Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » VPN - [решено] OpenVPN не видно сеть за сервером

Ответить
Настройки темы
VPN - [решено] OpenVPN не видно сеть за сервером

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте, вроде избитая тема, но так ничего и не нашел, прошу помочь кто знает. Настроил OpenVPN сервер и клиент, все работает, но с клиента не могу зайти в сеть за сервером, к самому серверу подключается нормально. Схема примерно такая Сервер на котором ВПН имеет адрес локальной сети 192,168,20,100, основной шлюз 192,168,20,1 в этой же сети есть второй сервер (192,168,20,50) к которому нужно получить доступ. Сервер за роутером, проброшен порт 1194 на локальный WAN сервера 192,168,30,48. Устанавливается нормальное соединение между клиентом и сервером, но не пингуется по виртуальному адресу ВПН, т.е. у сервера 10,168,111,1 а клиенту почему-то всегда присваивается один и тот же адрес всегда 10,168,111,6.

Проблема наверное в маршрутизации, но не могу понять какая, буду признателен за ответ, вот конфиги сервера и клиента

Сервер-

port 1194
proto tcp-server
dev tun
route-method exe
route-delay 10
tls-server
server 10.168.111.0 255.255.255.0
route 10.168.111.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
duplicate-cn
status openvpn-status.log
push "route 192.168.20.0 255.255.255.0"
ca "C:\\OpenVPN\\ssl\\ca.crt"
cert "C:\\OpenVPN\\ssl\\OpenVPN_SERVER.crt"
key "C:\\OpenVPN\\ssl\\OpenVPN_SERVER.key"
dh "C:\\OpenVPN\\ssl\\dh1024.pem"
tls-auth C:\\Openvpn\\ssl\\ta.key 0
tun-mtu 1500
mssfix
verb 3

Клиент-

client
tls-client
verb 3
dev tun
proto tcp
route-delay 2
remote хх.ххх.хх.хх 1194
nobind
persist-key
persist-tun
ca ca.crt
cert Office.crt
key Office.key
tls-auth C:\\OpenVPN\\config\\ta.key 1
keepalive 10 120
route-method exe
ns-cert-type server


Спасибо заранее.

Отправлено: 17:37, 06-01-2015

 

Аватара для Lonely_Mouse

Ветеран


Сообщения: 1081
Благодарности: 94

Профиль | Отправить PM | Цитировать


В конфигах много лишнего. Версия openvpn какая? Навскидку, нужно расшарить адаптер 192.168.20.100 на впн адаптер и выставить получение ip\dns автоматом. Убрать можно
Цитата vs80:
proto tcp-server »
сюда proto udp
Цитата vs80:
route-method exe »
Цитата vs80:
route-delay 10 »
Цитата vs80:
tls-server »
Цитата vs80:
push "route 192.168.20.0 255.255.255.0" »
Цитата vs80:
tls-auth C:\\Openvpn\\ssl\\ta.key 0 »
Цитата vs80:
tun-mtu 1500 »
По-поводу
Цитата vs80:
а клиенту почему-то всегда присваивается один и тот же адрес всегда 10,168,111,6 »
клиентам прописывается статические ip. статья

Последний раз редактировалось Lonely_Mouse, 06-01-2015 в 19:16.

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:00, 06-01-2015 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Спасибо за ответ, версия OpenVPN 2.3.6-последняя, на роутере проброшен только TCP порт, пробросить UDP нет возможности. Строки про маршруты что тоже убрать (push route, route method)? Вы имеете в виду через вкладку доступ на адаптере - разрешить польз-ям сети получать интернет и т.д.? Выставить IP автоматом я не могу это рабочая сеть без DHCP к ней подключаются клиенты и интернета в ней тоже нет.

Отправлено: 22:17, 06-01-2015 | #3


Аватара для Lonely_Mouse

Ветеран


Сообщения: 1081
Благодарности: 94

Профиль | Отправить PM | Цитировать


Вообщем, сервер
dev tun
proto tcp
port 1194
topology subnet
ca "C:\\OpenVPN\\ssl\\ca.crt"
cert "C:\\OpenVPN\\ssl\\OpenVPN_SERVER.crt"
key "C:\\OpenVPN\\ssl\\OpenVPN_SERVER.key"
server 10.168.111.0 255.255.255.0
cipher AES-128-CBC
comp-lzo
mssfix
keepalive 10 120
persist-key
persist-tun
duplicate-cn
push "route 192.168.20.0 255.255.255.0"
verb 3

Клиент
client
dev tun
proto tcp
remote хх.ххх.хх.хх 1194
nobind
persist-key
persist-tun
ca ca.crt
cert Office.crt
key Office.key
verb 0
Автоматом выставить на впн адаптере т.к. после расшаривания ему будет присвоен 192.168.137.1. route-method exe относится к висте, да и то наверно пофиксили в новой версии. tls auth больше к udp годится
Скрытый текст
DoS attacks or port flooding on the OpenVPN UDP port.
Port scanning to determine which server UDP ports are in a listening state.
Buffer overflow vulnerabilities in the SSL/TLS implementation.
SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point).

Отправлено: 22:42, 06-01-2015 | #4


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Да извиняюсь, неправильно понял про ВПН адаптер. Попытался расшарить адаптер -не получилось, нужно запустить службу Internet Connection Sharing, тоже не запустилась, оказывается для ее запуска нужно запустить службу Windows Firewall, после запуска Фаервола перестала работать сеть не было времени разбираться с настройками, так что отключил. Но обязательно проверю позже. Спасибо за детальное объяснение конфигов.

Отправлено: 11:57, 07-01-2015 | #5


Аватара для Lonely_Mouse

Ветеран


Сообщения: 1081
Благодарности: 94

Профиль | Отправить PM | Цитировать


Службу фаера включить, а сам фаер выключить.

Отправлено: 15:53, 07-01-2015 | #6


ИО Капитана Очевидности


Contributor


Сообщения: 5382
Благодарности: 1105

Профиль | Отправить PM | Цитировать


Цитата vs80:
Настроил OpenVPN сервер и клиент, все работает, но с клиента не могу зайти в сеть за сервером, к самому серверу подключается нормально. »
Цитата vs80:
в этой же сети есть второй сервер (192,168,20,50) к которому нужно получить доступ. »
А клиент знает, что для доступа к 192,168,20,50 нужно передавать пакеты в виртуальный канал?
Скорее всего нет, и пакеты уходят в интернет по основному каналу, где глушатся оборудованием провайдера.

Покажите таблицу маршрутизации клиента (команда route print)

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.


Отправлено: 03:53, 08-01-2015 | #7


Аватара для Lonely_Mouse

Ветеран


Сообщения: 1081
Благодарности: 94

Профиль | Отправить PM | Цитировать


Цитата El Scorpio:
А клиент знает, что для доступа к 192,168,20,50 нужно передавать пакеты в виртуальный канал? »
Цитата Lonely_Mouse:
push "route 192.168.20.0 255.255.255.0" »
Знает. Только 192.168.20.50 не знает что с ними делать, поэтому нужно занатить.
Цитата El Scorpio:
Скорее всего нет, и пакеты уходят в интернет по основному каналу, где глушатся оборудованием провайдера. »
Клиент не получает шлюз и днс.

Отправлено: 03:56, 08-01-2015 | #8


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Расшарил адаптер на ВПН сеть и поставил ай-пи автоматом, сеть за сервером (192,168,20,50) клиент видит, т.е. подключается по РДП и т.д. Но теперь он почему-то не видит сам сервер (192,168,20,100) при попытке установить РДП хочет подключиться но потом пишет ваш сеанс пользования рабочим столом завершен, не работают также программы, которые должны при наличии связи с 192,168,20,100. Пинг по виртуальным адресам тоже не появился (10,168,111,1 - 10,168,111,6).

Вот рут принт с клиента-

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
19...00 ff c0 d9 4e 56 ......TAP-Windows Adapter V9
18...f4 b7 e2 2c a9 3a ......Устройства Bluetooth (личной сети) #2
14...f4 b7 e2 2c a9 3b ......Виртуальный адаптер Wi-Fi Direct (Майкрософт)
13...b4 b5 2f 86 8e 56 ......Контроллер семейства Realtek PCIe GBE
12...f4 b7 e2 2c a9 39 ......Ralink RT3290 802.11bgn Wi-Fi Adapter
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.188 25
10.168.111.1 255.255.255.255 10.168.111.5 10.168.111.6 21
10.168.111.4 255.255.255.252 On-link 10.168.111.6 276
10.168.111.6 255.255.255.255 On-link 10.168.111.6 276
10.168.111.7 255.255.255.255 On-link 10.168.111.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.20.0 255.255.255.0 On-link 192.168.20.188 281
192.168.20.0 255.255.255.0 10.168.111.5 10.168.111.6 21
192.168.20.188 255.255.255.255 On-link 192.168.20.188 281
192.168.20.255 255.255.255.255 On-link 192.168.20.188 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.20.188 281
224.0.0.0 240.0.0.0 On-link 10.168.111.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.20.188 281
255.255.255.255 255.255.255.255 On-link 10.168.111.6 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.20.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
12 281 fe80::/64 On-link
19 276 fe80::/64 On-link
19 276 fe80::4555:a98e:6666:352e/128
On-link
12 281 fe80::f9c5:1b6a:9ca8:3437/128
On-link
1 306 ff00::/8 On-link
12 281 ff00::/8 On-link
19 276 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Windows\system32>



На клиенте в офисе сеть Wi-Fi тоже построена на 192,168,20,0

Отправлено: 11:49, 08-01-2015 | #9


Аватара для Lonely_Mouse

Ветеран


Сообщения: 1081
Благодарности: 94

Профиль | Отправить PM | Цитировать


Чтобы клиенты видели друг друга нужно в конфиг сервера добавить client-to-client. Конфиг тот что я дал?
Цитата vs80:
10.168.111.1 255.255.255.255 10.168.111.5 10.168.111.6 21 »
откуда шлюз 10.168.111.5?
Цитата vs80:
10.168.111.4 255.255.255.252 On-link 10.168.111.6 276
10.168.111.6 255.255.255.255 On-link 10.168.111.6 276
10.168.111.7 255.255.255.255 On-link 10.168.111.6 276 »
вместо этого должно быть 10.168.111.0 255.255.255.0

Отправлено: 16:39, 08-01-2015 | #10



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » VPN - [решено] OpenVPN не видно сеть за сервером

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
VPN - OpenVPN не видно сеть за сервером nechik_uk Сетевые технологии 1 19-03-2014 19:35
2008 R2 - [решено] OpenVPN 2008r2 vs 2003. Клиент не видит сеть за сервером. vdkorolyov@vk Windows Server 2008/2008 R2 1 27-01-2014 18:51
OpenVPN не видит сеть, таблица IPTABLES на MAC OS AlexPebody Программное обеспечение Linux и FreeBSD 1 21-10-2013 11:45
OpenVPN не видит сеть за сервером Endy1 Программное обеспечение Linux и FreeBSD 6 04-05-2012 10:27
FreeBSD - Openvpn. первые шаги. Клиент не видет сеть за сервером. BachiStil Общий по FreeBSD 1 25-11-2011 14:03




 
Переход