Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

openvpn клиент не видит сеть за сервером

87K
21 мая 2014 года
yakdon
4 / / 21.05.2014
Доброго времени суток всем.

есть Openvpn сервер (debian) и клиент(windows)
vpn поднимается, всё работает замечательно, но есть одна проблема, клиенты не видит сеть за сервером, а самого сервера пингую оба сетку.
У меня очень плохо с iptables и роутингом, во многих форумах говорится о том, что достаточно прописать всего один маршрут и всё заработает. Но какой маршрут точно никто пример не приводит.

помогите пожалуйста решить проблему.
Заранее благодарю!!!

конфиг сервера more /etc/openvpn/server.conf

mode server
daemon vpn-server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-server
tls-auth ta.key 0
cipher DES-EDE3-CBC
server 192.168.50.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
client-to-client
client-config-dir ccd
route 192.168.50.0 255.255.255.0
#
push "redirect-gateway"
#
push "dhcp-option DNS 192.168.50.1"
#
#push "route 192.168.2.0 255.255.255.0"
push "route 10.2.36.0 255.255.254.0"
#
#client-config-dir ccd
#route 192.168.1.0 255.255.254.0

конфиг клиента

client
remote 10.0.0.103
port 1194
dev tun
proto udp
resolv-retry infinite
nobind
pull
user nobody
group nogroup
persist-key
persist-tun
ca C:\keys\ca.crt
cert C:\keys\windows.crt
key C:\keys\windows.key
tls-client
tls-auth C:\keys\ta.key 1
cipher DES-EDE3-CBC
comp-lzo
redirect-gateway def1

сетевые настройки сервера

eth0 - интернет, eth1 - локалка

auto eth0
iface eth0 inet static
address 10.0.0.103
netmask 255.255.255.0
gateway 10.0.0.1

auto eth1
iface eth1 inet static
address 10.2.37.188
netmask 255.255.254.0
#gateway 10.2.36.1

iptables: more /etc/iptables.rules
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

forwarding: more /etc/sysctl.conf
net.ipv4.ip_forward=1

route:
192.168.50.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.50.0 192.168.50.2 255.255.255.0 UG 0 0 0 tun0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.2.36.0 * 255.255.254.0 U 0 0 0 eth1
402
21 мая 2014 года
ToRNaDo
70 / / 27.01.2004
не хватает DNAT/MASQUERADE
примерно так
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
87K
21 мая 2014 года
yakdon
4 / / 21.05.2014
неа, не помогло(
1.8K
21 мая 2014 года
Kuzya
184 / / 19.03.2008
форвард пакетов включен?

sysctl net.ipv4.ip_forward
87K
21 мая 2014 года
yakdon
4 / / 21.05.2014
Цитата: Kuzya
форвард пакетов включен?

sysctl net.ipv4.ip_forward



forwarding: more /etc/sysctl.conf
net.ipv4.ip_forward=1

402
22 мая 2014 года
ToRNaDo
70 / / 27.01.2004
а если на всех остальных интерфейсах включить маскарадинг?

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
1.8K
22 мая 2014 года
Kuzya
184 / / 19.03.2008
вывод iptables --list -n
87K
02 июня 2014 года
yakdon
4 / / 21.05.2014
Цитата: Kuzya
вывод iptables --list -n



Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.50.0/24 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

88K
25 июня 2014 года
Minily Wiry
5 / / 25.06.2014
не хватает DNAT/MASQUERADE
примерно так
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
7
25 июня 2014 года
@pixo $oft
3.4K / / 20.09.2006
Minily Wiry, ну и зачем сообщение другого участника целиком копировать?
1.8K
25 июня 2014 года
Kuzya
184 / / 19.03.2008
Внимательно посмотрел конфиг openvpn и конфигурацию сетевого окружения:
1. В server.conf есть строка server 192.168.50.0 255.255.255.0, это говорит о том, что у вас по ВПН будет подыматься эта сетка и каждый подключаемый клиент бует получать адрес из неё, и в том же конфиге имеется строка "route 192.168.50.0 255.255.255.0" - зачем масло маслить, у клиента она и так поднимится?

2. По маршрутам route:
192.168.50.2 * 255.255.255.255 UH 0 0 0 tun0 - что, это? по умолчанию на сервере tun0 должен у Вас должен подняться 192.168.50.1 (он же и долженн стать дефолтовым шлюзом для клиентов, строка конфига - push "redirect-gateway")
192.168.50.0 192.168.50.2 255.255.255.0 UG 0 0 0 tun0 -это, что за маршрут? зачем маршрутизировать сеть которая и так поднята на tun0?
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 тут всё "ок" -диапазон хостов 10.0.0.1-10.0.0.254
10.2.36.0 * 255.255.254.0 U 0 0 0 eth1 тут тоже всё "ок" -диапазон хостов 10.2.36.1-10.2.37.254

и еще в маршрутах нет дефолтового шлюза, хотя он на eth0 в конфиге прописывается:
auto eth0
iface eth0 inet static
address 10.0.0.103
netmask 255.255.255.0
gateway 10.0.0.1 <<<-шлюз по умолчанию куда он у вас делся в маршрутах?

3. По основному вопросу, уточнение нужно, у клиента какой хост из какой сети не доступен?

и еще, в конфиге клиента эта строка - "redirect-gateway def1" лишняя

и еще-еще, можете вообще выключить iptables
 
Код:
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.50.0/24 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
с такими правилами
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог