openvpn, проблемы с настройкой.

[kolesov]

Всем доброго времени суток.


Нужно настроить OpenVpn между сетями подразделений.
Как-то так: [сеть1 192.168.1.0/24]--[роутер1(сервер)]--{{тоннель 192.168.255.0/24}}--[роутер2(клиент)]--[сеть2 192.168.11.0/26]

За основу взял эту статью: http://softnastroy.com/content/soedinyaem-seti-ispolzuya-openvpn-v-debian-cherez-tun-podrobnoe-rukovodstvo.html

Но где-то что-то пошло не так...
Удалось добиться только того, что на роутере1 поднялся tun0 интерфейс, клиент не подключается, в логах клиента:

Код: [Выделить]

Sun Feb  8 02:19:54 2015 UDPv4 link local: [undef]
Sun Feb  8 02:19:54 2015 UDPv4 link remote: [AF_INET]ХХХ.ХХХ.ХХХ.ХХХ:1194
Sun Feb  8 02:20:54 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  8 02:20:54 2015 TLS Error: TLS handshake failed
Sun Feb  8 02:20:54 2015 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb  8 02:20:54 2015 Restart pause, 2 second(s)
Sun Feb  8 02:20:56 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb  8 02:20:56 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
на сервере так:

Код: [Выделить]

Sun Feb  8 02:06:17 2015 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Sun Feb  8 02:06:17 2015 Diffie-Hellman initialized with 2048 bit key
Sun Feb  8 02:06:17 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Feb  8 02:06:17 2015 ROUTE_GATEWAY ХХХ.ХХХ.ХХХ.ХХХ/255.255.255.252 IFACE=eth1 HWADDR=00:25:90:e6:9c:a3
Sun Feb  8 02:06:17 2015 TUN/TAP device tun0 opened
Sun Feb  8 02:06:17 2015 TUN/TAP TX queue length set to 100
Sun Feb  8 02:06:17 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Feb  8 02:06:17 2015 /sbin/ip link set dev tun0 up mtu 1500
Sun Feb  8 02:06:17 2015 /sbin/ip addr add dev tun0 local 192.168.255.1 peer 192.168.255.2
Sun Feb  8 02:06:17 2015 /sbin/ip route add 192.168.11.0/26 via 192.168.255.2
Sun Feb  8 02:06:17 2015 /sbin/ip route add 192.168.255.0/24 via 192.168.255.2
Sun Feb  8 02:06:17 2015 UDPv4 link local (bound): [AF_INET]ХХХ.ХХХ.ХХХ.ХХХ:1194
Sun Feb  8 02:06:17 2015 UDPv4 link remote: [undef]
Sun Feb  8 02:06:17 2015 MULTI: multi_init called, r=256 v=256
Sun Feb  8 02:06:17 2015 IFCONFIG POOL: base=192.168.255.4 size=62, ipv6=0
Sun Feb  8 02:06:17 2015 IFCONFIG POOL LIST
Sun Feb  8 02:06:17 2015 Initialization Sequence Completed
Гугл не помочь не смог.
iptables на сервере

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Sun Feb  8 02:33:25 2015
*filter
:INPUT DROP [10:416]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [119:12658]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,1194,8787 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp -m multiport --dports 21,25,110,143,443,587,993,995,3389,49555:49655 -j ACCEPT
-A FORWARD -i br0 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i br0 -j ACCEPT
-A fail2ban-ssh -s 222.186.197.76/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Sun Feb  8 02:33:25 2015
# Generated by iptables-save v1.4.21 on Sun Feb  8 02:33:25 2015
*nat
:PREROUTING ACCEPT [835:70048]
:INPUT ACCEPT [61:3842]
:OUTPUT ACCEPT [145:10526]
:POSTROUTING ACCEPT [197:37663]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.5:21
-A PREROUTING -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.6:25
-A PREROUTING -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.6:110
-A PREROUTING -i eth1 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.6:143
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.6:443
-A PREROUTING -i eth1 -p tcp -m tcp --dport 587 -j DNAT --to-destination 192.168.1.6:587
-A PREROUTING -i eth1 -p tcp -m tcp --dport 993 -j DNAT --to-destination 192.168.1.6:993
-A PREROUTING -i eth1 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.1.6:995
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 49555:49655 -j DNAT --to-destination 192.168.1.5:49555-49655
-A POSTROUTING -o eth1 -j SNAT --to-source XXX.XXX.XXX.XXX
COMMIT
# Completed on Sun Feb  8 02:33:25 2015
# Generated by iptables-save v1.4.21 on Sun Feb  8 02:33:25 2015
*mangle
:PREROUTING ACCEPT [10717:988224]
:INPUT ACCEPT [10589:940533]
:FORWARD ACCEPT [538:124363]
:OUTPUT ACCEPT [13874:2300542]
:POSTROUTING ACCEPT [14412:2424905]
-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Feb  8 02:33:25 2015


iptables на клиенте:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Sun Feb  8 02:35:24 2015
*filter
:INPUT DROP [1:442]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1123:109680]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,22,1723,49555:49565 -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i em0 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i em0 -p tcp -m multiport --dports 80 -j ACCEPT
-A FORWARD -i em0 -p udp -m udp --dport 50555 -j ACCEPT
-A FORWARD -i br0 -o em0 -j ACCEPT
-A FORWARD -s 192.168.11.0/26 -i br0 -j ACCEPT
-A FORWARD -s 192.168.11.0/26 -i ppp0 -j ACCEPT
-A FORWARD -i br0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o br0 -j ACCEPT
-A fail2ban-ssh -s 83.143.84.162/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Sun Feb  8 02:35:25 2015
# Generated by iptables-save v1.4.21 on Sun Feb  8 02:35:25 2015
*nat
:PREROUTING ACCEPT [54696:7107036]
:INPUT ACCEPT [1192:75428]
:OUTPUT ACCEPT [1478:96901]
:POSTROUTING ACCEPT [77561:7231836]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i em0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.11.6:80
-A POSTROUTING -o em0 -j SNAT --to-source XXX.XXX.XXX.XXX
COMMIT
# Completed on Sun Feb  8 02:35:25 2015
# Generated by iptables-save v1.4.21 on Sun Feb  8 02:35:25 2015
*mangle
:PREROUTING ACCEPT [2433778:1562052697]
:INPUT ACCEPT [42657:4412426]
:FORWARD ACCEPT [2423866:1562975043]
:OUTPUT ACCEPT [42449:6228964]
:POSTROUTING ACCEPT [2466355:1569213847]
-A FORWARD -o em0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Feb  8 02:35:25 2015


Помогите пожалуйста разобраться.

[beneshe]

Посмторите вот эту статью по настройке.
По ней у меня завелся openvpn, сейчас проблема сделать маршрутизацию, курю маны))))

http://habrahabr.ru/post/233971/

Для создания ключей и сертификатов используйте (easyrsa3) в статье описано.

[fisher74]

Конфиги сервера и клиента мы должны стелепатить? Не думаю, что это возможно ввиду сильной облачности и малой солнечной активности.
Думаю намёк понятен.

Вот всегда удивляет: воспользовался гайдом на каком-то сайте, а за вопросами суда. Ну задайте вопрос автору гайда, чего сюда-то?
Считаю некорректным обсуждать спектакль на сцене другого театра.
На данном ресурсе есть своя бибилиотека со статьями, в том числе и по openvpn. Вот по ней и задавайте вопросы.

[fisher74]

(Нажмите, чтобы показать/скрыть)

Мозг ))
очепятка, исправил

[kolesov]

а за вопросами суда.

fisher74, все мы плывем в одной лодке...

сервер

Код: [Выделить]

dev tun
local XXX.XXX.XXX.XXX
port 1194
proto udp
tls-server

server 192.168.255.0 255.255.255.0
ifconfig 192.168.255.1 192.168.255.2

push "route 192.168.1.0 255.255.255.0"

route 192.168.11.0 255.255.255.192 # che subnet

ca /etc/openvpn/vpn-tun/keys/ca.crt
cert /etc/openvpn/vpn-tun/keys/server.crt
key /etc/openvpn/vpn-tun/keys/server.key
dh /etc/openvpn/vpn-tun/keys/dh2048.pem

client-to-client
client-config-dir /etc/openvpn/vpn-tun/ccd
comp-lzo
persist-tun
persist-key
verb 3
keepalive 10 60
ifconfig-pool-persist ipp.txt # Тут будут храниться ip адреса клиентов

log-append /var/log/openvpn_tun.log
status /var/log/openvpn_status_tun.log

клиент

Код: [Выделить]

remote XXX.XXX.XXX.XXX 1194
client
dev tun
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert chevengur.crt
key chevengur.key
comp-lzo
verb 4
mute 20
verb 3
#redirect-gateway
log-append /var/log/chevengur_to_server00.log


[fisher74]

(Нажмите, чтобы показать/скрыть)

все мы плывем в одной лодке...

но не все с вёслами

клиент

добавьте
tls-client
ns-cert-type server

[kolesov]

(Нажмите, чтобы показать/скрыть)

но не все с вёслами

кто с чем...

неверное правило было в iptables-сервера.
сейчас добавил:

Код: [Выделить]

-A INPUT -p udp -m udp --dport 1194 -j ACCEPTи пинги из подсетей пошли, но не все сервисы тут и там доступны...
разве не достаточно для полной прозрачности сетей (а так и надо).
На клиенте:

Код: [Выделить]

-A FORWARD -i br0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o br0 -j ACCEPT
и на сервере:

Код: [Выделить]

-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
?

[fisher74]

сейчас добавил:

Хе, смешно... Слона-то я и не приметил

разве не достаточно для полной прозрачности сетей (а так и надо) на клиенте:

С маршрутизацией всё нормально? участники туннеля являются дефолтными шлюзами для прилегающих сетей?

[kolesov]

Вроде везде мои косяки, т.к. на на сервере должно быть также как на клиенте:

Код: [Выделить]

-A FORWARD -i br0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o br0 -j ACCEPTт.к. там тоже бридж и LXC

Посоветуйте пожалуйста, как потестить это соединение. У каждой сети должен быть свой шлюз по умолчанию, но сети должны быть прозрачны друг для друга.

[AnrDaemon]

tracepath и tcpdump

[kolesov]

Не могу понять вот что. На хосте клиента - 192.168.11.1 (не в контейнерах), размещены некоторые сервисы (например графики collectd через web-interface), которые доступны из физической сети клиента - 192.168.11.0/26.
Но из сети сервера - 192.168.1.0/24 они оказываются недоступны. Но если в правило:

Код: [Выделить]

-A INPUT -p tcp -m multiport --dports 21,22,1723,49555:49565 -j ACCEPTдобавить к примеру порт 80, и обращаться по этому порту из сети сервера, то сервис оказывается доступен (равно как перечисленные в правиле порты тоже доступны).
Почему так? Ведь есть же правила:

Код: [Выделить]

-A FORWARD -i br0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o br0 -j ACCEPT которые разрешают форвардинг между интерфейсами.
Т.е. как я понимаю, из сети сервера все сервисы должны отзываться так же как и из физической сети клиента.
Или я в чем-то заблуждаюсь?

[fisher74]

Всё правильно, потому что этот трафик будет входящим для шлюза, а не транзитным.

На дефолтных шлюзах создайте маршрут на сеть второго участника VPN

[kolesov]

Можете подсказать по написанию правила...

С сервера:

Код: [Выделить]

route add -net 192.168.11.0/26  ??? дело в том, что есть такой маршрут:

Код: [Выделить]

192.168.11.0    0.0.0.0         255.255.255.192 U     0      0        0 tun0

[fisher74]

Это не правило, а маршрут.
Ещё раз прочтите и попробуйте понять, что я имел ввиду.

На дефолтных шлюзах создайте маршрут на сеть второго участника VPN

[kolesov]

Я правильно понимаю?
1. Дефолтные шлюзы соответственно 192.168.11.1 (клиент) и 192.168.1.1 (сервер), так?
2. Cеть второго участника VPN - для 192.168.1.0/24 - 192.168.11.0/26, и для 192.168.11.0/26 - 192.168.1.0/24, так?