Не вижу сервер openvpn из локальной сети.

Автор Palama, 24 февраля 2016, 17:59:00

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Palama

Исходные данные:
Есть маленький роутер (192.168.0.0/24), с установленным DMZ на 192.168.0.36 (Назовем этот компьютер cserv)
На машине cserv (ubuntu15.10) работает ovpn-сервер (10.8.0.1)
net.ipv4.ip_forward=1

Есть локальная сеть (192.168.64.0/24), общается с внешним миром через роутер 192.168.64.1
На роутере прописаны маршруты
0.0.0.0/256 qw <внешний гейт локалки>
192.168.64.0/24 qw 0.0.0.0
192.168.0.0/24 gw 192.168.64.3
10.8.0.0/24 gw 192.168.64.3


В локальной сети есть машина Debian 8, назовём её dz (192.168.64.3) с ovpn-клиентом (10.8.0.6)
впн работает ping 10.8.0.1 и ping 192.168.0.36 работают.
net.ipv4.ip_forward=1

Теперь для всех компьютеров локальной сети (192.168.64.0/24)
ping 192.168.64.3 есть
traceroute to 10.8.0.1 (10.8.0.1), 30 hops max, 60 byte packets
1  192.168.64.3 (192.168.64.3)  0.128 ms  0.122 ms  0.135 ms
2  * * *
3  * * *
4  * * *
и т.д.

Как мне пустить трафик локальной сети по адресам 10.8.0.0/24 в openvpn?
конфиг сервера cserv

port 1194
proto udp
dev tun


ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/qbik.crt
key /etc/openvpn/keys/qbik.key 
dh /etc/openvpn/keys/dh2048.pem

server 10.8.0.0 255.255.255.0

client-config-dir ccd

ifconfig-pool-persist ipp.txt


route 192.168.64.0 255.255.255.0

auth SHA1
cipher BF-CBC

client-to-client
keepalive 10 120
comp-lzo
max-clients 10

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log
log openvpn.log
verb 3
mute 20

файл /etc/openvpn/ccd/client на сервере cserv

iroute 192.168.64.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"


конфигурация клиента dz

client
dev tun
proto udp

remote MY_OSERVER_IP 1194
resolv-retry infinite

ca keys/ca.crt
cert keys/discz.crt
key keys/discz.key

auth SHA1
cipher BF-CBC

comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
mute 20

route 192.168.0.0 255.255.255.0

ihammers

У вас проблема в настройках сервера/клиента openvpn. Для чего и откуда вы берёте "route 192.168.64.0 255.255.255.0", почему не используете перенаправление "push "redirect-gateway def1""?
Какую статью использовали для настройки? Покажите вывод ip r на машинах до и после включения openvpn.
Посмотрите дополнительную информацию: http://www.lissyara.su/articles/freebsd/security/openvpn/, https://habrahabr.ru/post/67209/ и [https://wiki.debian.org/OpenVPN.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Palama

#2
Использовал это http://help.ubuntu.ru/wiki/openvpn

результаты ip r

На сервере openvpn (машина с убунту)
OpenVPN выкл
default via 192.168.0.1 dev enp2s0
192.168.0.0/24 dev enp2s0  proto kernel  scope link  src 192.168.0.36

OpenVPN вкл
default via 192.168.0.1 dev enp2s0
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
192.168.0.0/24 dev enp2s0  proto kernel  scope link  src 192.168.0.36
192.168.64.0/24 via 10.8.0.2 dev tun0



на клиенте, через который должны работать пользователи (машина с Debian)
OpenVPN выкл
default via 192.168.64.1 dev eth0
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.64.0/24 dev eth0  proto kernel  scope link  src 192.168.64.3
192.168.64.0/24 dev eth1  proto kernel  scope link  src 192.168.64.5

OpenVPN вкл
default via 192.168.64.1 dev eth0
10.8.0.0/24 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 via 10.8.0.5 dev tun0
192.168.64.0/24 dev eth0  proto kernel  scope link  src 192.168.64.3
192.168.64.0/24 dev eth1  proto kernel  scope link  src 192.168.64.5



На пользователях в локальной сети
default via 192.168.64.1 dev loc0  proto static  metric 100
169.254.0.0/16 dev loc0  scope link  metric 1000
192.168.64.0/24 dev loc0  proto kernel  scope link  src 192.168.64.11  metric 100



На роутере локальной сети
имя                                   назначение       маска               гейт
eth0.7 (VLAN7/WAN1)     10.250.204.0   255.255.255.0   0.0.0.0                    0   C    (путь до внешнего гейта)
eth0.1 (VLAN1/LAN)        192.168.64.0   255.255.255.0   0.0.0.0                     0   C    (локаль)
eth0.1 (VLAN1/LAN)        10.8.0.0           255.255.255.0   192.168.64.3           1   S     (путь для впн, прописано мной)
eth0.1 (VLAN1/LAN)        192.168.0.0   255.255.255.0    192.168.64.3             1   S     (аналогично)
eth0.8 (VLAN8/WAN2)     192.168.0.0   255.255.255.0    192.164.206.200      100   S     (путь до сторонней подсети)
eth0.7 (VLAN7/WAN1)     0.0.0.0           0.0.0.0                10.250.204.128           0   S      (внешний гейт)

Добавлю еще что мне не нужно чтоб пользователи ходили в интернет через vpn, мне нужен только доступ к серверу.

ihammers

Так начнём.
Цитата: http://help.ubuntu.ru/wiki/openvpnНо для того, чтобы пользоваться туннелем в другой офис могли другие устройства в локальной сети нужно указать им, чтобы доступ в подсеть 192.168.1.0/24 осуществляется через 192.168.0.100. Или, что часто проще и быстрее прописать это правило маршрутизации на роутере, который является шлюзом для устройств в сети.
Проверяйте пинг из 192.168.64.XX на следующие адреса 10.8.0.1 и 192.168.0.36. А также показывайте вывод следующей команды:
~# sysctl -a | grep -F .forwarding

Проверьте ваши настройки, у вас 2 шлюза для 192.168.0.XX:
eth0.1 (VLAN1/LAN)        192.168.0.0   255.255.255.0    192.168.64.3             1   S     (аналогично)
eth0.8 (VLAN8/WAN2)     192.168.0.0   255.255.255.0    192.164.206.200      100   S     (путь до сторонней подсети)


У вас 2 сетевые карты на клиенте смотрят в одну сеть или проблемы в настройках?
192.168.64.0/24 dev eth0  proto kernel  scope link  src 192.168.64.3
192.168.64.0/24 dev eth1  proto kernel  scope link  src 192.168.64.5


Если ничего не попадётся, то устанавливайте tcpdump на OpenVPN клиенте и сервере. Для начала запустите на клиенте в двух терминалах по 1 команде и запустите пинг до сервера OpenVPN:
~# tcpdump -nv -i eth0 icmp
~# tcpdump -nv -i tun0 icmp

Должны появиться запросы в двух терминалах. Если появились, то клиент переправил icmp запрос дальше. Потом ставим команду на приём на OpenVPN сервере и повторяем до обнаружение проблемного узла.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290