Привет<br><br><div class="gmail_quote">29 ноября 2010 г. 19:34 пользователь Alexey Shabalin <span dir="ltr"><<a href="mailto:a.shabalin@gmail.com">a.shabalin@gmail.com</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
2010/11/29 YuriI Patlasov:<br>
<div class="im">> Всем привет.<br>
><br>
> Пытаюсь настроить openVPN соединение.<br>
> Версия openVPN 2.1.3 i586-alt-linux<br>
> Система на основе 5 Branch. На обоих серваках.<br>
> Оба выстыпают шлюзами по умолчанию для своих сетей.<br>
> С одной стороны настраеваю как сервер с другой как клиент. Клиентов будет<br>
> два - три.<br>
<br>
</div>настройки сетевых интерфейсов (можно с изменёнными адресами) в студию.<br>
покажи /etc/net/ifaces/*<br>
sysctl -a | grep forwarding<br></blockquote><div>/etc/net/iface/*</div><div> СЕРВЕР: Стандартно</div><div> default<br>eth0 - локальная сеть<br>eth1 - пара от провайдера<br> lo<br>ppp10 - интернет подымает pppoe<br>
unknown</div><div>КЛИЕНТ: Нюанс инет подымается через L2TP демоном xl2tpd </div><div>default </div><div>eth0 - локальная сеть </div><div>eth1 - пара от провайдер </div><div>lo </div><div>unknown<br></div><div>
<br>sysctl -a | grep forwarding</div><div>СЕРВЕР:</div><div>net.ipv4.conf.all.forwarding = 1<br>net.ipv4.conf.all.mc_forwarding = 0<br>net.ipv4.conf.default.forwarding = 1<br>net.ipv4.conf.default.mc_forwarding = 0<br>net.ipv4.conf.lo.forwarding = 1<br>
net.ipv4.conf.lo.mc_forwarding = 0<br>net.ipv4.conf.eth0.forwarding = 1<br>net.ipv4.conf.eth0.mc_forwarding = 0<br>net.ipv4.conf.eth1.forwarding = 1<br>net.ipv4.conf.eth1.mc_forwarding = 0<br>net.ipv4.conf.ppp10.forwarding = 1<br>
net.ipv4.conf.ppp10.mc_forwarding = 0<br>net.ipv4.conf.tun0.forwarding = 1<br>net.ipv4.conf.tun0.mc_forwarding = 0<br>КЛИЕНТ:<br>net.ipv4.conf.all.forwarding = 1<br>net.ipv4.conf.all.mc_forwarding = 0<br>net.ipv4.conf.default.forwarding = 1<br>
net.ipv4.conf.default.mc_forwarding = 0<br>net.ipv4.conf.lo.forwarding = 1<br>net.ipv4.conf.lo.mc_forwarding = 0<br>net.ipv4.conf.eth0.forwarding = 1<br>net.ipv4.conf.eth0.mc_forwarding = 0<br>net.ipv4.conf.eth1.forwarding = 1<br>
net.ipv4.conf.eth1.mc_forwarding = 0<br>net.ipv4.conf.ppp0.forwarding = 1<br>net.ipv4.conf.ppp0.mc_forwarding = 0<br>net.ipv4.conf.tun0.forwarding = 1<br>net.ipv4.conf.tun0.mc_forwarding = 0<br> </div><div><br></div><div>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im"><br>
> Все делал по маном. Прописал правила в iptables. НО<br>
</div>ну и покажи что напрописывал в iptables.<br></blockquote><div> В iptables для tun0 разрешил все что мог. Маскарадинг и SNAT не делал для него.</div><div>NAT поднять для провайдера.</div><div>еще поднять pptpd и исключительно для его диапазона IP включен МАСКАРАДИНГ.</div>
<div>И прозрачная прокся. </div><div>я думаю проблема не в нём. Все что надо разрешил.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im"><br>
> 1) Клиент пингует и видет сервер и сеть сервера.<br>
> 2) Сервер видет клиента, но сеть клиента НЕ ВИДЕТ.<br>
</div>А сервер знает о сети клиента? какой роутинг?<br>
netstat -rn<br></blockquote><div>СЕРВЕР:</div><div>10.10.11.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0<br>XXX.XXX.XXX.XXX 0.0.0.0 255.255.255.255 UH 0 0 0 ppp10<br>192.168.3.0 10.10.11.2 255.255.255.0 UG 0 0 0 tun0<br>
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0<br>10.10.11.0 10.10.11.2 255.255.255.0 UG 0 0 0 tun0<br>0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp10</div>
<div><br></div><div>КЛИЕНТ: </div><div><br>XXX.XXX.XXX.XXX 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0<br>10.10.11.1 10.10.11.5 255.255.255.255 UGH 0 0 0 tun0<br>
10.10.11.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0<br>XX.X.X.X 0.0.0.0 255.255.255.0 U 0 0 0 eth1 - провайдер доп маршруты прописывает<br>
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0<br>192.168.0.0 10.10.11.5 255.255.255.0 UG 0 0 0 tun0<br>XX.XX.XX.X XX.X.X.X 255.255.255.0 UG 0 0 0 eth1 - провайдер доп маршруты прописывает<br>
XXX.XX.XX.X XX.X.X.X 255.255.252.0 UG 0 0 0 eth1 - провайдер доп маршруты прописывает<br>XX.0.0.0 XX.X.XX.X 255.0.0.0 UG 0 0 0 eth1 - провайдер доп маршруты прописывает<br>
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0<br><br><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im"><br>
> 3) не как не получилось настроить ccd чтоб настройки для каждого клиента<br>
> свои перечитывал. (права, root окружение и т.д. не помогли)<br>
</div>по умолчанию альтовая сборка openvpn работает в chroot.<br>
Поэтому файлы ccd надо размещать в /var/lib/openvpn/etc/openvpn/ccd<br> Об этом написано в /usr/share/doc/openvpn-*/README.ALT.utf-8<br></blockquote><div>Читал этот ман размешал там, делал символьную ссылку, разные права пытался дать. Еще как то</div>
<div>После третьего подхода только решил написать. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">
<br>
> Уже перерыл инет и гуугль. tcpdump, ip, route тоже не помогли.<br>
> Подскжаите куда копать дальше???<br>
</div>Показывай конфиги - помогу.<br> Только что поднимал openvpn сервер на сизифе - всё работает.</blockquote><div>Конфиги</div><div>СЕРВЕР:</div><div>/etc/openvpn/server.conf</div><div><br></div><div>mode server<br>port 11094<br>
proto udp<br>dev tun<br>ca /etc/openvpn/keys/ca.crt<br>cert /etc/openvpn/keys/gw.crt<br>key /etc/openvpn/keys/gw.key # This file should be kept secret!<br>dh /etc/openvpn/keys/dh1024.pem<br>server 10.10.11.0 255.255.255.0<br>
ifconfig-pool-persist ipp.txt<br>;client-config-dir /etc/openvpn/ccd -- включал выключчал не чего не меняется<br>;client-to-client -- включал выключал не чего не меняется<br>keepalive 10 120<br>
comp-lzo<br>max-clients 10<br>user openvpn<br>group openvpn<br>persist-key<br>persist-tun<br>status openvpn-status.log<br>log openvpn.log<br>log-append openvpn.log<br>verb 3<br>route 192.168.3.0 255.255.255.0<br>
<br></div><div>Сертификаты все создал. Там и лежат</div><div><br></div><div>КЛИЕНТ:</div><div>/etc/openvpn/client.conf</div><div><br>client<br>dev tun<br>proto udp<br>remote XX.XX.XX.XX 11094 - IP адрес СЕРВЕРА<br>
resolv-retry infinite<br>nobind<br>user openvpn<br>group openvpn<br>persist-key<br>persist-tun<br>ca /etc/openvpn/keys/gw3/ca.crt<br>cert /etc/openvpn/keys/gw3/gw3.crt<br>key /etc/openvpn/keys/gw3/gw3.key<br>ns-cert-type server<br>
comp-lzo<br>verb 3<br>status status-gw3.log<br>log-append append-gw3.log<br>route 192.168.0.0 255.255.255.0<br></div><div><br></div><div><br></div><div>Сертификаты скопировал с сервера и положил по путям.</div>
<div><br></div><div>Что еще.<br></div><div>1) Пользователь такой есть на обоих машинах.</div><div>2) <a href="http://192.168.0.0/24">192.168.0.0/24</a> - сеть сервера </div><div> <a href="http://192.168.3.0/24">192.168.3.0/24</a> сеть клиента</div>
<div> <a href="http://10.10.11.0/24">10.10.11.0/24</a> - OPEN VPN сеть</div><div><br></div><div> 10.10.11.1 - ip адрес у сервера tun0</div><div> 10.10.11.2 - шлюз у сервера tun0</div><div><br></div><div>
10.10.11.6 - ip адрес у клиента tun0 при подключении</div><div>10.10.11.5 - шлюз у клиента tun0</div><div><br></div><div>с СЕРВЕРА:</div><div>ping 10.10.11.6 </div><div>PING 10.10.11.6 (10.10.11.6) 56(84) bytes of data.<br>
64 bytes from <a href="http://10.10.11.6">10.10.11.6</a>: icmp_seq=1 ttl=64 time=48.4 ms<br>64 bytes from <a href="http://10.10.11.6">10.10.11.6</a>: icmp_seq=2 ttl=64 time=22.8 ms<br><br></div><div>ping 192.169.3.100<br>
PING 192.169.3.100 (192.169.3.100) 56(84) bytes of data.<br>^C<br>--- 192.169.3.100 ping statistics ---<br>2 packets transmitted, 0 received, 100% packet loss, time 1007ms<br><br></div><div>с КЛИЕНТА:</div><div>ping 10.10.11.1<br>
PING 10.10.11.1 (10.10.11.1) 56(84) bytes of data.<br>64 bytes from <a href="http://10.10.11.1">10.10.11.1</a>: icmp_seq=1 ttl=64 time=23.2 ms<br>64 bytes from <a href="http://10.10.11.1">10.10.11.1</a>: icmp_seq=2 ttl=64 time=21.6 ms<br>
<br></div><div>ping 192.168.0.100<br>PING 192.168.0.100 (192.168.0.100) 56(84) bytes of data.<br>64 bytes from <a href="http://192.168.0.100">192.168.0.100</a>: icmp_seq=1 ttl=64 time=19.4 ms<br>64 bytes from <a href="http://192.168.0.100">192.168.0.100</a>: icmp_seq=2 ttl=64 time=21.6 ms<br>
</div><div><br></div><div>Надеюсь не слишком много букв.</div><div>Очень надеюсь на твою помощь.<font color="#888888"><br>
<br>
--<br>
Alexey Shabalin<br>
_______________________________________________<br>
Sysadmins mailing list<br>
<a href="mailto:Sysadmins@lists.altlinux.org">Sysadmins@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/sysadmins" target="_blank">https://lists.altlinux.org/mailman/listinfo/sysadmins</a><br>
</font></div></div><br>