Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Программное обеспечение Linux и FreeBSD (http://forum.oszone.net/forumdisplay.php?f=11)
-   -   OpenVPN не видит сеть за сервером (http://forum.oszone.net/showthread.php?t=221767)

Endy1 29-11-2011 16:41 1805762
OpenVPN не видит сеть за сервером
 
Друзья, очень прошу - помогите разобраться с проблемой. Уже 5й день голову ломаю, никак не могу решить... Я впервые настраиваю VPN сеть и честно сказать впечатления от этого самые гнетущие :(
Есть OpenVPN сервер с внешним IP 1.1.1.1 и внутреннем IP 192.168.0.145.
Адрес tun0 интерфейса 10.10.200.1

Поднял VPN сеть, всё работает прекрасно, с клиента могу пинговать 192.168.0.145 (eth1 интерфейс на VPN сервере) и 10.10.200.1 (tun0 интерфейс на VPN сервере)



НО! Невозможно пропинговать ни одну сеть за VPN сервером!

Очень прошу, помогите! Где я застрял?
Я перечитал уйму материала, просмотрел десятки примеров конфигов, также прочитал все темы про OpenVPN на этом форуме. Но прояснение пока не наступило.


Код:
Конфиг VPN сервера

port 2000
proto tcp-server
dev tun0

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

server 10.10.200.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nobody
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

Код:
Конфиг клиента

dev tun
proto tcp
remote 1.1.1.1
port 2000
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
push "route 192.168.0.0 255.255.255.0"
OpenVPN не является шлюзом по умолчанию. Думаю, что проблема может быть в маршрутизации.
Поддержка маршрутизации на OpenVPN сервере включена cat /proc/sys/net/ipv4/ip_forward - 1

Но что-то я никак не соображу какие маршруты нужно прописать вручную.
Сейчас таблица маршрутизации на OpenVPN сервере выглядит так:

Код:
Kernel IP routing table
Destination    Gateway        Genmask        Flags Metric Ref    Use Iface
10.10.200.2    0.0.0.0        255.255.255.255 UH    0      0        0 tun0
195.222.3.96    0.0.0.0        255.255.255.224 U    0      0        0 eth1
192.168.0.0    0.0.0.0        255.255.255.0  U    0      0        0 eth1
10.10.200.0    10.10.200.2    255.255.255.0  UG    0      0        0 tun0
169.254.0.0    0.0.0.0        255.255.0.0    U    0      0        0 eth1
127.0.0.0      0.0.0.0        255.0.0.0      U    0      0        0 lo
0.0.0.0        195.222.3.97    0.0.0.0        UG    0      0        0 eth1

Endy1 30-11-2011 16:20 1806553
Проблема всё ещё актуальна. Помогите пожалуйста!

buter 18-04-2012 10:10 1901676
Удалось ли вам решить проблему? Если да, то хотелось бы узнать как, ибо сам столкнулся с такойже...перерыл тучу сайтов и херас 2..Понимаю что дело в маршрутизации но а в ней не силен :(
Плюс, у меня еще стоит прокся(squid ) на этои компе и при openvpn start инет отваливаеться у всех )))

leonty 23-04-2012 13:04 1904456
Цитата:
Цитата buter
Удалось ли вам решить проблему? Если да, то хотелось бы узнать как, ибо сам столкнулся с такойже...перерыл тучу сайтов и херас 2..Понимаю что дело в маршрутизации но а в ней не силен »
вывод ip addr show и ip route list c сервера и клиента. ping/traceroute. схему сети накидайте, что куда ходить должно.

Цитата:
Цитата buter
Плюс, у меня еще стоит прокся(squid ) на этои компе и при openvpn start инет отваливаеться у всех ))) »
почему? :) меняется дефолтный гетвей для вашего маршрутизатора?

buter 03-05-2012 11:47 1909707
leonty, спасибо что откликнулись...постараюсь объяснить, чё у меня куда :)
Значит, сетка изначально было построена на yota'вском маршрутизаторе со шлюзом 192.168.1.1(до сих пор являеться), потом появилась выделка и поставил проксю(не прозрачная) и встала необходимость VPn'a чтобы ток главбух мог из дома работать, ну и для админки неплохо :)
Сейчас при старте vpn'a перестал отваливаться у всех инет, но я вижу ток проксю, за нее не идет.

Код:
server.conf

port 443
proto tcp
dev tun 
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 10.10.10.0 255.255.255.0 # vpn subnet
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0" # home
#push "dhcp-option DNS 192.168.1.1"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 4
mute 20
client-to-client
Код:
клиент конфиг
remote 1.1.1.1 443       
client
dev tun
proto tcp
resolv-retry infinite # this is necessary for DynDNS
nobind
persist-key
persist-tun
ca ca.crt
cert nout.crt
key nout.key
comp-lzo
verb 4
mute 20
Код:
на серваке


root@proxy:/etc/openvpn# ifconfig
eth0      Link encap:Ethernet  HWaddr 1c:af:f7:6b:ee:6d
          inet addr:1.1.1.1  Bcast:1.1.1.2  Mask:255.255.255.252
          inet6 addr: fe80::1eaf:f7ff:fe6b:ee6d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6510094 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5288506 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1926074741 (1.9 GB)  TX bytes:1349754752 (1.3 GB)
          Interrupt:20

eth1      Link encap:Ethernet  HWaddr 1c:6f:65:21:64:25
          inet addr:192.168.1.200  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::1e6f:65ff:fe21:6425/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5349709 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6711390 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1264619407 (1.2 GB)  TX bytes:2068444897 (2.0 GB)
          Interrupt:28 Base address:0xa000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2304 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2304 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:727023 (727.0 KB)  TX bytes:727023 (727.0 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:180 (180.0 B)  TX bytes:0 (0.0 B)




root@proxy:/etc/openvpn# netstat -n -r
Kernel IP routing table
Destination    Gateway        Genmask        Flags  MSS Window  irtt Iface
10.10.10.2      0.0.0.0        255.255.255.255 UH        0 0          0 tun0
46.226.101.60  0.0.0.0        255.255.255.252 U        0 0          0 eth0
192.168.1.0    0.0.0.0        255.255.255.0  U        0 0          0 eth1
10.10.10.0      10.10.10.2      255.255.255.0  UG        0 0          0 tun0
0.0.0.0        46.226.101.61  0.0.0.0        UG        0 0          0 eth0
Код:
на клиенте
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.10.1    192.168.10.16      6
      10.10.10.0    255.255.255.0      10.10.10.5      10.10.10.6    30
      10.10.10.4  255.255.255.252        On-link        10.10.10.6    286
      10.10.10.6  255.255.255.255        On-link        10.10.10.6    286
      10.10.10.7  255.255.255.255        On-link        10.10.10.6    286
        127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
        127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
  127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      192.168.1.0    255.255.255.0      10.10.10.5      10.10.10.6    30
    192.168.10.0    255.255.255.0        On-link    192.168.10.16    259
    192.168.10.16  255.255.255.255        On-link    192.168.10.16    259
  192.168.10.255  255.255.255.255        On-link    192.168.10.16    259
        224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
        224.0.0.0        240.0.0.0        On-link        10.10.10.6    286
        224.0.0.0        240.0.0.0        On-link    192.168.10.16    259
  255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
  255.255.255.255  255.255.255.255        On-link        10.10.10.6    286
  255.255.255.255  255.255.255.255        On-link    192.168.10.16    259
===========================================================================
Постоянные маршруты:
  Отсутствует

leonty 04-05-2012 09:21 1910282
Цитата:
Цитата buter
root@proxy:/etc/openvpn# cls No command 'cls' found, but there are 19 similar ones cls: command not found root@proxy:/etc/openvpn# clear »
зажмите клавишу Ctrl и не отпуская нажмите клавишу с буковкой L :)

Обычно занимаются самодеятельностью в при оформлении первого сообщения, потом выкладывают вывод тех команд, которых просят. netstat & ifconfig я не просил. А вот вывод утилиты ip ... Ну да ладно, не существенно.
У мну есть коллега, к которому очень сложно подойти с вопросом по маршрутизации не имя при себе схемы. Вам бы тоже не мешало накидать. Со своей стороны я набросал то, как вижу это сам.

У Вас именно так?

buter 04-05-2012 10:27 1910317
Цитата:
Цитата leonty
Что же Вы от нас пытали скрыть? это? »
балиин, не заметил ))

да, схема такая

ipconfig на клиенте
Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
Физический адрес. . . . . . . . . : 00-FF-C3-74-D4-39
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::38b5:cdf2:1b5e:305e%16(Основной)
IPv4-адрес. . . . . . . . . . . . : 10.10.10.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.252
Аренда получена. . . . . . . . . . : 4 мая 2012 г. 10:39:10
Срок аренды истекает. . . . . . . . . . : 4 мая 2013 г. 10:39:09
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 10.10.10.5
IAID DHCPv6 . . . . . . . . . . . : 285278147
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-15-CA-00-00-1E-65-DE-6E-B4
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

DNS-суффикс подключения . . . . . : home
Описание. . . . . . . . . . . . . : Intel(R) WiFi Link 5100 ABG
Физический адрес. . . . . . . . . : 00-1E-65-DE-6E-B4
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::c441:96bf:f6ec:d10d%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.10.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 4 мая 2012 г. 10:39:03
Срок аренды истекает. . . . . . . . . . : 3 июня 2012 г. 10:39:02
Основной шлюз. . . . . . . . . : 192.168.10.1
DHCP-сервер. . . . . . . . . . . : 192.168.10.1
IAID DHCPv6 . . . . . . . . . . . : 184557157
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-15-CA-00-00-1E-65-DE-6E-B4
DNS-серверы. . . . . . . . . . . : 192.168.10.1
NetBios через TCP/IP. . . . . . . . : Включен


Время: 09:11.

Время: 09:11.
© OSzone.net 2001-