The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите с route в OpenVPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение [ Отслеживать ]

"Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 10-Дек-07, 17:28 
Доброго дня суток, алл!
Имеется OpenVPN версии 2.0.9
OS: SLES 10.1
Конфиг сервера:

port 5000
proto udp
dev tun
tls-server
ca ca.cert
cert server.cert
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.19.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.19.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 3

Конфиг клиента:

client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 5000
resolv-retry infinite
user openvpn
group openvpn
persist-key
persist-tun
tls-client
ca ca.cert
cert user.cert
key user.key
comp-lzo
verb 3

Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute 192.168.0.1, аналогично.
Сервер и клиент VPN пингуются.
Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась?
Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите с route в OpenVPN"  +/
Сообщение от chodorenko on 10-Дек-07, 20:47 
push "route 192.168.0.0 255.255.0.0 10.8.0.102"
где вместо 10.8.0.102 ip интерфейса клиента
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Помогите с route в OpenVPN"  +/
Сообщение от chuvy (ok) on 11-Дек-07, 07:12 
>push "route 192.168.0.0 255.255.0.0 10.8.0.102"
>где вместо 10.8.0.102 ip интерфейса клиента

Задача какя? Роуты прокинуть клиенту или же просто при подключении клиент не пингуется?
Если роуты то читай о ccd. Кому необходимо кидать роуты то должны иметь статику - а это делается при помощи ccd. Если подключается и не пингуется, то для начала смотри фаер или если винда то еще он может конфликтовать с встроеной маршрутизацией, но по с сервака должен пиногваться.
ccd/cert_of_client
ifconfig-push 10.0.0.2 10.0.0.1
iroute 192.168.0.0 255.255.0.0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 11-Дек-07, 09:06 
>[оверквотинг удален]
>Задача какя? Роуты прокинуть клиенту или же просто при подключении клиент не
>пингуется?
>Если роуты то читай о ccd. Кому необходимо кидать роуты то должны
>иметь статику - а это делается при помощи ccd. Если подключается
>и не пингуется, то для начала смотри фаер или если винда
>то еще он может конфликтовать с встроеной маршрутизацией, но по с
>сервака должен пиногваться.
>ccd/cert_of_client
>ifconfig-push 10.0.0.2 10.0.0.1
>iroute 192.168.0.0 255.255.0.0

Клиент и сервер пингуются, но хочу сделать что-бы все динамически раздавалось как ip так и роуты.
Т.е. Полностью динамически роуты не раздать? И к каждому сертификату нужно будет создавать свой ccd? Если я все правильно прочел в мане, то можно сделать это с помощью скрипта, не так ли?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Помогите с route в OpenVPN"  +/
Сообщение от chuvy (ok) on 11-Дек-07, 13:52 
>Клиент и сервер пингуются, но хочу сделать что-бы все динамически раздавалось как
>ip так и роуты.
>Т.е. Полностью динамически роуты не раздать? И к каждому сертификату нужно будет
>создавать свой ccd? Если я все правильно прочел в мане, то
>можно сделать это с помощью скрипта, не так ли?

С скриптом не работал. Реализовал статикой. Если что получится отпиши.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 11-Дек-07, 15:31 
>>Клиент и сервер пингуются, но хочу сделать что-бы все динамически раздавалось как
>>ip так и роуты.
>>Т.е. Полностью динамически роуты не раздать? И к каждому сертификату нужно будет
>>создавать свой ccd? Если я все правильно прочел в мане, то
>>можно сделать это с помощью скрипта, не так ли?
>
>С скриптом не работал. Реализовал статикой. Если что получится отпиши.

Так и не решил вопрос, уже сам только запутался, переписав конфиги снова.
Перечил fag и howto на http://openvpn.net/ что-то ничего ко мне не пришло =(
Попробовал прописать в файрволе на сервере правила
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
тоже не помогло, как советовали прописал ccd в конфиге
ifconfig-push 10.19.0.2 10.19.0.1
iroute 192.168.0.0 255.255.255.0
после добавления ccd на клиенте роутинг вообще пропал, пришлось вбивать его руками route add -net 192.168.0.0/24 gw 10.0.0.1
Пингов в сеть 192.168.0.* не проходит.

Есть еще какие-нибудь идеи.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 12-Дек-07, 12:18 
Вопрос решен, действительно проблема была в firewall
При добавлении 2х правил стала пинговаться сеть и в том и в другом направлении.
iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE
iptables -I FORWARD 2 -i tun+ -j ACCEPT

>>С скриптом не работал. Реализовал статикой. Если что получится отпиши.

Если что со скриптом придумаю обязательно отпишусь.
Спасибо всем за помощь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Помогите с route в OpenVPN"  +/
Сообщение от DogEater email(ok) on 12-Дек-07, 14:40 
>iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE

ээ, я немножко не понял, для чего ты используешь маскарад???

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 13-Дек-07, 11:35 
>>iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE
>
>ээ, я немножко не понял, для чего ты используешь маскарад???

Можно и SNAT, собственно, но без правила в firewall, не пингуется локальная сеть и обратно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Помогите с route в OpenVPN"  +/
Сообщение от DogEater email(ok) on 13-Дек-07, 13:15 
>>>iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE
>>
>>ээ, я немножко не понял, для чего ты используешь маскарад???
>
>Можно и SNAT, собственно, но без правила в firewall, не пингуется локальная
>сеть и обратно.

Вы считаете что подсети 192.168 и 10. не маршрутизируются межу собой? Не проще ли просто пускать пакет через табличку filter?
Другое дело, если такие настройки нужны для безопасности, что бы только одна сеть видела другую, но не наоборот.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 14-Дек-07, 18:53 
>[оверквотинг удален]
>>>
>>>ээ, я немножко не понял, для чего ты используешь маскарад???
>>
>>Можно и SNAT, собственно, но без правила в firewall, не пингуется локальная
>>сеть и обратно.
>
>Вы считаете что подсети 192.168 и 10. не маршрутизируются межу собой? Не
>проще ли просто пускать пакет через табличку filter?
>Другое дело, если такие настройки нужны для безопасности, что бы только одна
>сеть видела другую, но не наоборот.

Немного не понял что вы имеете ввиду под табличкой filter, не могли бы разъяснить?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Помогите с route в OpenVPN"  +/
Сообщение от DogEater (??) on 15-Дек-07, 17:22 
>Немного не понял что вы имеете ввиду под табличкой filter, не могли
>бы разъяснить?

таблица filter она же таблиц предназначенная для фильтрации пакетов, используется по умолчанию при отдаче комманд
полный список таблиц описан в man

>iptables -I FORWARD 2 -i tun+ -j ACCEPT

вот это правило вы записали в таблицу filter и цепочку FORWARD

>iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE

Вот это правило вы записали в таблицу nat предназначенную для модификаци пакетов а не для фильтрации
Вся фильтрация согласно man должна производиться в  таблице filter

Кроме того,разьясните, для чего вам нужен маскарад внутри защищённой сети?
не проще ли было записать 2 правила, разрешающих хождение пакетов туда-обратно в таблицу filter?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 20-Дек-07, 19:10 
>Вот это правило вы записали в таблицу nat предназначенную для модификаци пакетов
>а не для фильтрации
>Вся фильтрация согласно man должна производиться в  таблице filter

Да вы правы. Но с фильтрацией в таблице filter у меня не пингуется внутренняя сеть =(
Не могли бы вы приложить свои правила фильтрации, не исключаю тот факт что в где-то накосячил.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Помогите с route в OpenVPN"  +/
Сообщение от DogEater email(ok) on 24-Дек-07, 10:30 
>>Вот это правило вы записали в таблицу nat предназначенную для модификаци пакетов
>>а не для фильтрации
>>Вся фильтрация согласно man должна производиться в  таблице filter
>
>Да вы правы. Но с фильтрацией в таблице filter у меня не
>пингуется внутренняя сеть =(
>Не могли бы вы приложить свои правила фильтрации, не исключаю тот факт
>что в где-то накосячил.

Честно говоря, у меня как таковых постоянных правил нет. Их каждый раз при подключении клиента выстраивает скрипт, вызываемый по директиве learn-address.

Я создаю цепочку Цепочка_клиента
Все входящие пакеты от клиента на интерфейс tun0 в цепочке INPUT
iptables -I INPUT -i tun0 -s ip_клиента -j Цепочка_клиента
Все исходящие пакеты к клиенту на интерфейс tun0 в цепочке OUTPUT
iptables -I OUTPUT -o tun0 -d ip_клиента -j Цепочка_клиента
Все исходящие пакеты от/к клиенту с любого интефейса на интерфейс tun0 в цепочке FORWARD
iptables -I FORWARD -o tun0 -d ip_клиента -j Цепочка_клиента
iptables -I FORWARD -i tun0 -s ip_клиента -j Цепочка_клиента
я перенаправляю в цепочку Цепочка_клиента в которой скрипт при старте прописывает отдельные правила для каждого клиента
а тут уже проще
iptables -I Цепочка_клиента -o tun0 -d ip_клиента -j ACCEPT
iptables -I Цепочка_клиента -i tun0 -s ip_клиента -j ACCEPT
Естественно можно делать отдельные правила для каждого клиента/хоста внутренней сети.
Плюс учёт траффика по каждой цепочке :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Помогите с route в OpenVPN"  +/
Сообщение от NetSpyder (ok) on 12-Дек-07, 16:57 
>[оверквотинг удален]
>cert user.cert
>key user.key
>comp-lzo
>verb 3
>
>Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute
>192.168.0.1, аналогично.
>Сервер и клиент VPN пингуются.
>Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась?
>Спасибо.

А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался с подобной проблемой!


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Помогите с route в OpenVPN"  +/
Сообщение от Heretic (ok) on 13-Дек-07, 11:35 
>[оверквотинг удален]
>>verb 3
>>
>>Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute
>>192.168.0.1, аналогично.
>>Сервер и клиент VPN пингуются.
>>Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась?
>>Спасибо.
>
>А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался
>с подобной проблемой!

естественно пингуется

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Помогите с route в OpenVPN"  +/
Сообщение от konst email(??) on 25-Дек-07, 01:18 
>[оверквотинг удален]
>>>Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute
>>>192.168.0.1, аналогично.
>>>Сервер и клиент VPN пингуются.
>>>Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась?
>>>Спасибо.
>>
>>А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался
>>с подобной проблемой!
>
>естественно пингуется

на клиенте: route add -host 192.168.0.1 gw local-ip-сервера

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Помогите с route в OpenVPN"  +/
Сообщение от Alderman email on 08-Апр-10, 10:26 
>[оверквотинг удален]
>>>>Сервер и клиент VPN пингуются.
>>>>Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась?
>>>>Спасибо.
>>>
>>>А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался
>>>с подобной проблемой!
>>
>>естественно пингуется
>
>на клиенте: route add -host 192.168.0.1 gw local-ip-сервера

Просто в конфиге клиента
route 192.168.0.0 255.255.0.0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру