iptables при настройке openvpn

[fisher74]

чёт конфиг сервера не телепатится, может поможете глянуть на него?

[SkyQ]

Вот конфиг сервера.

Код: [Выделить]

port 1194
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh2048.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"

push "route 192.168.1.0 255.255.255.0"

client-config-dir /etc/openvpn/ccd

push "redirect-gateway"

client-to-client
tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
auth SHA1 # по-умолчанию. Можно ещё MD5.
cipher BF-CBC
keepalive 10 120

comp-lzo

max-clients 10

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log

verb 4
mute 20

[fisher74]

Код: [Выделить]

push "route 10.8.0.0 255.255.255.0"


Этот маршрут нужен только серверу, и совершенно не нужен клиентам, а потому заменяем на

Код: [Выделить]

route 10.8.0.0 255.255.255.0

Пользователь решил продолжить мысль [time]19 Ноябрь 2015, 09:25:47[/time]:А это:

Wed Nov 18 09:23:24 2015 ERROR: Linux route delete command failed: external program exited with error status: 2
Wed Nov 18 09:23:24 2015 /sbin/ip route del 0.0.0.0/0
RTNETLINK answers: Operation not permitted

из-за того что

user nobody
group nogroup

Но дефолтный маршрут через tun  должен вроде добавляться (с меньшей метрикой, чем системный). Перепроверьте

[SkyQ]

push "route 10.8.0.0 255.255.255.0" и route 10.8.0.0 255.255.255.0 - в чем разница?

[AnrDaemon]

Подумайте?… Или вам слово push ни на что не намекает?
"push XXX" заставляет удалённую систему выполнять соответствующие настройки на её стороне.

[SkyQ]

Но дефолтный маршрут через tun  должен вроде добавляться (с меньшей метрикой, чем системный). Перепроверьте

Не совсем понял что проверить.

Вот полный лог клиента на команды start, ping и stop.

Код: [Выделить]

Start:
OpenVPN 2.3.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jul  8 2015
library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Socket Buffers: R=[212992->131072] S=[212992->131072]
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
UDPv4 link local: [undef]
UDPv4 link remote: [AF_INET]x.xxx.xxx.xxx:1194
TLS: Initial packet from [AF_INET]x.xxx.xxx.xxx:1194, sid=92a5747b c495d67b
VERIFY OK: depth=1, C=RU, ST=KRASNODAR KRAY, L=NOVOTITIRIVKA, O=HomeSkyQ, OU=skyq, CN=skyq, name=skyq, emailAddress=dellsrv531@gmail.com
Validating certificate key usage
++ Certificate has key usage  00a0, expects 00a0
VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, C=RU, ST=KRASNODAR KRAY, L=NOVOTITIRIVKA, O=HomeSkyQ, OU=skyq, CN=server, name=skyq, emailAddress=dellsrv531@gmail.com
Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
[server] Peer Connection Initiated with [AF_INET]x.xxx.xxx.xxx:1194
Ping:
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
OPTIONS IMPORT: timers and/or timeouts modified
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: route options modified
ROUTE: default_gateway=UNDEF
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
/sbin/ip route add 192.168.1.0/24 via 10.8.0.5
/sbin/ip route add 10.8.0.0/24 via 10.8.0.5
GID set to nogroup
UID set to nobody
Stop:
Initialization Sequence Completed
event_wait : Interrupted system call (code=4)
/sbin/ip route del 10.8.0.0/24
RTNETLINK answers: Operation not permitted
ERROR: Linux route delete command failed: external program exited with error status: 2
/sbin/ip route del 192.168.1.0/24
RTNETLINK answers: Operation not permitted
ERROR: Linux route delete command failed: external program exited with error status: 2
Closing TUN/TAP interface
/sbin/ip addr del dev tun0 local 10.8.0.6 peer 10.8.0.5
RTNETLINK answers: Operation not permitted
Linux ip addr del failed: external program exited with error status: 2
SIGTERM[hard,] received, process exiting

[fisher74]

Не совсем понял что проверить.

Это плохо, что Вы не понимаете базовые определения.
Всё у Вас хорошо - клиент подключился к VPN, согласно заложенного алгоритма и без ошибок

[SkyQ]

Это плохо, что Вы не понимаете базовые определения.

Плохо. Пошел исправился.
Я правильно понял что под проверкой метрики вы имели ввиду

Код: [Выделить]

route | grep tun0
default         10.8.0.5        0.0.0.0         UG    950    0        0 tun0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    950    0        0 tun0
192.168.1.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
Это на клиенте

Код: [Выделить]

route | grep tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
Это на сервере.
Не совсем понял что значит "с меньшей метрикой"

[fisher74]

Вот только таблицу маршрутизации никак нельзя рассматривать в ракурсе одного интерфейса при наличии нескольких.
Посмотрите на неё без фильтрации.

А на счёт метрики - это тоже из базовых знаний. Изучайте. Знания, особенно базовые - нужная штуковина

[SkyQ]

Код: [Выделить]

default         10.8.0.5        0.0.0.0         UG    950    0        0 tun0
x.xxx.xxx.xxx   192.168.100.254 255.255.255.255 UGH   0      0        0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    950    0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.1.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.100.0   *               255.255.255.0   U     100    0        0 eth0Пользователь решил продолжить мысль [time]19 Ноябрь 2015, 11:03:22[/time]:

А на счёт метрики - это тоже из базовых знаний. Изучайте. Знания, особенно базовые - нужная штуковина

Что посоветуете почитать что бы заполнить пробел?

[fisher74]

ничего не буду советовать, так как все по разному воспринимают информацию. А на своём примере я уже не помню - давно это было

[SkyQ]

На данном этапе куда копать? Клиент подключился. Сервер его пингует, клиент не пингует.
Я не прошу сказать что исправить, но хотяб в какую сторону двигаться?

[fisher74]

Что клиент конкретно не пингует?
Мы же не знаем всю подноготную Вашей сети и сервера в частности. Может на нём параноидальная политика безопасности.

[SkyQ]

Что клиент конкретно не пингует?

Клиент не пингует 10.8.0.1

Мы же не знаем всю подноготную Вашей сети и сервера в частности. Может на нём параноидальная политика безопасности.

Ахахах я тоже об этом думал. Потому попробовал подключится к vpn через мтс свисток. Результат тот же. Пинги в ток с клиента.

[fisher74]

Клиент не пингует 10.8.0.1

А Вашей сети есть такой адрес? Покажите его нам

(Нажмите, чтобы показать/скрыть)

(подсказка: адреса интерфейсов можно посмотреть по командам ifconfig или ip a. Последняя более модная, но я лично консерватор).

я тоже об этом думал. Потому попробовал подключится к vpn через мтс свисток. Результат тот же. Пинги в ток с клиента.

Вы снова путаете определения. При траблшуттинге верхнего уровня обычно не интересует физическая реализация сети. А потому хоть "свисток", хоть "проводок", хоть "стекляшка". Нужно знать схему самой сети.