форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenVPN и маршрутизация"

Сообщение от ll75 on 28-Дек-06, 13:23

Плз, хелп. Настроил OpenVPN, конфиги: сервер: dev tun0 ifconfig 192.168.15.1 192.168.15.2 comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key user nobody group nobody tls-server tls-auth ta.key 0 ca ca.crt cert  server.crt key server.key dh dh1024.pem mode server cipher DES-EDE3-CBC client-config-dir ccd log openvpn.log verb 3 route 192.168.10.0 255.255.255.0 клиент: remote ip_адрес_сервера dev tun1 ifconfig 192.168.15.2 192.168.15.1 comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key user nobody group nobody ccd/client: ifconfig-push 192.168.15.2 192.168.15.1 iroute 192.168.10.0 255.255.255.0 При этом интерфейсы tun при запуске появляются и на сервере и на клиенте-и пингуются между собой, но вот с сервера не пингуется адреса из сети 192.168.10, которая подключена к VPN-клиенту. tcpdump показывает на клиенте, что icmp-пакеты доходят, но обратно не идут реплаи... На http://openvpn.net/howto.html : "The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box..." Каким образом это делать? client tls-client tls-auth ta.key 1 dh dh1024.pem ca ca.crt cert client.crt key client.key cipher DES-EDE3-CBC ns-cert-type server log openvpn-log verb 3

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "OpenVPN и маршрутизация"

Сообщение от mike (??) on 28-Дек-06, 15:14

а с firewall'ом как обстоят дела? Може он пинги обратно не пускает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 16:08
	>а с firewall'ом как обстоят дела? Може он пинги обратно не пускает. > на VPN клиенте пинги не запрещены....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 16:11
	>>а с firewall'ом как обстоят дела? Може он пинги обратно не пускает. >> > >на VPN клиенте пинги не запрещены.... а на сервере?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 16:15
	>>>а с firewall'ом как обстоят дела? Може он пинги обратно не пускает. >>> >> >>на VPN клиенте пинги не запрещены.... > > >а на сервере? на сервере тоже не запрещает пинги...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 16:19
	а с клиента пингуются машины, которые подрублены к сети сервера?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 16:27
	>а с клиента пингуются машины, которые подрублены к сети сервера? да, пингуюся...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 16:33
	похоже на сервере нет маршрута до машин в сети 192.168.10.0/24. Попробуй на сервере route add -net 192.168.10.0/24 192.16.15.2 (т.е. адрес клиента)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 16:34
	>похоже на сервере нет маршрута до машин в сети 192.168.10.0/24. route add -net 192.168.10.0/24 192.168.15.2 (т.е. адрес клиента)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 16:40
	>>похоже на сервере нет маршрута до машин в сети 192.168.10.0/24. >route add -net 192.168.10.0/24 192.168.15.2 (т.е. адрес клиента) да нет, благодаря опциям route 192.168.10.0 255.255.255.0 (в /usr/local/etc/openvpn/openvpn.conf) и iroute 192.168.10.0 255.255.255.0 (в /usr/local/etc/openvpn/ccd/client) на сервере $netstat -rn|grep 192 192.168.10         192.168.15.2       UGSc        0       53   tun0 т.е. маршрут есть и icmp пакеты доходят до VPN-клиента по крайней мере,а назад не идут, как узнать на коком хопе затык что-ли?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 16:45
	а traceroute чего говорит?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 16:50
	>а traceroute чего говорит? с сервера # traceroute 192.168.10.31 traceroute to 192.168.10.31 (192.168.10.31), 64 hops max, 44 byte packets 1  192.168.15.2 (192.168.15.2)  257.734 ms  223.007 ms  239.358 ms 2  * * *
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 16:51
	может надо дополнительно ещё форвардить в ipfw или исп-ть nat?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 17:08
	на 192.168.10.31 какая ОС стоит?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 17:12
	>на 192.168.10.31 какая ОС стоит? WinXP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 17:13
	>>на 192.168.10.31 какая ОС стоит? > >WinXP Попробуй брандмауэр отрубить ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 17:23
	>Попробуй брандмауэр отрубить ;-) на клиенте?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "OpenVPN и маршрутизация"
	Сообщение от mike (??) on 28-Дек-06, 17:40
	> >>Попробуй брандмауэр отрубить ;-) >на клиенте? на 192.168.10.31
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 28-Дек-06, 17:58
	>> >>>Попробуй брандмауэр отрубить ;-) >>на клиенте? > > >на 192.168.10.31 а там он и не включен, и с VPN-клиента пингуется 192.168.10.31
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "OpenVPN и маршрутизация"

Сообщение от Ilia Kuliev on 29-Дек-06, 12:14

На клиенте должен быть разрешен форвард пакетов между интерфейсами. Посмотрите в MSKB как это сделать. Насколько я помню, за это отвечает какой-то ключ реестра.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 29-Дек-06, 13:53
	>На клиенте должен быть разрешен форвард пакетов между интерфейсами. >Посмотрите в MSKB как это сделать. Насколько я помню, за это отвечает >какой-то ключ реестра. а почему в MSKB? у меня ведь и OpenVPN-сервер и OpenVPN-клиент под FreeBSD,может быть надо добавить пр-ло ipfw форвардить на OpenVPN-сервер ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "OpenVPN и маршрутизация"
	Сообщение от Ilia Kuliev on 29-Дек-06, 18:40
	>>На клиенте должен быть разрешен форвард пакетов между интерфейсами. >>Посмотрите в MSKB как это сделать. Насколько я помню, за это отвечает >>какой-то ключ реестра. > >а почему в MSKB? у меня ведь и OpenVPN-сервер и OpenVPN-клиент под >FreeBSD,может быть надо добавить пр-ло ipfw форвардить на OpenVPN-сервер ? Я почему-то подумал, что клиент под Win. Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между интерфейсами (gateway_enable="YES" в конфиге системы)?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 03-Янв-07, 10:13
	>Я почему-то подумал, что клиент под Win. >Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между >интерфейсами (gateway_enable="YES" в конфиге системы)? Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 03-Янв-07, 10:16
	> >>Я почему-то подумал, что клиент под Win. >>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между >>интерфейсами (gateway_enable="YES" в конфиге системы)? > >Да в /etc/rc.conf на клиенте стоит gateway_enable="yes" А на OpenVPN-сервере нет этой опции...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 03-Янв-07, 11:51
	>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes" > >А на OpenVPN-сервере нет этой опции... эта опция делает тоже самое, что и  команда # sysctl net.inet.ip.forwarding=1   ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "OpenVPN и маршрутизация"
	Сообщение от Аноним on 03-Янв-07, 15:30
	> > >>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes" >> >>А на OpenVPN-сервере нет этой опции... > > >эта опция делает тоже самое, что и  команда ># sysctl net.inet.ip.forwarding=1   ? угу
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "OpenVPN и маршрутизация"
	Сообщение от Аноним on 03-Янв-07, 15:30
	> >>Я почему-то подумал, что клиент под Win. >>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между >>интерфейсами (gateway_enable="YES" в конфиге системы)? > >Да в /etc/rc.conf на клиенте стоит gateway_enable="yes" Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента? Если нет, надо или прописать его везде руками, либо (если машины получают адреса от DHCP на Win2003) поставить этот маршрут в опциях DHCP статиком.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 03-Янв-07, 15:49
	>> >>>Я почему-то подумал, что клиент под Win. >>>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между >>>интерфейсами (gateway_enable="YES" в конфиге системы)? >> >>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes" > >Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента? >Если нет, надо или прописать его везде руками, либо (если машины получают >адреса от DHCP на Win2003) поставить этот маршрут в опциях DHCP >статиком. нет, не знают, но вроде ж описано всё было в опциях openvpn и должно работать без дополнительной настройки клиентов... судя по http://openvpn.net/howto.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 04-Янв-07, 11:58
	>>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента? ну как знают- у них есть шлюз, через который они "видят" VPN-клиента, в общем между хостами сети 192.168.10 и VPN-клиентом 3 хопа...и хосты пингуют VPN-клиент.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "OpenVPN и маршрутизация"
	Сообщение от Аноним on 04-Янв-07, 12:50
	> >>>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента? >ну как знают- у них есть шлюз, через который они "видят" VPN-клиента, >в общем между хостами сети 192.168.10 и VPN-клиентом 3 хопа...и хосты >пингуют VPN-клиент. Пиздец, извините мой французский. Почитайте букварь по основам мершрутизации. Дальше объяснять покамест бессмысленно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "OpenVPN и маршрутизация"
	Сообщение от Аноним on 04-Янв-07, 12:49
	>>> >>>>Я почему-то подумал, что клиент под Win. >>>>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между >>>>интерфейсами (gateway_enable="YES" в конфиге системы)? >>> >>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes" >> >>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента? >>Если нет, надо или прописать его везде руками, либо (если машины получают >>адреса от DHCP на Win2003) поставить этот маршрут в опциях DHCP >>статиком. >нет, не знают, но вроде ж описано всё было в опциях openvpn >и должно работать без дополнительной настройки клиентов... судя по http://openvpn.net/howto.html Вы вообще поняли вопрос? Опции сервера openvpn тут вообще не при чем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 04-Янв-07, 14:32
	>Вы вообще поняли вопрос? >Опции сервера openvpn тут вообще не при чем. может ты и прав, Аноним..но ругацца то зачем? мазафака ты....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "OpenVPN и маршрутизация"
	Сообщение от ll75 on 04-Янв-07, 16:35
	разобрался-прописал верно маршр-ию обратно по всем хопам, чтобы icmp-reply знали маршрут к сети 192.168.15.0... В общем как написано в http://openvpn.net/howto.html : "The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box (you won't need this if the OpenVPN server box is the gateway for the server LAN). "
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]