Centos 6.4 проблемы DNS + openvpn

Ответ на: комментарий от qunn 24.09.14 15:53:04 MSK

Придётся tap0 заменить на tun0 скорее всего. И я не вижу в логе получения инфы от сервера через PUSH.

dhameoelin ★★★★★
(24.09.14 16:08:23 MSK)

Ответ на: комментарий от dhameoelin 24.09.14 16:06:40 MSK

Клиент:


C:\Users\qwer>tracert 192.168.1.27

Трассировка маршрута к 192.168.1.27 с максимальным числом прыжков 30

  1    <1 мс     1 ms    <1 мс  ADSL [192.168.2.1]
  2    12 ms    13 ms    12 ms  95.58.144.8.megaline.telecom.kz [95.58.144.8]
  3    12 ms    11 ms    11 ms  ^C
C:\Users\qwer>route print
===========================================================================
Список интерфейсов
 16...00 ff 22 ca 85 c3 ......TAP-Windows Adapter V9
 11...00 25 22 cc 51 4d ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.100     20
       10.10.10.0    255.255.255.0         On-link        10.10.10.4    286
       10.10.10.4  255.255.255.255         On-link        10.10.10.4    286
     10.10.10.255  255.255.255.255         On-link        10.10.10.4    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0      255.255.0.0       10.10.10.1       10.10.10.4     31
      192.168.1.0    255.255.255.0       10.10.10.1    192.168.2.100     21
      192.168.2.0    255.255.255.0         On-link     192.168.2.100    276
    192.168.2.100  255.255.255.255         On-link     192.168.2.100    276
    192.168.2.255  255.255.255.255         On-link     192.168.2.100    276
  212.154.200.246  255.255.255.255      192.168.2.1    192.168.2.100     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.2.100    276
        224.0.0.0        240.0.0.0         On-link        10.10.10.4    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.2.100    276
  255.255.255.255  255.255.255.255         On-link        10.10.10.4    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0      255.255.0.0       10.10.10.1       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 14     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 14     58 2001::/32                On-link
 14    306 2001:0:5ef5:79fd:28a0:2e1:3f57:fd9b/128
                                    On-link
 16    286 fe80::/64                On-link
 14    306 fe80::/64                On-link
 14    306 fe80::28a0:2e1:3f57:fd9b/128
                                    On-link
 16    286 fe80::bd4b:461f:f3b3:7821/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    306 ff00::/8                 On-link
 16    286 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Users\qwer>

qunn
(24.09.14 16:17:29 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 16:17:29 MSK

Логи клиента:

Wed Sep 24 17:54:06 2014 OpenVPN 2.3.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Apr 14 2014
Enter Management Password:
Wed Sep 24 17:54:06 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Sep 24 17:54:06 2014 Need hold release from management interface, waiting...
Wed Sep 24 17:54:06 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Sep 24 17:54:06 2014 MANAGEMENT: CMD 'state on'
Wed Sep 24 17:54:06 2014 MANAGEMENT: CMD 'log all on'
Wed Sep 24 17:54:06 2014 MANAGEMENT: CMD 'hold off'
Wed Sep 24 17:54:06 2014 MANAGEMENT: CMD 'hold release'
Wed Sep 24 17:54:06 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Sep 24 17:54:06 2014 UDPv4 link local: [undef]
Wed Sep 24 17:54:06 2014 UDPv4 link remote: [AF_INET]212.154.200.246:1194
Wed Sep 24 17:54:06 2014 MANAGEMENT: >STATE:1411559646,WAIT,,,
Wed Sep 24 17:54:06 2014 MANAGEMENT: >STATE:1411559646,AUTH,,,
Wed Sep 24 17:54:06 2014 TLS: Initial packet from [AF_INET]212.154.200.246:1194, sid=dc0494e5 6dec8a5c
Wed Sep 24 17:54:06 2014 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Sep 24 17:54:06 2014 VERIFY OK: nsCertType=SERVER
Wed Sep 24 17:54:06 2014 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Sep 24 17:54:07 2014 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Wed Sep 24 17:54:07 2014 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1542'
Wed Sep 24 17:54:07 2014 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Wed Sep 24 17:54:07 2014 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Wed Sep 24 17:54:07 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 17:54:07 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 17:54:07 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 17:54:07 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 17:54:07 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Sep 24 17:54:07 2014 [server] Peer Connection Initiated with [AF_INET]212.154.200.246:1194
Wed Sep 24 17:54:08 2014 MANAGEMENT: >STATE:1411559648,GET_CONFIG,,,
Wed Sep 24 17:54:09 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Sep 24 17:54:09 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DOMAIN local.com,dhcp-option DNS 10.10.10.1,ping 10,ping-restart 60,ip-win32 dynamic,route-delay 3,route-method exe,comp-lzo yes,redirect-private,route-gateway 10.10.10.1,topology subnet,ping 10,ping-restart 30,ifconfig 10.10.10.4 255.255.255.0'
Wed Sep 24 17:54:09 2014 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 24 17:54:09 2014 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 24 17:54:09 2014 OPTIONS IMPORT: route options modified
Wed Sep 24 17:54:09 2014 OPTIONS IMPORT: route-related options modified
Wed Sep 24 17:54:09 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Sep 24 17:54:09 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Sep 24 17:54:09 2014 MANAGEMENT: >STATE:1411559649,ASSIGN_IP,,10.10.10.4,
Wed Sep 24 17:54:09 2014 open_tun, tt->ipv6=0
Wed Sep 24 17:54:09 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{22CA85C3-CA3F-46CF-94BE-5C7F999DA242}.tap
Wed Sep 24 17:54:09 2014 TAP-Windows Driver Version 9.9 
Wed Sep 24 17:54:09 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.4/255.255.255.0 on interface {22CA85C3-CA3F-46CF-94BE-5C7F999DA242} [DHCP-serv: 10.10.10.0, lease-time: 31536000]
Wed Sep 24 17:54:09 2014 Successful ARP Flush on interface [16] {22CA85C3-CA3F-46CF-94BE-5C7F999DA242}
Wed Sep 24 17:54:12 2014 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 24 17:54:12 2014 Route: Waiting for TUN/TAP interface to come up...

qunn
(24.09.14 16:19:00 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 16:19:00 MSK

продолжение:

Wed Sep 24 17:54:15 2014 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 24 17:54:15 2014 Route: Waiting for TUN/TAP interface to come up...
Wed Sep 24 17:54:16 2014 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 24 17:54:16 2014 Route: Waiting for TUN/TAP interface to come up...
Wed Sep 24 17:54:17 2014 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Wed Sep 24 17:54:17 2014 C:\Windows\system32\route.exe ADD 212.154.200.246 MASK 255.255.255.255 192.168.2.1
Wed Sep 24 17:54:17 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Sep 24 17:54:17 2014 MANAGEMENT: >STATE:1411559657,ADD_ROUTES,,,
Wed Sep 24 17:54:17 2014 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.10.10.1
Wed Sep 24 17:54:17 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Sep 24 17:54:17 2014 Initialization Sequence Completed
Wed Sep 24 17:54:17 2014 MANAGEMENT: >STATE:1411559657,CONNECTED,SUCCESS,10.10.10.4,212.154.200.246
Wed Sep 24 17:55:29 2014 [server] Inactivity timeout (--ping-restart), restarting
Wed Sep 24 17:55:29 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Sep 24 17:55:29 2014 MANAGEMENT: >STATE:1411559729,RECONNECTING,ping-restart,,
Wed Sep 24 17:55:29 2014 Restart pause, 2 second(s)
Wed Sep 24 17:55:31 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Sep 24 17:55:31 2014 UDPv4 link local: [undef]
Wed Sep 24 17:55:31 2014 UDPv4 link remote: [AF_INET]212.154.200.246:1194
Wed Sep 24 17:55:31 2014 MANAGEMENT: >STATE:1411559731,WAIT,,,
Wed Sep 24 17:55:31 2014 MANAGEMENT: >STATE:1411559731,AUTH,,,
Wed Sep 24 17:55:31 2014 TLS: Initial packet from [AF_INET]212.154.200.246:1194, sid=60cdb4ed a07a4c88
Wed Sep 24 17:55:32 2014 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Sep 24 17:55:32 2014 VERIFY OK: nsCertType=SERVER
Wed Sep 24 17:55:32 2014 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Sep 24 17:55:32 2014 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Wed Sep 24 17:55:32 2014 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1542'
Wed Sep 24 17:55:32 2014 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Wed Sep 24 17:55:32 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 17:55:32 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 17:55:32 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 17:55:32 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 17:55:32 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Sep 24 17:55:32 2014 [server] Peer Connection Initiated with [AF_INET]212.154.200.246:1194
Wed Sep 24 17:55:33 2014 MANAGEMENT: >STATE:1411559733,GET_CONFIG,,,
Wed Sep 24 17:55:34 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Sep 24 17:55:34 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DOMAIN local.com,dhcp-option DNS 10.10.10.1,ping 10,ping-restart 60,ip-win32 dynamic,route-delay 3,route-method exe,comp-lzo yes,redirect-private,route-gateway 10.10.10.1,topology subnet,ping 10,ping-restart 30,ifconfig 10.10.10.4 255.255.255.0'
Wed Sep 24 17:55:34 2014 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 24 17:55:34 2014 OPTIONS IMPORT: LZO parms modified
Wed Sep 24 17:55:34 2014 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 24 17:55:34 2014 OPTIONS IMPORT: route options modified
Wed Sep 24 17:55:34 2014 OPTIONS IMPORT: route-related options modified
Wed Sep 24 17:55:34 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Sep 24 17:55:34 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Wed Sep 24 17:55:34 2014 Initialization Sequence Completed
Wed Sep 24 17:55:34 2014 MANAGEMENT: >STATE:1411559734,CONNECTED,SUCCESS,10.10.10.4,212.154.200.246

qunn
(24.09.14 16:19:44 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 16:19:44 MSK

Трассировка с primaryserver к клиенту:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\Administrator>tracecert 10.10.10.4
'tracecert' is not recognized as an internal or external command,
operable program or batch file.

C:\Users\Administrator>tracert 10.10.10.4

Tracing route to 10.10.10.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  srv-proxy [192.168.1.99]
  2     *        *        *     Request timed out.
  3  ^C
C:\Users\Administrator>route print
===========================================================================
Interface List
 13...44 1e a1 4d 26 17 ......HP NC326i PCIe Dual Port Gigabit Server Adapter #2

 11...44 1e a1 4d 26 16 ......HP NC326i PCIe Dual Port Gigabit Server Adapter
 16...44 45 53 54 4f 53 ......Kerio Virtual Network Adapter
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.1.99     192.168.1.27     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.27    266
     192.168.1.27  255.255.255.255         On-link      192.168.1.27    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.27    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.27    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.27    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0     192.168.1.99  Default
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 14     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 14     58 2001::/32                On-link
 14    306 2001:0:9d38:6abd:4c1:282c:2b65:3709/128
                                    On-link
 11    266 fe80::/64                On-link
 14    306 fe80::/64                On-link
 14    306 fe80::4c1:282c:2b65:3709/128
                                    On-link
 11    266 fe80::6070:844f:ac37:2c52/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    306 ff00::/8                 On-link
 11    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

C:\Users\Administrator>

qunn
(24.09.14 16:20:18 MSK) автор топика

Ответ на: комментарий от dhameoelin 24.09.14 16:08:23 MSK

вот полные логи, ну я прописал в конфиге сервера tun теперь стал tun0 а на винде в конфиге клиента поставил тоже tun

qunn
(24.09.14 16:50:09 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 16:50:09 MSK

В логах чушь. Ты мне дай логи ПОСЛЕ того, как на обеих сторонах tun выставил. Сервис на венде перезапустил?!

Откуда опять на клиенте берётся 192.168.0.0??????????????????????? Ты запарил молча править. Я не телепат, чтобы угадывать, что ты поменял и что у тебя получилось.

Так, либо ты 100% делаешь, как тебе говорят, либо мучайся сам.

dhameoelin ★★★★★
(24.09.14 17:18:34 MSK)

Ссылка

Ответ на: комментарий от qunn 24.09.14 16:20:18 MSK

192.168.1.0    255.255.255.0       10.10.10.1    192.168.2.100     21

Зачем ты это делаешь на клиенте?

Короче. С тебя ТЗ. Чётко по пунктам, что надо сделать. Приеду после спортзала домой - дам реализацию.

Надоело играть в «угадай, что он теперь переконфигурил?».

dhameoelin ★★★★★
(24.09.14 17:23:12 MSK)
Последнее исправление: dhameoelin 24.09.14 17:23:48 MSK (всего исправлений: 2)

Ответ на: комментарий от dhameoelin 24.09.14 17:23:12 MSK

Да я делаю все что ты говоришь, потом присылаю результат. 192.168.1.0 скорей всего я делал route add на клиенте.....как то давно....когда мучался. Сейчас удалил, вот с клиента:


C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 16...00 ff 22 ca 85 c3 ......TAP-Windows Adapter V9
 11...00 25 22 cc 51 4d ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.100     20
       10.10.10.0    255.255.255.0         On-link        10.10.10.4    286
       10.10.10.4  255.255.255.255         On-link        10.10.10.4    286
     10.10.10.255  255.255.255.255         On-link        10.10.10.4    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0      255.255.0.0       10.10.10.1       10.10.10.4     31
      192.168.2.0    255.255.255.0         On-link     192.168.2.100    276
    192.168.2.100  255.255.255.255         On-link     192.168.2.100    276
    192.168.2.255  255.255.255.255         On-link     192.168.2.100    276
  212.154.200.246  255.255.255.255      192.168.2.1    192.168.2.100     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.2.100    276
        224.0.0.0        240.0.0.0         On-link        10.10.10.4    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.2.100    276
  255.255.255.255  255.255.255.255         On-link        10.10.10.4    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0      255.255.0.0       10.10.10.1       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 14     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 14     58 2001::/32                On-link
 14    306 2001:0:9d38:6ab8:ce1:2f0:3f57:fd9b/128
                                    On-link
 16    286 fe80::/64                On-link
 14    306 fe80::/64                On-link
 15    281 fe80::5efe:192.168.2.100/128
                                    On-link
 14    306 fe80::ce1:2f0:3f57:fd9b/128
                                    On-link
 16    286 fe80::bd4b:461f:f3b3:7821/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    306 ff00::/8                 On-link
 16    286 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Windows\system32>

qunn
(24.09.14 18:17:40 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 18:17:40 MSK

Ну это логи из OpenVPN GUI из «журнала» в нём, там все подключение отображается, вот на клиенте выставлен tun, и на сервере выставлен tun:

Wed Sep 24 20:18:59 2014 OpenVPN 2.3.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Apr 14 2014
Enter Management Password:
Wed Sep 24 20:18:59 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Sep 24 20:18:59 2014 Need hold release from management interface, waiting...
Wed Sep 24 20:19:00 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Sep 24 20:19:00 2014 MANAGEMENT: CMD 'state on'
Wed Sep 24 20:19:00 2014 MANAGEMENT: CMD 'log all on'
Wed Sep 24 20:19:00 2014 MANAGEMENT: CMD 'hold off'
Wed Sep 24 20:19:00 2014 MANAGEMENT: CMD 'hold release'
Wed Sep 24 20:19:00 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Sep 24 20:19:00 2014 UDPv4 link local: [undef]
Wed Sep 24 20:19:00 2014 UDPv4 link remote: [AF_INET]212.154.200.246:1194
Wed Sep 24 20:19:00 2014 MANAGEMENT: >STATE:1411568340,WAIT,,,
Wed Sep 24 20:19:00 2014 MANAGEMENT: >STATE:1411568340,AUTH,,,
Wed Sep 24 20:19:00 2014 TLS: Initial packet from [AF_INET]212.154.200.246:1194, sid=6d6933ad f4caa67d
Wed Sep 24 20:19:00 2014 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Sep 24 20:19:00 2014 VERIFY OK: nsCertType=SERVER
Wed Sep 24 20:19:00 2014 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Sep 24 20:19:00 2014 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1542'
Wed Sep 24 20:19:00 2014 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Wed Sep 24 20:19:00 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 20:19:00 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 20:19:00 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 20:19:00 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 20:19:00 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Sep 24 20:19:00 2014 [server] Peer Connection Initiated with [AF_INET]212.154.200.246:1194
Wed Sep 24 20:19:01 2014 MANAGEMENT: >STATE:1411568341,GET_CONFIG,,,
Wed Sep 24 20:19:03 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Sep 24 20:19:03 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DOMAIN local.com,dhcp-option DNS 10.10.10.1,ping 10,ping-restart 60,ip-win32 dynamic,route-delay 3,route-method exe,comp-lzo yes,redirect-private,route-gateway 10.10.10.1,topology subnet,ping 10,ping-restart 30,ifconfig 10.10.10.4 255.255.255.0'
Wed Sep 24 20:19:03 2014 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 24 20:19:03 2014 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 24 20:19:03 2014 OPTIONS IMPORT: route options modified
Wed Sep 24 20:19:03 2014 OPTIONS IMPORT: route-related options modified
Wed Sep 24 20:19:03 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Sep 24 20:19:03 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Sep 24 20:19:03 2014 MANAGEMENT: >STATE:1411568343,ASSIGN_IP,,10.10.10.4,
Wed Sep 24 20:19:03 2014 open_tun, tt->ipv6=0
Wed Sep 24 20:19:03 2014 TAP-WIN32 device [РџРѕРґРєР»СЋС‡РµРЅРёРµ РїРѕ Р»РѕРєР°Р»СЊРЅРѕР№ СЃРµС‚Рё 2] opened: \\.\Global\{22CA85C3-CA3F-46CF-94BE-5C7F999DA242}.tap
Wed Sep 24 20:19:03 2014 TAP-Windows Driver Version 9.9 
Wed Sep 24 20:19:03 2014 Set TAP-Windows TUN subnet mode network/local/netmask = 10.10.10.0/10.10.10.4/255.255.255.0 [SUCCEEDED]
Wed Sep 24 20:19:03 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.4/255.255.255.0 on interface {22CA85C3-CA3F-46CF-94BE-5C7F999DA242} [DHCP-serv: 10.10.10.254, lease-time: 31536000]
Wed Sep 24 20:19:03 2014 Successful ARP Flush on interface [16] {22CA85C3-CA3F-46CF-94BE-5C7F999DA242}
Wed Sep 24 20:19:06 2014 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 24 20:19:06 2014 Route: Waiting for TUN/TAP interface to come up...
Wed Sep 24 20:19:09 2014 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 24 20:19:09 2014 Route: Waiting for TUN/TAP interface to come up...
Wed Sep 24 20:19:10 2014 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Wed Sep 24 20:19:10 2014 C:\Windows\system32\route.exe ADD 212.154.200.246 MASK 255.255.255.255 192.168.2.1
Wed Sep 24 20:19:10 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Sep 24 20:19:10 2014 MANAGEMENT: >STATE:1411568350,ADD_ROUTES,,,
Wed Sep 24 20:19:10 2014 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.10.10.1
Wed Sep 24 20:19:10 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Sep 24 20:19:10 2014 Initialization Sequence Completed
Wed Sep 24 20:19:10 2014 MANAGEMENT: >STATE:1411568350,CONNECTED,SUCCESS,10.10.10.4,212.154.200.246
Wed Sep 24 20:19:22 2014 write to TUN/TAP  [State=AT?c Err=[c:\users\samuli\tap-windows-github\src\tapdrvr.c/2475] #O=5 Tx=[1255,0] Rx=[114,12] IrpQ=[1,1,16] PktQ=[0,8,64] InjQ=[0,1,16]]: Область данных, переданная по системному вызову, слишком мала.   (code=122)

Ошибка....Важна ли? Да и еще все равно почему 192.168.1.0 прописался после установления соединения.

qunn
(24.09.14 18:22:01 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 18:22:01 MSK

Я делаю все что ты говоришь, я понимаю что не телепаты здесь, я стараюсь дать все что нужно.

Ну вот моя цель, тз: Есть vpn-server, а так же является шлюзом в интернет. Есть клиенты и сеть за сервером. Шлюз имеет два интерфейса для модема и выход в сеть. Некоторые клиенты подключаются лишь для того что бы был доступ к primaryserver для получения из БД данных по своим портам, которые указаны в iptables, поэтому через ccd я делаю статические адреса для клиентов, а есть клиенты-админы, тоесть ip адреса которым не просто нужно попасть на сервер а которым нужно всё, достучаться и до других клиентов и до компов в сети за сервером используя программы удаленного администрирования. Проблема в том что клиенты-админы видят компы за сервером только по IP адресу, но не видят по имени, а из за того что в сети за сервером DHCP по статике цепляться не получается так как все адреса не помнишь и при смене IP вообще не подключишься. Сеть за сервером 192.168.1.0/24, сеть vpn 10.10.10.0/24, ip адрес выходящий на модем 192.168.100.245, сеть у клиентов 192.168.1.0/24 и у некоторых 192.168.2.0/24.

qunn
(24.09.14 18:33:18 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 18:33:18 MSK

Извиняюсь маршрут 192.168.0.0 удалил через route delete, перепутал с 192.168.1.0


C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 16...00 ff 22 ca 85 c3 ......TAP-Windows Adapter V9
 11...00 25 22 cc 51 4d ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.100     20
       10.10.10.0    255.255.255.0         On-link        10.10.10.4    286
       10.10.10.4  255.255.255.255         On-link        10.10.10.4    286
     10.10.10.255  255.255.255.255         On-link        10.10.10.4    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0       10.10.10.1       10.10.10.4     31
      192.168.2.0    255.255.255.0         On-link     192.168.2.100    276
    192.168.2.100  255.255.255.255         On-link     192.168.2.100    276
    192.168.2.255  255.255.255.255         On-link     192.168.2.100    276
  212.154.200.246  255.255.255.255      192.168.2.1    192.168.2.100     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.2.100    276
        224.0.0.0        240.0.0.0         On-link        10.10.10.4    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.2.100    276
  255.255.255.255  255.255.255.255         On-link        10.10.10.4    286
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 14     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 14     58 2001::/32                On-link
 14    306 2001:0:9d38:6abd:3033:15e2:3f57:fd9b/128
                                    On-link
 16    286 fe80::/64                On-link
 14    306 fe80::/64                On-link
 15    281 fe80::5efe:192.168.2.100/128
                                    On-link
 14    306 fe80::3033:15e2:3f57:fd9b/128
                                    On-link
 16    286 fe80::bd4b:461f:f3b3:7821/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    306 ff00::/8                 On-link
 16    286 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Windows\system32>

qunn
(24.09.14 18:42:32 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 18:42:32 MSK

Вот результат трасировки с клиента


C:\Windows\system32>ping 10.10.10.1

Обмен пакетами с 10.10.10.1 по с 32 байтами данных:
Ответ от 10.10.10.1: число байт=32 время=14мс TTL=64

Статистика Ping для 10.10.10.1:
    Пакетов: отправлено = 1, получено = 1, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 14мсек, Максимальное = 14 мсек, Среднее = 14 мсек
Control-C
^C
C:\Windows\system32>tracert 192.168.1.27

Трассировка маршрута к 192.168.1.27 с максимальным числом прыжков 30

  1    24 ms    23 ms    20 ms  SRV-PROXY [10.10.10.1]
  2     *     ^C
C:\Windows\system32>

qunn
(24.09.14 18:44:51 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 18:44:51 MSK

POSTROUTING для 10.10.10.0 убрал?

Я тут набегом, вернусь позже. ТЗ немного прояснило картину. Прорвемся.

dhameoelin ★★★★★
(24.09.14 19:27:34 MSK)

Ответ на: комментарий от dhameoelin 24.09.14 19:27:34 MSK

Убрал, уже давно.

qunn
(24.09.14 19:30:04 MSK) автор топика

Ссылка

Ответ на: комментарий от qunn 24.09.14 18:44:51 MSK

iptables -L -vn --line-numbers и iptables -t nat -L -vn --line-numbers на сервере

dhameoelin ★★★★★
(24.09.14 19:35:52 MSK)
Последнее исправление: dhameoelin 24.09.14 19:37:52 MSK (всего исправлений: 2)

Ответ на: комментарий от dhameoelin 24.09.14 19:35:52 MSK

[root@local ~]# iptables -L -vn --line-numbers
Chain INPUT (policy ACCEPT 376 packets, 21996 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     1578  154K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2    22539   10M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3       77 13819 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state NEW
4    10759 1145K ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state NEW
5      256 29800 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           state NEW

Chain FORWARD (policy DROP 214 packets, 9918 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     298K  145M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  eth0   tap0    0.0.0.0/0            0.0.0.0/0           state NEW
3        1    78 ACCEPT     all  --  tap0   eth0    0.0.0.0/0            0.0.0.0/0           state NEW
4       12   998 ACCEPT     all  --  eth1   tap0    0.0.0.0/0            0.0.0.0/0           state NEW
5       38  2876 ACCEPT     all  --  tap0   eth1    0.0.0.0/0            0.0.0.0/0           state NEW
6       54  2616 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           state NEW
7     3737  274K ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           state NEW

Chain OUTPUT (policy ACCEPT 27161 packets, 3163K bytes)
num   pkts bytes target     prot opt in     out     source               destination

[root@local ~]# iptables -t nat -L -vn --line-numbers
Chain PREROUTING (policy ACCEPT 15514 packets, 1352K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.100.245     tcp dpt:8888 to:192.168.1.78:8888
2        6   312 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.100.245     tcp dpt:65432 to:192.168.1.27:65432
3       48  2304 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.100.245     tcp dpt:9095 to:192.168.1.27:9095
4        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.100.245     tcp dpt:9091 to:192.168.1.33:9091

Chain POSTROUTING (policy ACCEPT 1099 packets, 142K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     6364  466K MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
2        0     0 SNAT       tcp  --  *      *       192.168.1.78         0.0.0.0/0           tcp spt:8888 to:192.168.100.245:8888
3        0     0 SNAT       tcp  --  *      *       192.168.1.27         0.0.0.0/0           tcp spt:65432 to:192.168.100.245:65432
4        0     0 SNAT       tcp  --  *      *       192.168.1.27         0.0.0.0/0           tcp spt:9095 to:192.168.100.245:9095
5        0     0 SNAT       tcp  --  *      *       192.168.1.33         0.0.0.0/0           tcp spt:9091 to:192.168.100.245:9091

Chain OUTPUT (policy ACCEPT 3736 packets, 345K bytes)
num   pkts bytes target     prot opt in     out     source               destination

qunn
(24.09.14 20:06:45 MSK) автор топика

Ответ на: комментарий от qunn 24.09.14 20:06:45 MSK

Хм, смотри внимательно на фаервол: tap0, а у тебя OpenVPN сейчас работает через tun0. Правь iptables.

dhameoelin ★★★★★
(24.09.14 20:14:03 MSK)

Ответ на: комментарий от dhameoelin 24.09.14 20:14:03 MSK

это другие клиенты, они находятся в другом городе(((, их отключить я могу только завтра, так как сегодня у меня доступа к ним нет. Сейчас я один клиент из дома подключаюсь по TUN

qunn
(24.09.14 20:38:36 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 24.09.14 20:14:03 MSK

Все дошло наконец, мой косяк с tap:

[root@srv-proxy admin]# iptables -L -vn --line-numbers
Chain INPUT (policy ACCEPT 3 packets, 120 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        2   197 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2      151 18252 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3       33 36991 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state NEW
4       27  2826 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state NEW
5        1    66 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           state NEW

Chain FORWARD (policy DROP 4 packets, 160 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      321 74930 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0           state NEW
3        0     0 ACCEPT     all  --  tun0   eth0    0.0.0.0/0            0.0.0.0/0           state NEW
4        0     0 ACCEPT     all  --  eth1   tun0    0.0.0.0/0            0.0.0.0/0           state NEW
5        1    52 ACCEPT     all  --  tun0   eth1    0.0.0.0/0            0.0.0.0/0           state NEW
6        0     0 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           state NEW
7       42 16812 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           state NEW

Chain OUTPUT (policy ACCEPT 155 packets, 14951 bytes)
num   pkts bytes target     prot opt in     out     source               destination
[root@srv-proxy admin]#

qunn
(25.09.14 08:34:22 MSK) автор топика

Ответ на: комментарий от qunn 25.09.14 08:34:22 MSK

А вот еще петрушка....

C:\Users\qwer>tracert 192.168.1.27

Трассировка маршрута к PRIMARYSERVER [192.168.1.27]
с максимальным числом прыжков 30:

  1    40 ms    49 ms    34 ms  SRV-PROXY [10.10.10.1]
  2    53 ms    67 ms    21 ms  PRIMARYSERVER [192.168.1.27]

Трассировка завершена.

C:\Users\qwer>ping primaryserver

Обмен пакетами с primaryserver.local.com [63.251.207.31] с 32 байтами данных:
Превышен интервал ожидания для запроса.

Статистика Ping для 63.251.207.31:
    Пакетов: отправлено = 1, получено = 0, потеряно = 1
    (100% потерь)
Control-C
^C
C:\Users\qwer>

Я так понимаю это уже радует)))

qunn
(25.09.14 08:36:53 MSK) автор топика

Ответ на: комментарий от qunn 25.09.14 08:36:53 MSK

Угу. Теперь прочистим чакры твоему dns и всё будет хорошо. В крайнем случае, выкинешь bind)

P.S.: nslookup primaryserver.local.com

dhameoelin ★★★★★
(25.09.14 11:30:59 MSK)
Последнее исправление: dhameoelin 25.09.14 11:31:43 MSK (всего исправлений: 1)

Ответ на: комментарий от dhameoelin 25.09.14 11:30:59 MSK

И nslookup primaryserver.local.com 10.10.10.1, и не забудь nslookup primaryserver и nslookup primaryserver 10.10.10.1.

Просто домен local.com реально существует. Так что твои проблемы теперь из-за этого. Маршрутизация уже должна работать корректно.

dhameoelin ★★★★★
(25.09.14 11:42:47 MSK)
Последнее исправление: dhameoelin 25.09.14 11:46:15 MSK (всего исправлений: 2)

Ответ на: комментарий от dhameoelin 25.09.14 11:42:47 MSK

Вот ведь незадача:


C:\Users\qwer>nslookup primaryserver.local.com
╤хЁтхЁ:  UnKnown
Address:  10.10.10.1

*** UnKnown не удалось найти primaryserver.local.com: Non-existent domain

C:\Users\qwer>nslookup primaryserver.local.com 10.10.10.1
╤хЁтхЁ:  UnKnown
Address:  10.10.10.1

*** UnKnown не удалось найти primaryserver.local.com: Non-existent domain

C:\Users\qwer>nslookup primaryserver
╤хЁтхЁ:  UnKnown
Address:  10.10.10.1

*** UnKnown не удалось найти primaryserver: Non-existent domain

C:\Users\qwer>nslookup primaryserver 10.10.10.1
╤хЁтхЁ:  UnKnown
Address:  10.10.10.1

*** UnKnown не удалось найти primaryserver: Non-existent domain

C:\Users\qwer>

qunn
(25.09.14 12:25:17 MSK) автор топика

Ответ на: комментарий от qunn 25.09.14 12:25:17 MSK

C:\Users\qwer>nslookup local.com
╤хЁтхЁ:  UnKnown
Address:  10.10.10.1

╚ь :     local.com
Address:  192.168.1.99


C:\Users\qwer>nslookup srv-proxy
╤хЁтхЁ:  UnKnown
Address:  10.10.10.1

╚ь :     srv-proxy.local.com
Address:  192.168.1.99


C:\Users\qwer>

qunn
(25.09.14 12:26:27 MSK) автор топика

Ответ на: комментарий от qunn 25.09.14 12:26:27 MSK

Да и еще трабла, с которой я боролся раньше и поэтому такой Iptables написал, теперь компы в сети 192.168.1.0/24, точнее клиенты, не видят свою сеть 192.168.1.0 и отправляют запросы 192.168.1.*** на vpn, это можно как то обойти? раньше было такое, переборол таким корявым iptables'ом, клиенты на подсети 192.168.2.0/24 все норм...

qunn
(25.09.14 12:53:07 MSK) автор топика

Ответ на: комментарий от qunn 25.09.14 12:53:07 MSK

ну эту траблу потом я думаю решить, сейчас другая задача добиться видимости по именам...

qunn
(25.09.14 13:31:14 MSK) автор топика

Ссылка

Ответ на: комментарий от qunn 25.09.14 12:53:07 MSK

Слушай, у тебя, видимо, карма плохая. У меня на домашнем роутере от ZyXEL нормально OpenVPN работает.

dhameoelin ★★★★★
(25.09.14 15:25:45 MSK)

Ответ на: комментарий от dhameoelin 25.09.14 15:25:45 MSK

ну это скорей всего из за того что route 192.168.1.0 255.255.255.0 10.10.10.1 пропушился, ибо теперь походу все запросы идут на VPN, ладно фигня, разберусь потом, щас бы с именами решить фигню эту

qunn
(25.09.14 15:37:20 MSK) автор топика

Ссылка

Ответ на: комментарий от qunn 25.09.14 12:53:07 MSK

теперь компы в сети 192.168.1.0/24, точнее клиенты

Не должно быть пересекающихся диапазонов сетей. Меняй

dhameoelin ★★★★★
(25.09.14 15:52:34 MSK)

Ответ на: комментарий от dhameoelin 25.09.14 15:52:34 MSK

ладно, пока этот вопрос оставим открытым, так как там не все так просто, там другие сис.админы сидят и другие правила))) решу этот вопрос, пока со своей стороны мне нужно решить...с моей стороны пока все ровно...за исключением имен...

qunn
(25.09.14 16:14:06 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 25.09.14 15:52:34 MSK

я пока проверяю из 192.168.2.0/24 сети пока что маршруты все нормально идут, мне это главное, а с 192.168.1.0/24 потом разберусь сам уже с остальным.

qunn
(25.09.14 16:15:23 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 25.09.14 15:52:34 MSK

Что дальше делать?

qunn
(25.09.14 20:22:12 MSK) автор топика

Ответ на: комментарий от qunn 25.09.14 20:22:12 MSK

Днс курочить, что же ещё... Но это надо на свежую голову.

dhameoelin ★★★★★
(26.09.14 23:32:23 MSK)

Ответ на: комментарий от dhameoelin 26.09.14 23:32:23 MSK

Отдыхал?))) Ну ладно, ты как придешь в себя отпишись если что, я реально незнаю что делать, с DNS вообще 0 понимания, читал маны, делал по манам, если в vpn и в остальном я еще хоть что то пониманию более или менее то в DNS вообще нет(

qunn
(27.09.14 09:57:36 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 26.09.14 23:32:23 MSK

Ну что протрезвел?)) Кстати еще проблема теперь такая, при подключении к vpn, не сразу пингуются адреса, только через секунд 30 или даже через минуту, а бывает и 2 минуты жду, пока начнет пинговаться, с чем это может быть связано?

qunn
(29.09.14 00:46:33 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 26.09.14 23:32:23 MSK

если что сменил зону local.com на local.server....жду указаний))

qunn
(29.09.14 01:33:59 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 26.09.14 23:32:23 MSK

заметил такие ошибки в логах:

Sep 29 03:57:27 srv-proxy named[31689]: no longer listening on 127.0.0.1#53
Sep 29 03:57:27 srv-proxy named[31689]: no longer listening on 192.168.1.99#53
Sep 29 03:57:27 srv-proxy named[31689]: no longer listening on 10.10.10.1#53
Sep 29 03:57:27 srv-proxy named[31689]: exiting
Sep 29 03:57:29 srv-proxy named[31785]: starting BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 -u named -4 -t /var/named/chroot
Sep 29 03:57:29 srv-proxy named[31785]: built with '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/u$
Sep 29 03:57:29 srv-proxy named[31785]: ----------------------------------------------------
Sep 29 03:57:29 srv-proxy named[31785]: BIND 9 is maintained by Internet Systems Consortium,
Sep 29 03:57:29 srv-proxy named[31785]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Sep 29 03:57:29 srv-proxy named[31785]: corporation.  Support and training for BIND 9 are
Sep 29 03:57:29 srv-proxy named[31785]: available at https://www.isc.org/support
Sep 29 03:57:29 srv-proxy named[31785]: ----------------------------------------------------
Sep 29 03:57:29 srv-proxy named[31785]: adjusted limit on open files from 4096 to 1048576
Sep 29 03:57:29 srv-proxy named[31785]: found 2 CPUs, using 2 worker threads
Sep 29 03:57:29 srv-proxy named[31785]: using up to 4096 sockets
Sep 29 03:57:29 srv-proxy named[31785]: loading configuration from '/etc/named.conf'
Sep 29 03:57:29 srv-proxy named[31785]: using default UDP/IPv4 port range: [1024, 65535]
Sep 29 03:57:29 srv-proxy named[31785]: using default UDP/IPv6 port range: [1024, 65535]
Sep 29 03:57:29 srv-proxy named[31785]: no IPv6 interfaces found
Sep 29 03:57:29 srv-proxy named[31785]: listening on IPv4 interface lo, 127.0.0.1#53
Sep 29 03:57:29 srv-proxy named[31785]: listening on IPv4 interface eth1, 192.168.1.99#53
Sep 29 03:57:29 srv-proxy named[31785]: listening on IPv4 interface tun0, 10.10.10.1#53
Sep 29 03:57:29 srv-proxy named[31785]: generating session key for dynamic DNS
Sep 29 03:57:29 srv-proxy named[31785]: sizing zone task pool based on 2 zones
Sep 29 03:57:29 srv-proxy named[31785]: set up managed keys zone for view _default, file 'dynamic/managed-keys.bind'
Sep 29 03:57:29 srv-proxy named[31785]: Warning: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 0.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 127.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 254.169.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: D.F.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 8.E.F.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 9.E.F.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: A.E.F.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: B.E.F.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Sep 29 03:57:29 srv-proxy named[31785]: command channel listening on 127.0.0.1#953
Sep 29 03:57:29 srv-proxy named[31785]: zone 1.168.192.in-addr.arpa/IN: loaded serial 1400667387
Sep 29 03:57:29 srv-proxy named[31785]: zone local.server/IN: loaded serial 1400667047
Sep 29 03:57:29 srv-proxy named[31785]: managed-keys-zone ./IN: loaded serial 0
Sep 29 03:57:29 srv-proxy named[31785]: running
Sep 29 03:58:51 srv-proxy named[31785]: client 192.168.1.99#50378: update 'local.server/IN' denied
Sep 29 03:58:51 srv-proxy dhcpd: Unable to add forward map from PRIMARYSERVER.local.server to 192.168.1.27: timed out
Sep 29 03:58:51 srv-proxy dhcpd: DHCPREQUEST for 192.168.1.27 from 44:1e:a1:4d:26:16 (PRIMARYSERVER) via eth1
Sep 29 03:58:51 srv-proxy dhcpd: DHCPACK on 192.168.1.27 to 44:1e:a1:4d:26:16 (PRIMARYSERVER) via eth1

Мне кажется это и есть моя проблема, но я непойму как исправить, гуглил, но увы ничего не понял, попытки исправить тщетны....

qunn
(29.09.14 02:01:08 MSK) автор топика

Ответ на: комментарий от qunn 29.09.14 02:01:08 MSK

Проблема решена. Проблем было несколько: мешал SELINUX, я дурак перепутал команду chown с chmod и поставил владельца папки chown 777, а так же DNS Не работал из за того что я в dhcpd.conf не добавил rndc и не прописал зоны, я их прописал чтолько в named.conf.

Так же хочу отдельно поблагодарить dhameoelin за строку в конфиге vpn-сервера route «dhcp-option DOMAIN blabla.alb» я её вставил в ccd конфиг только админам, ибо другим клиентам ненужно сеть видеть, ну и я конечно вернул старый конфиг сервера vpn и старые правила iptables Которые были, я понимаю что может неправильно, но задача неординарная поэтому приходиться на костылях.

Результат: я добился доступа от клиентов-админов по именам к компам в сеть за сервером, клиенты не админы имеют доступ только к серверу и доступ к сети закрыт. В дальнейшем хочу добиться рабочего конфига правильно, по советам dhameoelin, но пока пусть будет так, пока что все работает))) Еще раз огромное спасибо dhameoelin.

echo "Мир тебе!";

qunn
(29.09.14 10:10:55 MSK) автор топика

Ответ на: комментарий от qunn 29.09.14 10:10:55 MSK

Хы. Selinux опять) внесу в список наводящих вопросов.

Если захочешь переделать - ты уже знаешь как. Зови, если что.

dhameoelin ★★★★★
(29.09.14 12:21:09 MSK)

Ответ на: комментарий от dhameoelin 29.09.14 12:21:09 MSK

Хорошо, спасибо)) так же не забудь в список вопросов внести messages скидывать и другие логи)) ибо я бы не разобрался если бы в логах не увидел что rndc не работает и что client update denied был)))

qunn
(29.09.14 14:54:31 MSK) автор топика

Ссылка

Похожие темы