OpenVPN для двух локальных сетей

0

1

Имеется локальная сеть 1, управляет ей Debian 7, с Squid, isc-dhcp-server, dnsmasq на борту. Адреса - 192.168.100.0/24 Вторая локальная сеть - в процессе тестирования. Клиент как на WinXP, так и на Debian 7. Пинги с клиентов на сервер проходят, пинг до внутренних ресурсов (192.168.100.1, 192.168.100.2, etc ) проходят, во внешнюю сеть - уже нет. Подозреваю дело в маршрутизации, но все-таки полную информацию предоставлю.

cat /etc/openvpn/server.conf
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.110.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 192.168.100.1"
push "dhcp-option WINS 192.168.100.1"
ifconfig-pool-persist ipp.txt
keepalive 20 120
comp-lzo
persist-key
persist-tun
client-to-client
status openvpn-status.log
verb 3

 cat /etc/rc.local

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.1:3128
iptables -A FORWARD -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
exit 0


 ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1e:58:39:e1:7b
          inet addr:192.168.100.1  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:58ff:fe39:e17b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:350348 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1090468 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:25299717 (24.1 MiB)  TX bytes:1322737654 (1.2 GiB)
          Interrupt:23 Base address:0xac00

eth1      Link encap:Ethernet  HWaddr 00:25:22:c7:3e:86
          inet addr:<Внешний ип> Bcast:<его броадкаст>  Mask:255.255.255.252
           Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:890703 errors:0 dropped:0 overruns:0 frame:0
          TX packets:368673 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:1318145647 (1.2 GiB)  TX bytes:28599595 (27.2 MiB)
          Interrupt:44

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2057 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2057 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:264801 (258.5 KiB)  TX bytes:264801 (258.5 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.110.1  P-t-P:192.168.110.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:310 errors:0 dropped:0 overruns:0 frame:0
          TX packets:111 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:22003 (21.4 KiB)  TX bytes:14392 (14.0 KiB)

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         <внешний ип>   0.0.0.0         UG    0      0        0 eth1
<внешний ип>   0.0.0.0         255.255.255.252 U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.110.0   192.168.110.2   255.255.255.0   UG    0      0        0 tun0
192.168.110.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Теперь с клиента OpenVPN

C:\Documents and Settings\Admin>ipconfig /all

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : microsof-3758d4
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : гибридный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

22 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : TAP-Windows Adapter V9
        Физический адрес. . . . . . . . . : 00-FF-2E-10-AA-8D
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.110.6
        Маска подсети . . . . . . . . . . : 255.255.255.252
        Основной шлюз . . . . . . . . . . : 192.168.110.5
        DHCP-сервер . . . . . . . . . . . : 192.168.110.5
        DNS-серверы . . . . . . . . . . . : 192.168.100.1
        Основной WINS-сервер  . . . . . . : 192.168.100.1
        Аренда получена . . . . . . . . . : 18 февраля 2014 г. 4:44:59
        Аренда истекает . . . . . . . . . : 18 февраля 2015 г. 4:44:59

Беспроводное сетевое соединение - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Realtek RTL8723AE Wireless LAN 802.1
1n PCI-E NIC
        Физический адрес. . . . . . . . . : 44-6D-57-89-19-C2
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.1.34
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . :
        DHCP-сервер . . . . . . . . . . . : 192.168.1.1
        DNS-серверы . . . . . . . . . . . : 192.168.1.1
        Аренда получена . . . . . . . . . : 18 февраля 2014 г. 3:18:45
        Аренда истекает . . . . . . . . . : 19 февраля 2014 г. 3:18:45

C:\Documents and Settings\Admin>ping 192.168.100.1

Обмен пакетами с 192.168.100.1 по 32 байт:

Ответ от 192.168.100.1: число байт=32 время=54мс TTL=64
Ответ от 192.168.100.1: число байт=32 время=52мс TTL=64
Ответ от 192.168.100.1: число байт=32 время=52мс TTL=64
Ответ от 192.168.100.1: число байт=32 время=55мс TTL=64

Статистика Ping для 192.168.100.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 52мсек, Максимальное = 55 мсек, Среднее = 53 мсек

C:\Documents and Settings\Admin>ping ya.ru

Обмен пакетами с ya.ru [213.180.193.3] по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 213.180.193.3:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

C:\Documents and Settings\Admin>ping 213.180.193.4

Обмен пакетами с 213.180.193.4 по 32 байт:
Превышен интервал ожидания для запроса.

Лог клиента

Tue Feb 18 04:44:48 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Tue Feb 18 04:44:48 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Feb 18 04:44:48 2014 Need hold release from management interface, waiting...
Tue Feb 18 04:44:48 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Feb 18 04:44:48 2014 MANAGEMENT: CMD 'state on'
Tue Feb 18 04:44:48 2014 MANAGEMENT: CMD 'log all on'
Tue Feb 18 04:44:48 2014 MANAGEMENT: CMD 'hold off'
Tue Feb 18 04:44:48 2014 MANAGEMENT: CMD 'hold release'
Tue Feb 18 04:44:48 2014 MANAGEMENT: CMD 'proxy NONE  '
Tue Feb 18 04:44:49 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 18 04:44:50 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Feb 18 04:44:50 2014 Attempting to establish TCP connection with [AF_INET]
Tue Feb 18 04:44:50 2014 MANAGEMENT: >STATE:1392684290,TCP_CONNECT,,,
Tue Feb 18 04:44:50 2014 TCP connection established with [AF_INET]
Tue Feb 18 04:44:50 2014 TCPv4_CLIENT link local: [undef]
Tue Feb 18 04:44:50 2014 TCPv4_CLIENT link remote: [AF_INET]
Tue Feb 18 04:44:50 2014 MANAGEMENT: >STATE:1392684290,WAIT,,,
Tue Feb 18 04:44:50 2014 MANAGEMENT: >STATE:1392684290,AUTH,,,
Tue Feb 18 04:44:50 2014 TLS: Initial packet from [AF_INET]<Vneshniy ip>:1194, sid=657b0fb2 0c61a07e
Tue Feb 18 04:44:51 2014 VERIFY OK: depth=1, C=RU, ST=UFO, L=Volgograd, O=Corp, CN=Corp CA, emailAddress=me@domain
Tue Feb 18 04:44:51 2014 VERIFY OK: depth=0, C=RU, ST=UFO, L=Volgograd, O=Corp, CN=server, emailAddress=me@domain
Tue Feb 18 04:44:53 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Feb 18 04:44:53 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Feb 18 04:44:53 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Feb 18 04:44:53 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Feb 18 04:44:53 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Feb 18 04:44:53 2014 [server] Peer Connection Initiated with [AF_INET]83.167.83.122:1194
Tue Feb 18 04:44:54 2014 MANAGEMENT: >STATE:1392684294,GET_CONFIG,,,
Tue Feb 18 04:44:55 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Feb 18 04:44:55 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.100.0 255.255.255.0,redirect-gateway,dhcp-option DNS 192.168.100.1,dhcp-option WINS 192.168.100.1,route 192.168.110.0 255.255.255.0,topology net30,ping 20,ping-restart 120,ifconfig 192.168.110.6 192.168.110.5'
Tue Feb 18 04:44:55 2014 OPTIONS IMPORT: timers and/or timeouts modified
Tue Feb 18 04:44:55 2014 OPTIONS IMPORT: --ifconfig/up options modified
Tue Feb 18 04:44:55 2014 OPTIONS IMPORT: route options modified
Tue Feb 18 04:44:55 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Feb 18 04:44:55 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Feb 18 04:44:55 2014 MANAGEMENT: >STATE:1392684295,ASSIGN_IP,,192.168.110.6,
Tue Feb 18 04:44:55 2014 open_tun, tt->ipv6=0
Tue Feb 18 04:44:55 2014 TAP-WIN32 device [22] opened: \\.\Global\{2E10AA8D-62E1-45C3-BC03-46E105471961}.tap
Tue Feb 18 04:44:55 2014 TAP-Windows Driver Version 9.9 
Tue Feb 18 04:44:55 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.110.6/255.255.255.252 on interface {2E10AA8D-62E1-45C3-BC03-46E105471961} [DHCP-serv: 192.168.110.5, lease-time: 31536000]
Tue Feb 18 04:44:55 2014 Successful ARP Flush on interface [65540] {2E10AA8D-62E1-45C3-BC03-46E105471961}
Tue Feb 18 04:45:00 2014 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Feb 18 04:45:00 2014 C:\WINDOWS\system32\route.exe ADD <Vneshniy ip> MASK 255.255.255.255 192.168.1.1
Tue Feb 18 04:45:00 2014 Route addition via IPAPI succeeded [adaptive]
Tue Feb 18 04:45:00 2014 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.1.1
Tue Feb 18 04:45:00 2014 Route deletion via IPAPI succeeded [adaptive]
Tue Feb 18 04:45:00 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.110.5
Tue Feb 18 04:45:00 2014 Route addition via IPAPI succeeded [adaptive]
Tue Feb 18 04:45:00 2014 MANAGEMENT: >STATE:1392684300,ADD_ROUTES,,,
Tue Feb 18 04:45:00 2014 C:\WINDOWS\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 192.168.110.5
Tue Feb 18 04:45:00 2014 Route addition via IPAPI succeeded [adaptive]
Tue Feb 18 04:45:00 2014 C:\WINDOWS\system32\route.exe ADD 192.168.110.0 MASK 255.255.255.0 192.168.110.5
Tue Feb 18 04:45:00 2014 Route addition via IPAPI succeeded [adaptive]
Tue Feb 18 04:45:00 2014 Initialization Sequence Completed
Tue Feb 18 04:45:00 2014 MANAGEMENT: >STATE:1392684300,CONNECTED,SUCCESS,192.168.110.6,<Vneshniy ip>

Client.opnv

client
dev tun
proto tcp
remote <IP-адрес сервера внешний> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca D:\\keys\\ca.crt
cert D:\\keys\\testuser.crt
key D:\\keys\\testuser.key
comp-lzo
verb 3
mute 20

Заранее спасибо всем откликнувшимся

Ссылка

←	Прошу совета по настройке шлюза и домена с обвесом (я новичок)

Зависает bind

→

2 раза перечитал и честно говоря не понял, причем тут 2 локальных сети.

Вижу форвард для 110й сети, но не вижу для неё nat'а, откуда бы тогда должен быть доступ 110й сети во внешнюю сеть?

~~zgen~~ ★★★★★
(18.02.14 06:24:13 MSK)

Ответ на: комментарий от zgen 18.02.14 06:24:13 MSK

следует добавить это?

iptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE

Aborigen1020 ★
(18.02.14 08:15:07 MSK) автор топика

Ответ на: комментарий от Aborigen1020 18.02.14 08:15:07 MSK

У тебя в цепочке FORWARD пропускается только с 192.168.110.0/24 на 192.168.100.0/24 и обратно. Пинг на яндекс может сдесь застревать, если полиси стоит REJECT. А вообще осваивай tcpdump.

В твоем случае командой

 tcpdump -ni eth0 icmp

вешаешь его на eth0 и начинаешь пинговать. Потом слушаешь tcpdump следующий интерфейс и так локализуешь проблемное место.

Yur4eg ★★
(18.02.14 10:13:09 MSK)

Ответ на: комментарий от Yur4eg 18.02.14 10:13:09 MSK

tcpdump -ni tun0 icmp

3 packets dropped by interface

В остальных все по нулям. причина в впн на клиенте, выходит? Сейчас с другого клиента слушаю, он на Debian.

Aborigen1020 ★
(18.02.14 11:52:14 MSK) автор топика

Ответ на: комментарий от Aborigen1020 18.02.14 11:52:14 MSK

iptables -nvL

~~zgen~~ ★★★★★
(18.02.14 11:58:37 MSK)

Ответ на: комментарий от zgen 18.02.14 11:58:37 MSK

Это с сервера OpenVPN

Chain INPUT (policy ACCEPT 3448K packets, 2847M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 869K packets, 518M bytes)
 pkts bytes target     prot opt in     out     source               destination 
    8   480 ACCEPT     all  --  *      *       192.168.110.0/24     192.168.100.0/24
   12   720 ACCEPT     all  --  *      *       192.168.100.0/24     192.168.110.0/24

Chain OUTPUT (policy ACCEPT 3874K packets, 2965M bytes)
 pkts bytes target     prot opt in     out     source               destination

Aborigen1020 ★
(18.02.14 12:08:01 MSK) автор топика

Ссылка

Ответ на: комментарий от Yur4eg 18.02.14 10:13:09 MSK

перезапустил сервисы, вот что дает на tun0 на сервере при начале пинга с клиента:

12:37:40.150123 IP 192.168.110.6 > 213.180.193.3: ICMP echo request, id 2673, seq 2, length 64
12:37:41.157253 IP 192.168.110.6 > 213.180.193.3: ICMP echo request, id 2673, seq 3, length 64
12:37:42.165241 IP 192.168.110.6 > 213.180.193.3: ICMP echo request, id 2673, seq 4, length 64
12:37:43.173215 IP 192.168.110.6 > 213.180.193.3: ICMP echo request, id 2673, seq 5, length 64

На клиенте

15 packets transmitted, 1 received, 93% packet loss

Aborigen1020 ★
(18.02.14 12:41:18 MSK) автор топика

Ответ на: комментарий от Aborigen1020 18.02.14 12:41:18 MSK

iptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE

Добавили?

~~zgen~~ ★★★★★
(18.02.14 12:46:25 MSK)

Ответ на: комментарий от zgen 18.02.14 12:46:25 MSK

Добавил, и появился echo reply. Спасибо за пинок. Осталось только достучаться в локалку, которая 192.168.100.0/24, ну, чтобы видно было по доменным именам, или расшареные папки. Так пинг туда-обратно идет. Что нибудь можете подсказать?

Aborigen1020 ★
(18.02.14 13:05:45 MSK) автор топика