Войти

Показать полную графическую версию : OpenVPN ошибка в логе, подсети


captd
11-10-2012, 14:13
Добрый день!
В логах впн сервера появляется запись:

Thu Oct 11 14:11:40 2012 us=966164 WARNING: potential route subnet conflict between local LAN [192.168.7.0/255.255.255.0] and remote VPN [192.168.7.32/255.255.255.240]
Thu Oct 11 14:11:40 2012 us=966196 /sbin/route add -net 192.168.7.32 netmask 255.255.255.240 gw 10.1.20.2
Thu Oct 11 14:11:40 2012 us=970831 /sbin/route add -net 10.1.20.0 netmask 255.255.255.0 gw 10.1.20.2



На клиенте
Есть подсеть1: 192.168.7.0/255.255.255.224; подсеть2(впн tun): 10.1.20.0/255.255.255.0; и подсеть4: 192.168.7.32/255.255.255.240
Не могу понять что ему не нравится?

Tonny_Bennet
11-10-2012, 16:23
local LAN [192.168.7.0/255.255.255.0] »

подсеть1: 192.168.7.0/255.255.255.224 »


У вас в настройках сервера OpenVPN неправильно указана маска сети.

captd
11-10-2012, 16:56
Вроде всё правильно

конфиг сервера впн:

;Включаем tls-сервер
tls-server
tls-auth /etc/openvpn/taserver.key

;Режим работы сервера
dev tun
;crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key

;Включение сжатия данных
comp-lzo

;Шифрование
cipher AES-256-CBC 256

;dhcp-server - OpenVPN сеть
server 10.1.20.0 255.255.255.0

;От чьего имени работает сервер
group nogroup
user nobody

;На каком порту работает
proto udp
port 19388

;Объявление маршрутов на клиентские сети
route 192.168.7.32 255.255.255.240

;Фрагментация пакетов
mssfix 1300
fragment 1300

;Пингование и перезапуск серверной и клиентской части
keepalive 20 750

;Дополнительные опции загрузки клиентов
client-config-dir /etc/openvpn/clients
ccd-exclusive
client-to-client

persist-tun
persist-key

;Логирование
log /var/log/openvpn/server

verb 5
mute 20

Tonny_Bennet
11-10-2012, 17:15
Смотрите. У вас ошибка пересечения локальной сети и сети за VPN клиентом.

Вы говорите что Есть подсеть1: 192.168.7.0/255.255.255.224; »

А ошибка говорит о том, что сеть у вас не с маской 255.255.255.224, а с маской 255.255.255.0. Возможно OpenVPN берёт эту информацию из настроек сетевого интерфейса сервера. Посмотрите какая маска у вас прописана в настройках сетевой карты.

captd
12-10-2012, 08:14
В том то и дело, что нигде не обнаружил данную подсеть
Список сетевых интерфейсов:


eth0 Link encap:Ethernet HWaddr c8:60:00:85:44:b8
inet addr:192.168.7.1 Bcast:192.168.7.31 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth2 Link encap:Ethernet HWaddr 00:c0:df:0d:ea:a2
inet addr:192.168.7.225 Bcast:192.168.7.227 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3321573 errors:132 dropped:160 overruns:54 frame:0


lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:9543 errors:0 dropped:0 overruns:0 frame:0
TX packets:9543 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:502303 (490.5 KiB) TX bytes:502303 (490.5 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.1.20.1 P-t-P:10.1.20.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1


tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.31.254.35 P-t-P:172.31.254.33 Mask:255.255.255.255

kim-aa
12-10-2012, 12:22
captd,

Таблицы маршрутизации приведите:
- до установления VPN-соединения
- после установки VPN-соединения

captd
12-10-2012, 12:42
Таблица маршрутизации до установления впн подключения:


172.31.254.33 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.78.19 172.31.254.33 255.255.255.255 UGH 0 0 0 tun0
192.168.78.21 172.31.254.33 255.255.255.255 UGH 0 0 0 tun0
192.168.7.224 0.0.0.0 255.255.255.252 U 0 0 0 eth2
192.168.78.240 172.31.254.33 255.255.255.240 UG 0 0 0 tun0
192.168.7.0 0.0.0.0 255.255.255.224 U 0 0 0 eth0
192.168.4.0 172.31.254.33 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 172.31.254.33 255.255.255.0 UG 0 0 0 tun0
172.31.254.0 172.31.254.33 255.255.254.0 UG 0 0 0 tun0
0.0.0.0 192.168.7.226 0.0.0.0 UG 0 0 0 eth2




Таблица маршрутизации с установленным впн подключением:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.1.20.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.31.254.33 0.0.0.0 255.255.255.255 UH 0 0 0 tun1
192.168.78.19 172.31.254.33 255.255.255.255 UGH 0 0 0 tun1
192.168.78.21 172.31.254.33 255.255.255.255 UGH 0 0 0 tun1
192.168.7.224 0.0.0.0 255.255.255.252 U 0 0 0 eth2
192.168.7.32 10.1.20.2 255.255.255.240 UG 0 0 0 tun0
192.168.78.240 172.31.254.33 255.255.255.240 UG 0 0 0 tun1
192.168.7.0 0.0.0.0 255.255.255.224 U 0 0 0 eth0
192.168.4.0 172.31.254.33 255.255.255.0 UG 0 0 0 tun1
192.168.0.0 172.31.254.33 255.255.255.0 UG 0 0 0 tun1
10.1.20.0 10.1.20.2 255.255.255.0 UG 0 0 0 tun0
172.31.254.0 172.31.254.33 255.255.254.0 UG 0 0 0 tun1
0.0.0.0 192.168.7.226 0.0.0.0 UG 0 0 0 eth2

kim-aa
12-10-2012, 14:07
captd,
А теперь то же самое с ответной стороны.

captd
15-10-2012, 16:00
Извиняюсь за задержку
Клиентская часть:
Таблица маршрутизации до установления впн подключения:


Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.7.33 192.168.7.40 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.7.32 255.255.255.240 On-link 192.168.7.40 276
192.168.7.40 255.255.255.255 On-link 192.168.7.40 276
192.168.7.47 255.255.255.255 On-link 192.168.7.40 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.7.40 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.7.40 276


Таблица маршрутизации с установленным впн подключением:


Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.7.33 192.168.7.40 276
10.1.20.0 255.255.255.0 10.1.20.54 10.1.20.53 31
10.1.20.52 255.255.255.252 On-link 10.1.20.53 286
10.1.20.53 255.255.255.255 On-link 10.1.20.53 286
10.1.20.55 255.255.255.255 On-link 10.1.20.53 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 10.1.20.54 10.1.20.53 31
192.168.7.0 255.255.255.224 10.1.20.54 10.1.20.53 31
192.168.7.32 255.255.255.240 On-link 192.168.7.40 276
192.168.7.40 255.255.255.255 On-link 192.168.7.40 276
192.168.7.47 255.255.255.255 On-link 192.168.7.40 276
192.168.78.19 255.255.255.255 10.1.20.54 10.1.20.53 31
192.168.78.21 255.255.255.255 10.1.20.54 10.1.20.53 31
192.168.78.240 255.255.255.240 10.1.20.54 10.1.20.53 31
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.7.40 276
224.0.0.0 240.0.0.0 On-link 10.1.20.53 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.7.40 276
255.255.255.255 255.255.255.255 On-link 10.1.20.53 286

Tonny_Bennet
16-10-2012, 11:50
Вот, в маршрутах сервера есть маршрут в сеть 192.168.0.0/24.

192.168.0.0 172.31.254.33 255.255.255.0 UG 0 0 0 tun1 »

Да и у клиента тоже прописывается маршрут в большую сеть

192.168.0.0 255.255.255.0 10.1.20.54 10.1.20.53 31 »

kim-aa
16-10-2012, 15:48
Таблицы маршрутизации нормальные. Я думаю, что это ошибка OpenVPN. Ничего страшного, в вашем случае не произойдет, т. к. при наличии 2х маршрутов маршрутизация всегда осуществляется по более точному (узкому).

Нечто подобное можно наблюдать если в сети функционирует классовый протокол типа RIPv1

Tonny_Bennet
16-10-2012, 16:29
т. к. при наличии 2х маршрутов маршрутизация всегда осуществляется по более точному (узкому) »

В принципе никто и не спорит :) Работало оно как я понимаю с самого начала поста. Вопрос был именно в том почему возникает ошибка и где искать эту сеть. А ошибка возникла из-за попытки прописать маршрут, который пересекался бы с другим маршрутом.

kim-aa
16-10-2012, 19:54
А ошибка возникла из-за попытки прописать маршрут, который пересекался бы с другим маршрутом. »

Таких маршрутов нет.

Подключение добавляет маршрут:
;Объявление маршрутов на клиентские сети
route 192.168.7.32 255.255.255.240

До подключения существует маршрут:
192.168.7.0 0.0.0.0 255.255.255.224 U 0 0 0 eth0
однако OpenVPN трактует его как
192.168.7.0 255.255.255.0

т. е. это либо ошибка в коде, либо работа с учетом классов сетей.

Tonny_Bennet
16-10-2012, 23:30
kim-aa, точно, прошу прощения. Перепутал сетку 192.168.0.0/24 с 192.168.7.0/24... совсем видно заработался.

Тогда действительно ошибка где-то в недрах VPN сервера.

captd
17-10-2012, 10:54
Само впн подключение работает как надо. Интересно, что этой подсети на сервере нигде не нашел.




© OSzone.net 2001-2012