OpenVPN проблема с маршрутизацией [РЕШЕНО]

maxys146	# 10 лет, 9 месяцев назад (отредактировано 10 лет, 9 месяцев назад)
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Итак, есть шлюз на фряхе(не пинайте)) просто на этом форуме наиболее адекватные и отзавчивые люди) Есть на нем сервер openvpn с авторизацией в виндовом АД, все это настроено, работает нормально. Удаленный клиент подключается, соединение устанавливается, вроде все ок, но! С клиента пингуются только интерфейсы шлюза как сетевухи так и tun0, дальше никак… То есть судя по всему у меня проблемы с маршрутизацией пакетов. Конфиг openvpn: port XXXX proto tcp dev tun0 ca /usr/local/etc/openvpn/keys/ca.crt cert /usr/local/etc/openvpn/keys/server.crt #client-cert-not-required key /usr/local/etc/openvpn/keys/server.key dh /usr/local/etc/openvpn/keys/dh1024.pem auth-user-pass-verify /usr/local/etc/openvpn/k.sh via-file username-as-common-name script-security 3 server 1.1.2.0 255.255.255.0 push "route 10.10.1.0 255.255.255.0" #push "route 1.1.2.0 255.255.255.0" #ifconfig-pool-persist ipp.txt keepalive 10 120 push "dhcp-option DNS 10.10.1.2" client-to-client duplicate-cn cipher BF-CBC keepalive 10 120 comp-lzo max-clients 100 user nobody group nobody persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 3 В файрволе всего одна строка в правилах(сервер еще пока не смотрит в мир) #!/bin/sh cmd="/sbin/ipfw add" ${cmd} 9000 allow all from any to any На клиенте в винде интерфейс: Ethernet adapter Подключение по локальной сети 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9 Физический адрес. . . . . . . . . : 00-FF-70-47-75-FE DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::81e5:18dc:5c12:c6f5%15(Основной IPv4-адрес. . . . . . . . . . . . : 1.1.2.10(Основной) Маска подсети . . . . . . . . . . : 255.255.255.252 Аренда получена. . . . . . . . . . : 12 ноября 2011 г. 12:48:07 Срок аренды истекает. . . . . . . . . . : 11 ноября 2012 г. 12:48:07 Основной шлюз. . . . . . . . . : DHCP-сервер. . . . . . . . . . . : 1.1.2.9 IAID DHCPv6 . . . . . . . . . . . : 318832496 Шлюза нет!!! dhcp-сервер непойми какой… бред? Роуты на клиенте IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.71 20 1.1.2.0 255.255.255.0 1.1.2.13 1.1.2.14 31 1.1.2.12 255.255.255.252 On-link 1.1.2.14 286 1.1.2.14 255.255.255.255 On-link 1.1.2.14 286 1.1.2.15 255.255.255.255 On-link 1.1.2.14 286 10.10.1.0 255.255.255.0 1.1.2.13 1.1.2.14 31 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.255.0 On-link 192.168.0.71 276 192.168.0.71 255.255.255.255 On-link 192.168.0.71 276 192.168.0.255 255.255.255.255 On-link 192.168.0.71 276 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.0.71 276 224.0.0.0 240.0.0.0 On-link 1.1.2.14 286 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.0.71 276 255.255.255.255 255.255.255.255 On-link 1.1.2.14 286 =========================================================================== 192.168.0.71 это то-же что и 192,168,100,х то есть просто между ними еще и роутер обычный, но не суть) Интерфейсы на сервере: re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC> ether f4:6d:04:5f:d7:fe inet 192.168.100.75 netmask 0xffffff00 broadcast 192.168.100.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC> ether 00:e0:52:d0:41:9f inet 10.10.1.5 netmask 0xffffff00 broadcast 10.10.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 options=3<RXCSUM,TXCSUM> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 nd6 options=3<PERFORMNUD,ACCEPT_RTADV> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500 options=80000<LINKSTATE> inet 1.1.2.1 --> 1.1.2.2 netmask 0xffffffff Opened by PID 26138 Здесь 192,168,100,75 смотрит типа в мир то етсь на комп с которого проверяю, 10,10,1,5 смотрит в локалку которую надо видеть. Маршруты на сервере: Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 62.122.211.65 UGS 12 606567 re0 1.1.2.0/24 1.1.2.2 UGS 0 5 tun0 1.1.2.1 link#5 UHS 0 2 lo0 1.1.2.2 link#5 UH 0 14671 tun0 10.10.1.0/24 link#2 U 0 157900 rl0 10.10.1.5 link#2 UHS 0 3 lo0 192.168.100.1/24 link#1 U 1 6261 re0 192.168.100.75 link#1 UHS 0 3 lo0 127.0.0.1 link#4 UH 0 1872 lo0 В чем проблема не могу понять… Заранее спасибо за помощь)

# 10 лет, 9 месяцев назад (отредактировано 10 лет, 9 месяцев назад)

Сообщения: 754

Участник с: 08 апреля 2011

Итак, есть шлюз на фряхе(не пинайте)) просто на этом форуме наиболее адекватные и отзавчивые люди)
Есть на нем сервер openvpn с авторизацией в виндовом АД, все это настроено, работает нормально.
Удаленный клиент подключается, соединение устанавливается, вроде все ок, но! С клиента пингуются только интерфейсы шлюза как сетевухи так и tun0, дальше никак… То есть судя по всему у меня проблемы с маршрутизацией пакетов.
Конфиг openvpn:

port XXXX
proto tcp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
#client-cert-not-required
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
auth-user-pass-verify /usr/local/etc/openvpn/k.sh via-file
username-as-common-name
script-security 3
server 1.1.2.0 255.255.255.0
push "route 10.10.1.0  255.255.255.0"
#push "route 1.1.2.0 255.255.255.0"
#ifconfig-pool-persist ipp.txt
keepalive 10 120
push "dhcp-option DNS 10.10.1.2"
client-to-client
duplicate-cn
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

В файрволе всего одна строка в правилах(сервер еще пока не смотрит в мир)

#!/bin/sh
cmd="/sbin/ipfw add"
${cmd} 9000 allow all from any to any

На клиенте в винде интерфейс:

Ethernet adapter Подключение по локальной сети 2:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-70-47-75-FE
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::81e5:18dc:5c12:c6f5%15(Основной
   IPv4-адрес. . . . . . . . . . . . : 1.1.2.10(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 12 ноября 2011 г. 12:48:07
   Срок аренды истекает. . . . . . . . . . : 11 ноября 2012 г. 12:48:07
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 1.1.2.9
   IAID DHCPv6 . . . . . . . . . . . : 318832496

Шлюза нет!!! dhcp-сервер непойми какой… бред?

Роуты на клиенте

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.71     20
          1.1.2.0    255.255.255.0         1.1.2.13         1.1.2.14     31
         1.1.2.12  255.255.255.252         On-link          1.1.2.14    286
         1.1.2.14  255.255.255.255         On-link          1.1.2.14    286
         1.1.2.15  255.255.255.255         On-link          1.1.2.14    286
        10.10.1.0    255.255.255.0         1.1.2.13         1.1.2.14     31
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link      192.168.0.71    276
     192.168.0.71  255.255.255.255         On-link      192.168.0.71    276
    192.168.0.255  255.255.255.255         On-link      192.168.0.71    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.0.71    276
        224.0.0.0        240.0.0.0         On-link          1.1.2.14    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.0.71    276
  255.255.255.255  255.255.255.255         On-link          1.1.2.14    286
===========================================================================

192.168.0.71 это то-же что и 192,168,100,х то есть просто между ними еще и роутер обычный, но не суть)
Интерфейсы на сервере:

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether f4:6d:04:5f:d7:fe
        inet 192.168.100.75 netmask 0xffffff00 broadcast 192.168.100.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:e0:52:d0:41:9f
        inet 10.10.1.5 netmask 0xffffff00 broadcast 10.10.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet 1.1.2.1 --> 1.1.2.2 netmask 0xffffffff
        Opened by PID 26138

Здесь 192,168,100,75 смотрит типа в мир то етсь на комп с которого проверяю, 10,10,1,5 смотрит в локалку которую надо видеть.

Маршруты на сервере:

Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            62.122.211.65      UGS        12   606567    re0
1.1.2.0/24         1.1.2.2            UGS         0        5   tun0
1.1.2.1            link#5             UHS         0        2    lo0
1.1.2.2            link#5             UH          0    14671   tun0
10.10.1.0/24       link#2             U           0   157900    rl0
10.10.1.5          link#2             UHS         0        3    lo0
192.168.100.1/24   link#1             U           1     6261    re0
192.168.100.75      link#1             UHS         0        3    lo0
127.0.0.1          link#4             UH          0     1872    lo0

В чем проблема не могу понять… Заранее спасибо за помощь)

kurych	# 10 лет, 9 месяцев назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	А какой адрес конкретно за сервером пытались пинговать? Может тот хост, который пингуете, просто не знает, куда обратно посылать ответ? Не знает маршрута к 1.1.2.0/24. Посмотрите с помощью tcpdump, что куда уходит.

Natrio	# 10 лет, 9 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Чтобы пакеты от клиента уходили куда-то дальше шлюза, нужно чтобы на шлюзе был разрешен форвардинг, то есть передача ЧУЖИХ пакетов из одного сетевого интерфейса в другой. Кроме того, если шлюз соединяет локальную сеть с интернетом, или с другой локальной сетью, хосты которой не знают или не должны знать путей в первой сети, пакеты на шлюзе должны проходить трансляцию исходящего IP-адреса (SNAT или маскарадинг).

Natrio

# 10 лет, 9 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Чтобы пакеты от клиента уходили куда-то дальше шлюза, нужно чтобы на шлюзе был разрешен форвардинг, то есть передача ЧУЖИХ пакетов из одного сетевого интерфейса в другой.

Кроме того, если шлюз соединяет локальную сеть с интернетом, или с другой локальной сетью, хосты которой не знают или не должны знать путей в первой сети, пакеты на шлюзе должны проходить трансляцию исходящего IP-адреса (SNAT или маскарадинг).

maxys146	# 10 лет, 9 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Проблема решена. Сделал сервер шлюзом(то есть ип сервака стал таким-же какой указан на клиентах внутренней сетки) и все заработало… Правильно наверное сказано было что пакет до клиента доходит а возвращался на шлюз который был до этого и тот соответственно не знал что с ним делать. Всем спасибо.

maxys146

# 10 лет, 9 месяцев назад

Темы: 43

Сообщения: 754

Участник с: 08 апреля 2011

Проблема решена. Сделал сервер шлюзом(то есть ип сервака стал таким-же какой указан на клиентах внутренней сетки) и все заработало… Правильно наверное сказано было что пакет до клиента доходит а возвращался на шлюз который был до этого и тот соответственно не знал что с ним делать.
Всем спасибо.

sleepycat	# 10 лет, 8 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	значит у вас скорей всего клиент не знал куда слать ответные пакеты. Вам верно указали причину выше. с почином, через это рошел каждый кто настраивал туннели :-) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 8 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

значит у вас скорей всего клиент не знал куда слать ответные пакеты. Вам верно указали причину выше. с почином, через это рошел каждый кто настраивал туннели :-)

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

maxys146	# 10 лет, 8 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	sleepycat значит у вас скорей всего клиент не знал куда слать ответные пакеты. Вам верно указали причину выше. с почином, через это рошел каждый кто настраивал туннели :-) Ага, верю)) Так и было на самом деле, клиент слал пакеты на роутер, а не на шлюз, а роутер не знал что с ними делать)

maxys146

# 10 лет, 8 месяцев назад

Темы: 43

Сообщения: 754

Участник с: 08 апреля 2011

sleepycat
значит у вас скорей всего клиент не знал куда слать ответные пакеты. Вам верно указали причину выше. с почином, через это рошел каждый кто настраивал туннели :-)

Ага, верю)) Так и было на самом деле, клиент слал пакеты на роутер, а не на шлюз, а роутер не знал что с ними делать)