[Sysadmins] OPenVPN Сервер не видет сеть клиентов
YuriI Patlasov
y.patlasov на gmail.com
Пн Ноя 29 22:25:17 UTC 2010
Привет
29 ноября 2010 г. 19:34 пользователь Alexey Shabalin
<a.shabalin на gmail.com>написал:
> 2010/11/29 YuriI Patlasov:
> > Всем привет.
> >
> > Пытаюсь настроить openVPN соединение.
> > Версия openVPN 2.1.3 i586-alt-linux
> > Система на основе 5 Branch. На обоих серваках.
> > Оба выстыпают шлюзами по умолчанию для своих сетей.
> > С одной стороны настраеваю как сервер с другой как клиент. Клиентов будет
> > два - три.
>
> настройки сетевых интерфейсов (можно с изменёнными адресами) в студию.
> покажи /etc/net/ifaces/*
> sysctl -a | grep forwarding
>
/etc/net/iface/*
СЕРВЕР: Стандартно
default
eth0 - локальная сеть
eth1 - пара от провайдера
lo
ppp10 - интернет подымает pppoe
unknown
КЛИЕНТ: Нюанс инет подымается через L2TP демоном xl2tpd
default
eth0 - локальная сеть
eth1 - пара от провайдер
lo
unknown
sysctl -a | grep forwarding
СЕРВЕР:
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.ppp10.forwarding = 1
net.ipv4.conf.ppp10.mc_forwarding = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.mc_forwarding = 0
КЛИЕНТ:
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.ppp0.forwarding = 1
net.ipv4.conf.ppp0.mc_forwarding = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.mc_forwarding = 0
>
> > Все делал по маном. Прописал правила в iptables. НО
> ну и покажи что напрописывал в iptables.
>
В iptables для tun0 разрешил все что мог. Маскарадинг и SNAT не делал для
него.
NAT поднять для провайдера.
еще поднять pptpd и исключительно для его диапазона IP включен МАСКАРАДИНГ.
И прозрачная прокся.
я думаю проблема не в нём. Все что надо разрешил.
>
> > 1) Клиент пингует и видет сервер и сеть сервера.
> > 2) Сервер видет клиента, но сеть клиента НЕ ВИДЕТ.
> А сервер знает о сети клиента? какой роутинг?
> netstat -rn
>
СЕРВЕР:
10.10.11.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
XXX.XXX.XXX.XXX 0.0.0.0 255.255.255.255 UH 0 0 0 ppp10
192.168.3.0 10.10.11.2 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.10.11.0 10.10.11.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp10
КЛИЕНТ:
XXX.XXX.XXX.XXX 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.10.11.1 10.10.11.5 255.255.255.255 UGH 0 0 0 tun0
10.10.11.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
XX.X.X.X 0.0.0.0 255.255.255.0 U 0 0 0 eth1 -
провайдер доп маршруты прописывает
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 10.10.11.5 255.255.255.0 UG 0 0 0 tun0
XX.XX.XX.X XX.X.X.X 255.255.255.0 UG 0 0 0 eth1 -
провайдер доп маршруты прописывает
XXX.XX.XX.X XX.X.X.X 255.255.252.0 UG 0 0 0 eth1 -
провайдер доп маршруты прописывает
XX.0.0.0 XX.X.XX.X 255.0.0.0 UG 0 0 0 eth1 -
провайдер доп маршруты прописывает
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
>
> > 3) не как не получилось настроить ccd чтоб настройки для каждого клиента
> > свои перечитывал. (права, root окружение и т.д. не помогли)
> по умолчанию альтовая сборка openvpn работает в chroot.
> Поэтому файлы ccd надо размещать в /var/lib/openvpn/etc/openvpn/ccd
> Об этом написано в /usr/share/doc/openvpn-*/README.ALT.utf-8
>
Читал этот ман размешал там, делал символьную ссылку, разные права пытался
дать. Еще как то
После третьего подхода только решил написать.
>
> > Уже перерыл инет и гуугль. tcpdump, ip, route тоже не помогли.
> > Подскжаите куда копать дальше???
> Показывай конфиги - помогу.
> Только что поднимал openvpn сервер на сизифе - всё работает.
Конфиги
СЕРВЕР:
/etc/openvpn/server.conf
mode server
port 11094
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/gw.crt
key /etc/openvpn/keys/gw.key # This file should be kept secret!
dh /etc/openvpn/keys/dh1024.pem
server 10.10.11.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;client-config-dir /etc/openvpn/ccd -- включал выключчал не чего не
меняется
;client-to-client -- включал выключал не
чего не меняется
keepalive 10 120
comp-lzo
max-clients 10
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
log-append openvpn.log
verb 3
route 192.168.3.0 255.255.255.0
Сертификаты все создал. Там и лежат
КЛИЕНТ:
/etc/openvpn/client.conf
client
dev tun
proto udp
remote XX.XX.XX.XX 11094 - IP адрес СЕРВЕРА
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
ca /etc/openvpn/keys/gw3/ca.crt
cert /etc/openvpn/keys/gw3/gw3.crt
key /etc/openvpn/keys/gw3/gw3.key
ns-cert-type server
comp-lzo
verb 3
status status-gw3.log
log-append append-gw3.log
route 192.168.0.0 255.255.255.0
Сертификаты скопировал с сервера и положил по путям.
Что еще.
1) Пользователь такой есть на обоих машинах.
2) 192.168.0.0/24 - сеть сервера
192.168.3.0/24 сеть клиента
10.10.11.0/24 - OPEN VPN сеть
10.10.11.1 - ip адрес у сервера tun0
10.10.11.2 - шлюз у сервера tun0
10.10.11.6 - ip адрес у клиента tun0 при подключении
10.10.11.5 - шлюз у клиента tun0
с СЕРВЕРА:
ping 10.10.11.6
PING 10.10.11.6 (10.10.11.6) 56(84) bytes of data.
64 bytes from 10.10.11.6: icmp_seq=1 ttl=64 time=48.4 ms
64 bytes from 10.10.11.6: icmp_seq=2 ttl=64 time=22.8 ms
ping 192.169.3.100
PING 192.169.3.100 (192.169.3.100) 56(84) bytes of data.
^C
--- 192.169.3.100 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1007ms
с КЛИЕНТА:
ping 10.10.11.1
PING 10.10.11.1 (10.10.11.1) 56(84) bytes of data.
64 bytes from 10.10.11.1: icmp_seq=1 ttl=64 time=23.2 ms
64 bytes from 10.10.11.1: icmp_seq=2 ttl=64 time=21.6 ms
ping 192.168.0.100
PING 192.168.0.100 (192.168.0.100) 56(84) bytes of data.
64 bytes from 192.168.0.100: icmp_seq=1 ttl=64 time=19.4 ms
64 bytes from 192.168.0.100: icmp_seq=2 ttl=64 time=21.6 ms
Надеюсь не слишком много букв.
Очень надеюсь на твою помощь.
--
Alexey Shabalin
_______________________________________________
Sysadmins mailing list
Sysadmins на lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20101130/928624dd/attachment-0001.html>
Подробная информация о списке рассылки Sysadmins