openvpn клиент не видит сеть за сервером
Доброго времени суток всем.
есть Openvpn сервер (debian) и клиент(windows)
vpn поднимается, всё работает замечательно, но есть одна проблема, клиенты не видит сеть за сервером, а самого сервера пингую оба сетку.
У меня очень плохо с iptables и роутингом, во многих форумах говорится о том, что достаточно прописать всего один маршрут и всё заработает. Но какой маршрут точно никто пример не приводит.
помогите пожалуйста решить проблему.
Заранее благодарю!!!
конфиг сервера more /etc/openvpn/server.conf
mode server
daemon vpn-server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-server
tls-auth ta.key 0
cipher DES-EDE3-CBC
server 192.168.50.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
client-to-client
client-config-dir ccd
route 192.168.50.0 255.255.255.0
#
push "redirect-gateway"
#
push "dhcp-option DNS 192.168.50.1"
#
#push "route 192.168.2.0 255.255.255.0"
push "route 10.2.36.0 255.255.254.0"
#
#client-config-dir ccd
#route 192.168.1.0 255.255.254.0
конфиг клиента
client
remote 10.0.0.103
port 1194
dev tun
proto udp
resolv-retry infinite
nobind
pull
user nobody
group nogroup
persist-key
persist-tun
ca C:\keys\ca.crt
cert C:\keys\windows.crt
key C:\keys\windows.key
tls-client
tls-auth C:\keys\ta.key 1
cipher DES-EDE3-CBC
comp-lzo
redirect-gateway def1
сетевые настройки сервера
eth0 - интернет, eth1 - локалка
auto eth0
iface eth0 inet static
address 10.0.0.103
netmask 255.255.255.0
gateway 10.0.0.1
auto eth1
iface eth1 inet static
address 10.2.37.188
netmask 255.255.254.0
#gateway 10.2.36.1
iptables: more /etc/iptables.rules
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
forwarding: more /etc/sysctl.conf
net.ipv4.ip_forward=1
route:
192.168.50.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.50.0 192.168.50.2 255.255.255.0 UG 0 0 0 tun0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.2.36.0 * 255.255.254.0 U 0 0 0 eth1
есть Openvpn сервер (debian) и клиент(windows)
vpn поднимается, всё работает замечательно, но есть одна проблема, клиенты не видит сеть за сервером, а самого сервера пингую оба сетку.
У меня очень плохо с iptables и роутингом, во многих форумах говорится о том, что достаточно прописать всего один маршрут и всё заработает. Но какой маршрут точно никто пример не приводит.
помогите пожалуйста решить проблему.
Заранее благодарю!!!
конфиг сервера more /etc/openvpn/server.conf
mode server
daemon vpn-server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-server
tls-auth ta.key 0
cipher DES-EDE3-CBC
server 192.168.50.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
client-to-client
client-config-dir ccd
route 192.168.50.0 255.255.255.0
#
push "redirect-gateway"
#
push "dhcp-option DNS 192.168.50.1"
#
#push "route 192.168.2.0 255.255.255.0"
push "route 10.2.36.0 255.255.254.0"
#
#client-config-dir ccd
#route 192.168.1.0 255.255.254.0
конфиг клиента
client
remote 10.0.0.103
port 1194
dev tun
proto udp
resolv-retry infinite
nobind
pull
user nobody
group nogroup
persist-key
persist-tun
ca C:\keys\ca.crt
cert C:\keys\windows.crt
key C:\keys\windows.key
tls-client
tls-auth C:\keys\ta.key 1
cipher DES-EDE3-CBC
comp-lzo
redirect-gateway def1
сетевые настройки сервера
eth0 - интернет, eth1 - локалка
auto eth0
iface eth0 inet static
address 10.0.0.103
netmask 255.255.255.0
gateway 10.0.0.1
auto eth1
iface eth1 inet static
address 10.2.37.188
netmask 255.255.254.0
#gateway 10.2.36.1
iptables: more /etc/iptables.rules
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
forwarding: more /etc/sysctl.conf
net.ipv4.ip_forward=1
route:
192.168.50.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.50.0 192.168.50.2 255.255.255.0 UG 0 0 0 tun0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.2.36.0 * 255.255.254.0 U 0 0 0 eth1
не хватает DNAT/MASQUERADE
примерно так
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
примерно так
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
неа, не помогло(
Цитата: Kuzya
форвард пакетов включен?
sysctl net.ipv4.ip_forward
sysctl net.ipv4.ip_forward
forwarding: more /etc/sysctl.conf
net.ipv4.ip_forward=1
а если на всех остальных интерфейсах включить маскарадинг?
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
вывод iptables --list -n
Цитата: Kuzya
вывод iptables --list -n
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.50.0/24 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
не хватает DNAT/MASQUERADE
примерно так
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
примерно так
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Minily Wiry, ну и зачем сообщение другого участника целиком копировать?
Внимательно посмотрел конфиг openvpn и конфигурацию сетевого окружения:
1. В server.conf есть строка server 192.168.50.0 255.255.255.0, это говорит о том, что у вас по ВПН будет подыматься эта сетка и каждый подключаемый клиент бует получать адрес из неё, и в том же конфиге имеется строка "route 192.168.50.0 255.255.255.0" - зачем масло маслить, у клиента она и так поднимится?
2. По маршрутам route:
192.168.50.2 * 255.255.255.255 UH 0 0 0 tun0 - что, это? по умолчанию на сервере tun0 должен у Вас должен подняться 192.168.50.1 (он же и долженн стать дефолтовым шлюзом для клиентов, строка конфига - push "redirect-gateway")
192.168.50.0 192.168.50.2 255.255.255.0 UG 0 0 0 tun0 -это, что за маршрут? зачем маршрутизировать сеть которая и так поднята на tun0?
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 тут всё "ок" -диапазон хостов 10.0.0.1-10.0.0.254
10.2.36.0 * 255.255.254.0 U 0 0 0 eth1 тут тоже всё "ок" -диапазон хостов 10.2.36.1-10.2.37.254
и еще в маршрутах нет дефолтового шлюза, хотя он на eth0 в конфиге прописывается:
auto eth0
iface eth0 inet static
address 10.0.0.103
netmask 255.255.255.0
gateway 10.0.0.1 <<<-шлюз по умолчанию куда он у вас делся в маршрутах?
3. По основному вопросу, уточнение нужно, у клиента какой хост из какой сети не доступен?
и еще, в конфиге клиента эта строка - "redirect-gateway def1" лишняя
и еще-еще, можете вообще выключить iptables
с такими правилами
1. В server.conf есть строка server 192.168.50.0 255.255.255.0, это говорит о том, что у вас по ВПН будет подыматься эта сетка и каждый подключаемый клиент бует получать адрес из неё, и в том же конфиге имеется строка "route 192.168.50.0 255.255.255.0" - зачем масло маслить, у клиента она и так поднимится?
2. По маршрутам route:
192.168.50.2 * 255.255.255.255 UH 0 0 0 tun0 - что, это? по умолчанию на сервере tun0 должен у Вас должен подняться 192.168.50.1 (он же и долженн стать дефолтовым шлюзом для клиентов, строка конфига - push "redirect-gateway")
192.168.50.0 192.168.50.2 255.255.255.0 UG 0 0 0 tun0 -это, что за маршрут? зачем маршрутизировать сеть которая и так поднята на tun0?
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 тут всё "ок" -диапазон хостов 10.0.0.1-10.0.0.254
10.2.36.0 * 255.255.254.0 U 0 0 0 eth1 тут тоже всё "ок" -диапазон хостов 10.2.36.1-10.2.37.254
и еще в маршрутах нет дефолтового шлюза, хотя он на eth0 в конфиге прописывается:
auto eth0
iface eth0 inet static
address 10.0.0.103
netmask 255.255.255.0
gateway 10.0.0.1 <<<-шлюз по умолчанию куда он у вас делся в маршрутах?
3. По основному вопросу, уточнение нужно, у клиента какой хост из какой сети не доступен?
и еще, в конфиге клиента эта строка - "redirect-gateway def1" лишняя
и еще-еще, можете вообще выключить iptables
Код:
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.50.0/24 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.50.0/24 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable