Маршрутизация в сеть tun клиента

0

1

Клиент openvpn «client1»

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.100.1.76     0.0.0.0         UG    0      0        0 eth0
10.100.1.0      *               255.255.255.0   U     0      0        0 eth0
172.16.2.0      172.16.2.25     255.255.255.0   UG    0      0        0 tun0
172.16.2.25     *               255.255.255.255 UH    0      0        0 tun0
192.168.206.0   172.16.2.25     255.255.255.0   UG    0      0        0 tun0

# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:172.16.2.26  P-t-P:172.16.2.25  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:596089 errors:0 dropped:0 overruns:0 frame:0
          TX packets:580642 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:35830402 (34.1 MiB)  TX bytes:35781491 (34.1 MiB)

# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:0c:29:38:72:19  
          inet addr:10.100.1.155  Bcast:10.100.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe38:7219/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1572564 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1284036 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:271819430 (259.2 MiB)  TX bytes:181130183 (172.7 MiB)

Сервер openvpn

# ip route show 172.16.2.0/24
172.16.2.0/24 via 172.16.2.2 dev tun0

# route |grep tun0
172.16.2.0    172.16.2.2      255.255.255.0   UG    0      0        0 tun0
172.16.2.2    *               255.255.255.255 UH    0      0        0 tun0

# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:172.16.2.1  P-t-P:172.16.2.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:672952 errors:0 dropped:0 overruns:0 frame:0
          TX packets:703461 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:48170858 (45.9 MiB)  TX bytes:147165297 (140.3 MiB)

# netcat localhost 6001
>INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
status
OpenVPN CLIENT LIST
Updated,Sat Apr 19 18:46:34 2014
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
client1,93.158.134.3:1194,58418874,60094455,Thu Apr 17 15:04:54 2014
client2,173.194.32.183:1604,492638,773679,Sat Apr 19 17:04:16 2014
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
172.16.2.10,client2,173.194.32.183:1604,Sat Apr 19 18:46:34 2014
172.16.2.26,client1,93.158.134.3:1194,Sat Apr 19 18:46:34 2014
GLOBAL STATS
Max bcast/mcast queue length,1
END

# ping 172.16.2.26
PING 172.16.2.26 (172.16.2.26) 56(84) bytes of data.
64 bytes from 172.16.2.26: icmp_req=1 ttl=64 time=10.6 ms
64 bytes from 172.16.2.26: icmp_req=2 ttl=64 time=10.6 ms
...

Задача

# ping 10.100.1.155
PING 10.100.1.155 (10.100.1.155) 56(84) bytes of data.
^C

через соединение openvpn client1 построить маршрутизацию в сеть 10.100.1.0/24 client1.

Ссылка

←	kernel panic - not syncing: VFS: Unable to mount root fs on unknown - block(0,0)

mail и отправка почты через удаленный почтовый сервер

→

разумеется, что конфиги выкладывать не надо ни в коем случае!

~~zgen~~ ★★★★★
(19.04.14 19:55:10 MSK)

Ответ на: комментарий от zgen 19.04.14 19:55:10 MSK

Конфигурации выложу конечно. Я счел туннель работающим. Конфигурация в большей части относится к организации самой возможностей туннеля. У меня проблема с построением маршрута.

petav ★★★★★
(19.04.14 20:02:29 MSK) автор топика

Ответ на: комментарий от petav 19.04.14 20:02:29 MSK

Конфигурация в большей части относится к организации самой возможностей туннеля.

Мне бы хотелось увидеть конфигурацию в той части, в которой она относится к маршрутизации, в частности я ожидаю в конфигах НЕ увидеть волшебную строчку содержащую «iroute»

Что означало бы, что вы понятия не имеете о том, как работает openvpn ибо он, судя по вашему «ROUTING TABLE» понятия не имеет, что за клиентами скрываются сети.

Но конечно гораздо проще 3 сообщения написать, чем выложить конфиги или, о ужас, пойти и все-таки прочитать документацию.

Пример сети за клиентом: ROUTING TABLE
...
10.7.7.26,xxx.ru,w.x.y.z:45260,Sat Apr 19 01:14:33 2014
...
10.0.29.15C,xxx.ru,w.x.y.z:45260,Sat Apr 19 20:04:57 2014
...
10.0.29.0/24,xxx.ru,w.x.y.z:45260,Sat Apr 19 01:14:33 2014

~~zgen~~ ★★★★★
(19.04.14 20:09:17 MSK)
Последнее исправление: zgen 19.04.14 20:13:04 MSK (всего исправлений: 3)

ip ro get & tcpdump обычно помогают находят причину.

Правила в iptables позволяют принимать и передавать такие пакеты ?

vel ★★★★★
(19.04.14 20:30:23 MSK)

Ссылка

Ответ на: комментарий от zgen 19.04.14 20:09:17 MSK

Мне бы хотелось увидеть конфигурацию в той части, в которой она относится к маршрутизации,

server openvpn

# cat router.conf
mode server
daemon vpn-server
proto udp
port 1194
dev tun
keepalive 10 120
ca ca.crt
cert router.crt
key router.key
dh dh1024.pem
push route 192.168.206.0 255.255.255.0
server 172.16.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push dhcp-option DNS 176.16.2.75
log /var/log/openvpn_tun.log
comp-lzo
client-config-dir ccd
client-to-client
management 127.0.0.1 6001

client1.conf

# cat client1.conf
client
remote  181.19.70.3 194
proto udp
dev tun
ca ca.crt
cert client1.crt
key client1.key
dh dh1024.pem
log /var/log/openvpn_tun.log
comp-lzo
float

в частности я ожидаю в конфигах НЕ увидеть волшебную строчку содержащую «iroute»

Считаю это наводкой и

или, о ужас, пойти и все-таки прочитать документацию.

пойду почитаю с этого места.

судя по вашему «ROUTING TABLE» понятия не имеет, что за клиентами скрываются сети.

Соглашаюсь не имеет. Не стал описывать свои попытки постройки маршрутов. В сеть 10.100.1.0/24 надо проходить через 172.16.2.26 dev tun0, но создать такой маршрут не получается.

ip route add 10.100.1.0/24 via 172.16.2.26 dev tun0

petav ★★★★★
(19.04.14 21:17:13 MSK) автор топика

Ответ на: комментарий от petav 19.04.14 21:17:13 MSK

Конфигурировать надо не только роуты ОС, но и роуты виртуального коммутатора http://sysadmins.ru/files/ovpn_20_873.png

~~zgen~~ ★★★★★
(19.04.14 21:27:08 MSK)
Последнее исправление: zgen 19.04.14 21:27:45 MSK (всего исправлений: 1)

Ответ на: комментарий от zgen 19.04.14 21:27:08 MSK

Решение

Конфигурировать надо не только роуты ОС, но и роуты виртуального коммутатора http://sysadmins.ru/files/ovpn_20_873.png

На маршрутизаторе добавил маршрут

ip route add 10.100.1.0/24 dev tun0

На openvpn сервере используя client-config-dir

...
client-config-dir ccd
...

определил для клиента «client1»

root@router:/etc/openvpn# ls ccd |grep client1
client1

доп. параметры

root@router:/etc/openvpn# cat ccd/client1
iroute 10.100.1.0 255.255.255.0

Результат

root@router:/etc/openvpn# ping 10.100.1.155
PING 10.100.1.155 (10.100.1.155) 56(84) bytes of data.
64 bytes from 10.100.1.155: icmp_req=1 ttl=64 time=10.6 ms
^C

root@router:/etc/openvpn# ping 10.100.1.166
PING 10.100.1.166 (10.100.1.166) 56(84) bytes of data.
64 bytes from 10.100.1.166: icmp_req=1 ttl=63 time=11.6 ms
^C

~~zgen~~, спасибо, что обратили к документации. Премного благодарен, в который раз!