Настройка OpenVPN сервера c DHCP

[Максимко]

Доброго всем !
Прошу помощи по настройке OpenVPN :
ВПН нужен, чтобы клиенты попадали на сервер внутри сети и работали с приложением.
Сервер на Линукс, он же шлюз, настроен, работает.
Клиенты будут на Windows, настроен тестовый, сервер видит, пинг, SSH - работает. Но НЕ видит сеть за сервером.

Сеть клиента : 192.168.20.0
Адрес клиента : 192.168.20.3
Сеть Сервера : 192.168.10.0
Адрес Сервера локальный: 192.168.10.1
ВПН сеть : 172.16.10.0
Адрес ВПН сервера : 172.16.10.1
Адрес ВПН клиента : 172.16.10.10
Внешний IP сервера : A.B.C.D

Конфиг сервера :

local A.B.C.D
port 500
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
tls-auth keys/ta.key 0
server 172.16.10.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
keepalive 10 120
max-clients 32
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 11
mute 20
daemon
mode server
tls-server
comp-lzo

Интерфейс ВПН Сервера :

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:172.16.10.1  P-t-P:172.16.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

Маршруты Сервера, относящиеся к ВПН :

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.10.2     *               255.255.255.255 UH    0      0        0 tun0
172.16.10.0     172.16.10.2     255.255.255.0   UG    0      0        0 tun0

Конфиг клиента :

client
resolv-retry infinite
nobind
remote A.B.C.D
proto udp
dev tun
comp-lzo
ca ca.crt
cert client.crt
key client.key
dh dh2048.pem
tls-client
tls-auth ta.key 1
float
keepalive 10 120
persist-key
persist-tun
verb 1

Интерфейс ВПН клиента :

Ethernet adapter OpenVPN:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-31-AE-04-72
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 172.16.10.10(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 27 июня 2017 г. 10:13:11
   Срок аренды истекает. . . . . . . . . . : 27 июня 2018 г. 10:13:10
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 172.16.10.9
   NetBios через TCP/IP. . . . . . . . : Включен

Маршруты клиента :

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.20.1     192.168.20.3    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      172.16.10.0    255.255.255.0      172.16.10.9     172.16.10.10     20
      172.16.10.8  255.255.255.252         On-link      172.16.10.10    276
     172.16.10.10  255.255.255.255         On-link      172.16.10.10    276
     172.16.10.11  255.255.255.255         On-link      172.16.10.10    276
     192.168.10.0    255.255.255.0      172.16.10.9     172.16.10.10     20
     192.168.20.0    255.255.255.0         On-link      192.168.20.3    276
     192.168.20.3  255.255.255.255         On-link      192.168.20.3    276
   192.168.20.255  255.255.255.255         On-link      192.168.20.3    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.20.3    276
        224.0.0.0        240.0.0.0         On-link      172.16.10.10    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.20.3    276
  255.255.255.255  255.255.255.255         On-link      172.16.10.10    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     192.168.20.1  По умолчанию

Пользователь добавил сообщение 27 Июня 2017, 11:14:04:Так же в IPtables на сервере для ВПН адаптера и сети ВПН всё разрешено :

iptables -A INPUT -i $VPN  -j ACCEPT
iptables -A OUTPUT -o $VPN  -j ACCEPT

iptables -A INPUT -i $IFWAN -p udp --dport 500 -j ACCEPT

iptables -A FORWARD -i $VPN -j ACCEPT
iptables -A FORWARD -o $VPN -j ACCEPT
iptables -A FORWARD -s 172.16.10.0/24 -j ACCEPT
iptables -A FORWARD -d 172.16.10.0/24 -j ACCEPT

[fisher74]

ip r с тестируемых хостов клиентской и рабочей сетей. (не клиента и сервера, а именно хостов соединяемых ими сетей)

[Максимко]

Клиент будет подключаться сам (ВПН на клиенте), сеть за ним не нужна, адреса клиента я привёл.

ПК внутри сети сервера, к которому хочу получить доступ :

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 40-A8-F0-A6-4A-A6
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.20(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.10.1
   DNS-серверы. . . . . . . . . . . : 192.168.10.2
                                       192.168.10.11
   NetBios через TCP/IP. . . . . . . . : Включен

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.20    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.10.0    255.255.255.0         On-link     192.168.10.20    276
    192.168.10.20  255.255.255.255         On-link     192.168.10.20    276
   192.168.10.255  255.255.255.255         On-link     192.168.10.20    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.10.20    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.10.20    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     192.168.10.1  По умолчанию
===========================================================================
Пользователь добавил сообщение 27 Июня 2017, 13:10:22:Пытаюсь подключиться с клиента :

C:\Users\User>telnet 192.168.10.20 3389
Подключение к 192.168.10.20...Не удалось открыть подключение к этому узлу, на по
рт 3389: Сбой подключения

На сервере вижу :

[server]# tcpdump -i eth2.10 -n -nn | grep 192.168.10.20.3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2.10, link-type EN10MB (Ethernet), capture size 65535 bytes
13:06:06.217576 IP 172.16.10.10.8662 > 192.168.10.20.3389: Flags S, seq 1570854719, win 8192, options [mss 1357,nop,wscale 2,nop,nop,sackOK], length 0
13:06:06.218041 IP 192.168.10.20.3389 > 172.16.10.10.8662: Flags S., seq 896405030, ack 1570854720, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
13:06:09.210029 IP 172.16.10.10.8662 > 192.168.10.20.3389: Flags S, seq 1570854719, win 8192, options [mss 1357,nop,wscale 2,nop,nop,sackOK], length 0
13:06:09.216414 IP 192.168.10.20.3389 > 172.16.10.10.8662: Flags S., seq 896405030, ack 1570854720, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
13:06:15.217700 IP 172.16.10.10.8662 > 192.168.10.20.3389: Flags S, seq 1570854719, win 8192, options [mss 1357,nop,nop,sackOK], length 0
13:06:15.221699 IP 192.168.10.20.3389 > 172.16.10.10.8662: Flags S., seq 896405030, ack 1570854720, win 8192, options [mss 1460,nop,nop,sackOK], length 0

То есть пакеты доходят до внутренней 10 сети, ответ так же идёт. Но не уходит Клиенту.


Пользователь добавил сообщение 27 Июня 2017, 13:35:38:НО при этом пакеты не доходят до интерфейса ВПН (видно только входящие) :

# tcpdump -i tun0 -n -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
13:33:07.544495 IP 172.16.10.10.8750 > 192.168.10.20.3389: Flags S, seq 7944762, win 8192, options [mss 1357,nop,wscale 2,nop,nop,sackOK], length 0
13:33:10.537739 IP 172.16.10.10.8750 > 192.168.10.20.3389: Flags S, seq 7944762, win 8192, options [mss 1357,nop,wscale 2,nop,nop,sackOK], length 0
13:33:16.544186 IP 172.16.10.10.8750 > 192.168.10.20.3389: Flags S, seq 7944762, win 8192, options [mss 1357,nop,nop,sackOK], length 0

[fisher74]

показывайте все правила netfiler - явно проблема в них
sudo iptables-save
И да, на всякий случай, что кажет:
sysctl net.ipv4.ip_forward

[Максимко]

IPTABLES огромный ...

Форвардинг включен :
[]# ./ifselect
[]# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Нашёл, куда уходят пакеты ! На интернет интерфейс сервера (куда и подключен ВПН) :

# tcpdump -i eth0.152 -n -nn | grep 192.168.10.20.3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.152, link-type EN10MB (Ethernet), capture size 65535 bytes
15:06:22.240540 IP 192.168.10.20.3389 > 172.16.10.10.9310: Flags [S.], seq 1005290395, ack 2376449782, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:06:25.244191 IP 192.168.10.20.3389 > 172.16.10.10.9310: Flags [S.], seq 1005290395, ack 2376449782, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

Видимо нужно СНАТировать пакеты на ВПН интерефейс ?

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -d 172.16.10.0/24 -j SNAT --to-source 172.16.10.2
 
Так не работает, то же самое.



Пользователь добавил сообщение 28 Июня 2017, 08:02:28:Проблема решена, пакеты пошли, куда нужно.

Дело было в маршрутизации : у нас 2 интернет интерфейса и 2 таблицы маршрутов было изначально, я добавил третью таблицу стало всё ок.

Всем спасибо !

[fisher74]

Дело было в маршрутизации : у нас 2 интернет интерфейса и 2 таблицы маршрутов было изначально

Которые разруливаются netfilter. Потому и просил все правила.