкой будет вопрос:
Машины из сети 192.168.100.0/23 через какие ворота ломятся в сеть 192.168.10.0/24?
Вопрос касается не только собственно самих клиентских машин, но и Win сервера.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн getoutaway

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: OpenVPN и сеть за сервером со стороны клиента.
« Ответ #2 : 28 Ноябрь 2014, 15:58:33 »
Прошу прощения, не указал сразу, на вин сервере интерфейсы объединены в сетевой мост, все вин машины ходят через него по OpenVPN тунелю, мне думается что маршрутизировать пакеты нужно на стороне клиента (Ubuntu сервера), вопрос как? Все мои попытки в этом направлении были неудачны((
Ubuntu 10.04 LTS -> Ubuntu 11.04+Unity -> Xubuntu 11.04 -> Ubuntu 10.04.3 LTS -> Linux Mint 17

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN и сеть за сервером со стороны клиента.
« Ответ #3 : 28 Ноябрь 2014, 16:25:26 »
getoutaway, откуда клиент сети 192.168.100.0/23 узнает маршрут до сети 192.168.10.0/24?
В локальной таблице клиента этого маршрута нет, на шлюзе тоже нет.
LESS='-p --route ' man openvpn

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: OpenVPN и сеть за сервером со стороны клиента.
« Ответ #4 : 28 Ноябрь 2014, 16:59:21 »
мне думается что маршрутизировать пакеты нужно на стороне клиента
...
Все мои попытки в этом направлении были неудачны((
То есть Вас это пока не останавливает...
Ответьте на мой вопрос и правильный путь решения уже будет в секторе Ваше зрения... Хотя ArcFi уже ответил на него
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.08 секунд. Запросов: 24.