LINUX.ORG.RU
ФорумAdmin

OpenVPN соединяется, но не ходит в Интернет


0

3

Конфиг сервера:

port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server-bridge 192.168.2.2 255.255.255.0 192.168.2.224 192.168.2.254
push "redirect-gateway def1 bypass-dhcp"
script-security 2
up /etc/openvpn/scripts/up.sh
learn-address /etc/openvpn/scripts/routes.sh
client-to-client
duplicate-cn
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
up.sh
/usr/sbin/sysctl -w net.link.ether.inet.proxyall=1
/usr/sbin/sysctl -w net.inet.ip.forwarding=1
/sbin/ifconfig bridge0 addm tap0

routes.sh Пока пустой

Конфиг клиента:

client
dev tap
proto udp
remote 65.105.72.140 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
Лог
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 65.105.72.140 MASK 255.255.255.255 192.168.1.1
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 Initialization Sequence Completed

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV>
        ether a8:13:11:1c:7b:a1
        inet 65.105.72.140 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 65.105.75.185 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 192.168.2.2 netmask 0xfffffc00 broadcast 192.168.3.255
        media: autoselect (100baseTX <full-duplex,flow-control>)
        status: active
-
-
-
-
-
-
bridge0: flags=8822<BROADCAST,SMART,SIMPLEX,MULTICAST> mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether ab:30:33:a1:09:00
        Configuration:
                id 0:0:0:0:0:0 priority 0 hellotime 0 fwddelay 0
                maxage 0 holdcnt 0 proto stp maxaddr 100 timeout 1200
                root id 0:0:0:0:0:0 priority 0 ifcost 0 port 0
                ipfilter disabled flags 0x2
        member: en2 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 6 priority 0 path cost 0
        member: tap0 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 10 priority 0 path cost 0
        media: <unknown type>
        status: inactive
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 0f:f6:79:93:9a:1c
        open (pid 26491)
netstat -ran
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            65.105.72.1        UGSc           48        0     en0
5.255.253.147      65.105.72.1        UGHWIi          1       44     en0
23.43.133.163      65.105.72.1        UGHWIi          1        6     en0
37.46.242.108      65.105.72.1        UGHW3I          0       17     en0   3368
37.58.100.91       65.105.72.1        UGHW3I          0        3     en0   3260
37.58.100.140      65.105.72.1        UGHW3I          0       14     en0   3401
37.58.100.148      65.105.72.1        UGHW3I          0        6     en0   3289
37.58.100.154      65.105.72.1        UGHW3I          0       15     en0   3460
61.174.51.219      65.105.72.1        UGHWIi          3       89     en0
66.249.65.107      65.105.72.1        UGHW3I          0       36     en0   3461
66.249.67.33       65.105.72.1        UGHW3I          0       42     en0   3550
66.249.67.46       65.105.72.1        UGHW3I          0       53     en0   3368
66.249.67.59       65.105.72.1        UGHW3I          0       66     en0   3582
66.249.67.107      65.105.72.1        UGHW3I          0       56     en0   3434
74.82.47.25        65.105.72.1        UGHW3I          0        1     en0   3499
94.250.234.118     65.105.72.1        UGHW3I          0        6     en0   3256
95.211.37.197      65.105.72.1        UGHW3I          0        7     en0   3289
101.226.166.196    65.105.72.1        UGHW3I          0       20     en0   3374
101.226.166.204    65.105.72.1        UGHW3I          0        4     en0   3260
101.226.166.205    65.105.72.1        UGHW3I          0       12     en0   3379
101.226.166.206    65.105.72.1        UGHW3I          0        7     en0   3312
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              8    10706     lo0
169.254            link#4             UCS             0        0     en0
180.76.5.71        65.105.72.1        UGHW3I          0       16     en0   3502
180.76.6.133       65.105.72.1        UGHW3I          0       16     en0   3325
182.118.20.224     65.105.72.1        UGHW3I          0       88     en0   3566
182.118.20.225     65.105.72.1        UGHW3I          0       70     en0   3558
182.118.20.227     65.105.72.1        UGHW3I          0       17     en0   3545
185.56.80.133      65.105.72.1        UGHW3I          0        7     en0   3423
185.56.80.137      65.105.72.1        UGHW3I          0       14     en0   3578
192.168.1.35       65.105.72.1        UGHW3I          0        1     en0   3502
192.227.245.117    65.105.72.1        UGHW3I          0        2     en0   3495
202.66.32.116      65.105.72.1        UGHW3I          0        1     en0   3377
208.115.113.85     65.105.72.1        UGHW3I          0        6     en0   3289
212.30.134.167     65.105.72.1        UGHW3I          0        9     en0   3582
212.30.134.174     65.105.72.1        UGHW3I          0        8     en0   3589
217.195.49.131     65.105.72.1        UGHWIi          1       46     en0
224.0.0.251        65.105.72.1        UGHmW3I         0        0     en0   3549

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента



Последнее исправление: filatovdm (всего исправлений: 3)
Ответ на: комментарий от filatovdm

Проверьте, что с VPN клиента пингуется VPN сервер по IP адресу из VPN сети, а с VPN сервера пингуется VPN клиент по IP адресу из VPN сети.

На клиенте шлюзом выставьте IP адрес VPN сервера из VPN сети.

На VPN сервере в iptables создайте правило для NAT, например маскарадиинг (MASQUERADE), и правило для согласования MTU, включите продвижение пакетов ip_forwarding, готово.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Вот и первая проблема, с VPN клиента 192.168.2.2 не пингуется VPN сервер 192.168.2.0, как такое может быть, если он соедняется с ним?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

маскарад + ip_forward, больше ничего не нужно.
Как это включить, тебе тоже разжевать?:) Ну банальщина же.

xtraeft ★★☆☆
()
Ответ на: комментарий от filatovdm

Вот и первая проблема, с VPN клиента 192.168.2.2 не пингуется VPN сервер 192.168.2.0, как такое может быть, если он соедняется с ним?

Потому что у впн сервера ип не 192.168.2.0, хехе :) Выкинь свой бридж и тап, для начала, если не можешь простейшую конфигурацию настроить.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Боюсь что понадобятся броадкасты, поэтому лучше tap! Но сейчас хоть с чем бы работал, ну а с tun то чем легче?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Но сейчас хоть с чем бы работал, ну а с tun то чем легче?

Ну так подними банальную конфигурацию на tun + маскарад клиентам (одно правило в iptables), а потом усложняй. Если нет опыта, наверное стоит начинать с простейших вещей?

xtraeft ★★☆☆
()
Ответ на: комментарий от filatovdm

Всё там легко настраивается, нужно только не бездумно копировать конфиги, а документацию почитать.

Нет я понимаю, что «обычные» люди никогда документацию не читают, делают всё сразу в лоб, а потом по своему обыкновению кричат, что всё сложно и не настраивается.

Уберите мост и прочие левые интерфейсы, оставьте только физические и tun или tap, посмотрите, что в iptables.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Установил соединение простейшим способом, без всяких ключей! Клиент с сервера не пингуется и обратно тоже, тоесть не видит, у net.inet.ip.forwarding=1 куда дальше копать?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Openvpn создан, для людей. А не для обезьян. Переведите и поймите как минимум конфиг из /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
Там есть базис, которого хватит для работы. Причем очень хорошо объясненный. А потом, как сказал xtraeft маскарад + ip_forward, больше ничего не нужно.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Спасибо! С OpenVPN разобрался, хоть я и не технический специалист! Не могу правильно составить команду макарад

ipfw add divert natd ip from 10.8.0.0/24 to 65.105.72.140 out via eth0

вроде так?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Если у тебя FreeBSD, то идёшь в google и вводишь запрос на предмет настройки NAT в FreeBSD (ipfw), ну или иди на форум, посвящённый FreeBSD, а не на Linux.org.ru.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87
ipfw nat 1 config if eth0
ipfw add nat 1 all from 10.8.0.0/24 to any out via eth0
ipfw add nat 1 all from any to any in via eth0

Да, только там кажется dc0, короче разберется.

anonymous_sama ★★★★★
()
Ответ на: комментарий от sT331h0rs3

Ерунду не говори, вин клиенты тут всегда обсуждали.

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Пишет:

ipfw: bad command 'nat', я так понимаю каких то компонентов в системе не хватает, хотя на команду ipfw list реагирует

Да, BSD система, OS X Mavericks

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Да, BSD система, OS X Mavericks

OS X - не bsd. Ты в OS X openvpn сервер что ли настраиваешь?

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Есть, смотри стартовый пост, он сразу указал. Если он поднимает openvpn сервер на макоси, то наверное где то с фаерволом наломал дров.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Да, в OS X Mavericks пытаюсь настроить OpenVPN сервер.

Сейчас конфиг выглядит так:

dev tun
port 1194
ifconfig 10.8.0.1 10.8.0.2

Клиент:

remote 65.105.72.140 1194
dev tun
ifconfig 10.8.0.2 10.8.0.1

Именно с Tunnelblick и делал, точнее использую сервер OpenVPN из его содержания. Также пришлось ставить отдельно easy-rsa отдельным пакетом, хотя говорят что в последнюю beta от Tunnelblick он входит, но у меня не запустился.

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

И все-таки объясни, у тебя сейчас интернет на клиенте работает, но ты до клиента с сервера не можешь достучаться? Или вообще ничего не работает, только туннель поднимается, и вообще ничего не пингуется?
Просто мы тут не Ванги.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Только туннель поднимается и вообще ничего не пингуется ни с какой стороны!

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Именно с Tunnelblick и делал, точнее использую сервер OpenVPN из его содержания.

Openvpn в homebrew есть. Почему то уверен, что если я сейчас попробую его поставить - он будет работать.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

А зачем мне ставить этот менеджер пакетов вроде macports, если OpenVPN у меня установлен и туннель соединяется?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Копай в сторону firewall'а, возможно у тебя стоит какой-то левый firewall, или какой-то больно умный антивирус. 'ipfw list' покажет лист с правилами.
Кстати у Tunnelblick написано:

DO NOT use on OS X 10.9 or 10.10 («Mavericks» or «Yosemite») — use the latest Beta Release

Надеюсь что у тебя Beta.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Уже лучше! Сейчас с клиента (10.8.0.2) сервер (10.8.0.1) пингуется, а вот с сервера клиент (10.8.0.2) и сам сервер (10.8.0.1) пинг не проходит! В фаерволе 'ipfw list' всего 3 правила, ничего не блокируется, антивирусник не установлен, OS X Mavericks же! Как теперь сделать так чтобы сервер видел клиента?

Да, конечно Beta

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Вообще вот:
https://www.freebsd.org/cgi/man.cgi?natd
Но:
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPag...
И тут: This utility is DEPRECATED. Please use pfctl(8) instead
https://discussions.apple.com/message/23711942#23711942
Читай со step3, короче. Вот такая вот дружественная это ваша Mac OS X. Хотя конечно, это просто особенности отдельного огорода, начиная судя по всему как раз с Mavericks

Previous OpenVPN server configurations on OS X Server rely upon using the now deprecated natd and ipfw to route VPN traffic, and this solution no longer works.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Вы правы насчет Mavericks, всю кухню внутри они перелопатили как раз с этой версии, в том то и проблемы что мануалы с OS X Moutan Lion/Lion или просто FreeBSD категорически не подходят!

Сделал как написано в инструкции, без результатно, пингует только с клиента сервер, сам сервер никого не видит! При выключенном фаерволе, такая же история

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Все, теперь пингуется с обоих сторон!!!!! Надо было выключить брандмаузер в Windows 7...

Как теперь сделать чтобы клиент ходил в Интернет через сервер (под его IP адресом естественно)?

Конфиги простейшие так и остались

Сервер:

dev tun
port 1194
ifconfig 10.8.0.1 10.8.0.2

Клиент:

remote 65.105.72.140 1194
dev tun
ifconfig 10.8.0.2 10.8.0.1

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Надо было выключить брандмаузер в Windows 7...

Какая плохая макось.

Как теперь сделать чтобы клиент ходил в Интернет через сервер (под его IP адресом естественно)?

Тут же пробегала ссылка, там описана настройка ната.
https://discussions.apple.com/message/23711942

xtraeft ★★☆☆
()

В настройках сервера обязательно впихивать default gateway. ЕМНИП оно и есть:

push "redirect-gateway def1 bypass-dhcp"
В NETFilter (утилита iptables) впихнуть маскарад с vpn интерфейса во внешний мир. Как делать написано на каждом углу в гугле.

erfea ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.