Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: и снова OpenVPN  (Прочитано 2508 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
и снова OpenVPN
« : 29 Ноября 2014, 18:33:59 »
Сеть домашняя 192.168.1.0
Шлюз куда ломлюсь: белый IP внутренний IP = 192.168.27.1
За ним живет сервер OpenVPN c 2 интерфейсами eth0 = 192.168.27.29 tun0 = 10.15.0.1

Клиент подключается к серверу "ВПН" и получает адрес из сети 10.15.0.0, дальше пакеты естественно не идут.

192.168.27.0 - эта сеть без DHCP но я и ручками пропишу настройки, знать бы где.


!!! Задача: получить доступ в сеть 192.168.27.0 после впн.


Конф сервера.

(Нажмите, чтобы показать/скрыть)



Клиент (виндовый)

(Нажмите, чтобы показать/скрыть)



Таблица маршрутизации на "ВПН-сервер"


(Нажмите, чтобы показать/скрыть)

Таблица маршрутизации на "ВПН-клиент"

(Нажмите, чтобы показать/скрыть)


ip_forwarding

root@ubuntu:# cat /proc/sys/net/ipv4/ip_forward
1





Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: и снова OpenVPN
« Ответ #1 : 29 Ноября 2014, 20:06:11 »
Либо делать VPN-гейт дефолтным шлюзом.
Либо использовать push route в конфиге сервера.
И скорее всего, VPN-клиентов придётся натить.

***
И ещё важный момент…
Чтобы на венде подхватывались маршруты, сервис нужно запускать от привилегированного пользователя.
Обычному юзеру это можно разрешить через subinacl.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #2 : 29 Ноября 2014, 20:48:30 »
А можно поподробнее про route и natить.

я ведь в конфе пописал

push "redirect-gateway eth0"
push "route-gateway 192.168.27.56"

или это не то пальто?
а виндовым зверям потом что-то придумаю.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #3 : 29 Ноября 2014, 22:38:55 »
Я же уже писал Вам, что именно в этих двух параметрах ошибки.
Прочтите по ссылке, какие параметры допуустимы.
Во второй Вы тоже косячите. Вы предлагаете клиенту VPN состоящему в сети 10.15.0.0/24 использовать гетвей 192.168.27.56...

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #4 : 29 Ноября 2014, 23:25:43 »
(Нажмите, чтобы показать/скрыть)

переделал вот так.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: и снова OpenVPN
« Ответ #5 : 30 Ноября 2014, 00:03:36 »
push "redirect-gateway def1"
Синтаксически верно, однако, есть мнение, что редиректить основной шлюз ради добавления одного маршрута избыточно.
Тем более, что этот маршрут вы и так толкаете клиенту:
push "route 192.168.27.0 255.255.255.0"

push "route-gateway"
А это зачем?

**
Короче, я б на вашем месте убрал и "push route-gateway" и "push redirect-gateway".
Дальше надо убедиться, что после подключения маршрут на клиенте прописывается.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #6 : 30 Ноября 2014, 00:39:02 »
Текущий конфиг серва.


(Нажмите, чтобы показать/скрыть)


(Нажмите, чтобы показать/скрыть)




Текущий конфиг клиента

(Нажмите, чтобы показать/скрыть)


log openvpn на клиенте

(Нажмите, чтобы показать/скрыть)

netstat -r (server)

(Нажмите, чтобы показать/скрыть)


route print (client)

(Нажмите, чтобы показать/скрыть)


Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: и снова OpenVPN
« Ответ #7 : 30 Ноября 2014, 00:50:46 »
Чтобы на венде подхватывались маршруты, сервис нужно запускать от привилегированного пользователя.
Обычному юзеру это можно разрешить через subinacl.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #8 : 30 Ноября 2014, 00:57:04 »
запускаю строго по курсу от администратора.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: и снова OpenVPN
« Ответ #9 : 30 Ноября 2014, 01:23:43 »
net stop openvpnservice & net start openvpnservice
ipconfig & route print

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #10 : 30 Ноября 2014, 02:03:22 »
Цитировать
/etc/openvpn/ccd/client
iroute 192.168.27.0 255.255.255.0
Это делает совсем не то, что Вы хотите. Ведь у Вас 27 сеть за сервером, а не за клиентом.

Ещё по конфигу сервера:
route 192.168.27.0 255.255.255.0
Не ломайте ему мозг. 27 сеть у него на eth0, а не в VPN

Что Вы пихаете эту сеть во все углы?
Передайте маршрут на неё клиенту и всё. чтобы проверить, что на клиенте и сервере все маршруты созданы правильно пингуйте соответствующие адреса участников VPN (то есть не лезьте на другие компы). Например, с клиента VPN  пингуйте адрес интерфейса eth0 сервера VPN. Вот когда здесь всё срастётся, тогда уже можно будет расширять проблему.
А то Вы схватили тонну ваты и не знаете, как её в руках удержать...

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: и снова OpenVPN
« Ответ #11 : 30 Ноября 2014, 02:33:29 »
/etc/openvpn/ccd/client
iroute 192.168.27.0 255.255.255.0

/etc/openvpn/server.conf
route 192.168.27.0 255.255.255.0
Кстати, да, это лишнее.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #12 : 30 Ноября 2014, 10:20:16 »
Так, давайте снова и из далека.

http://itmages.ru/image/view/2080768/d7bb1e05


Есть 3 подсети.

192.168.1.0
192.168.27.0
10.15.0.0

Организуя ВПН я транзитом попадаю из сети 192.168.1.0 в сеть 10.15.0.0
При поднятии туннеля на моем ПК поднимается интерфейс "ТАР" который получает адрес в сети 10.15.0.0.
На сервере интерфейсы "tun0" и "eth0", подсети на них ничего не знают друг о друге. Значит их надо подружить(смаршрутизировать).
Маршрут надо указать где? В настройках ВПН-сервера, на интерфейсе tun0 или eth0. Или вообще надо поднимать NAT, iptables.
Но тут другой вопрос. на 192.168.27.56 уже есть NAT и фаервол.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #13 : 30 Ноября 2014, 12:20:29 »
Организуя ВПН я транзитом попадаю из сети 192.168.1.0 в сеть 10.15.0.0
Нет. Организуя VPN, вы соединяете два (в данном случае) хоста через защищённый туннель.
Доступность прилегающих сетей в основном зависит от настроек этих хостов, настраиваемых в качестве шлюзов.

Маршрут надо указать где? В настройках ВПН-сервера, на интерфейсе tun0 или eth0.
 
Маршрут до нужной сети должен быть у каждого участника обьединённой сети. Какой именно это будет маршрут, статический, динамический или дефолтный, решает администратор сети.
Естественно, речь идёт о тех  участниках, которые непосредственно будут пользоваться этим сервисом.

Цитировать
Или вообще надо поднимать NAT, iptables.
Это опять же решает администратор сети - будет эта сеть со сквозной адресацией или NAT

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: и снова OpenVPN
« Ответ #14 : 30 Ноября 2014, 13:16:11 »
Свершилось чудо.

(Нажмите, чтобы показать/скрыть)


и этот дивный сервис завелся.

Пинги ходят до 192.168.27.29(eth0) openvpn server
Дальше снова СТОП, чего ему снова не хватает?

 

Страница сгенерирована за 0.052 секунд. Запросов: 25.