LINUX.ORG.RU
решено ФорумAdmin

Centos 6.4 проблемы DNS + openvpn

 , ,


0

1

Здравствуйте! У меня проблема по настройке сервера, проблема заключается в том что от клиента по openvpn не пингуются машины за сервером по ИМЕНИ, по IP все нормально работает и пингуется, прошу сразу прощения, я не особо бум бум что нужно предоставить по информации, все не выкладываю что бы не было помойки, скажите что нужно выложить я выложу, заранее спасибо, уже все перепробовал, немогу понять в чем дело.



Последнее исправление: cetjs2 (всего исправлений: 1)
Доступ к серверу Apache из локальной сети
IPTABLES Проблема проброса портов

1 2 3
Ответ на: комментарий от dhameoelin

В мануале было сказано, для того что бы добавить маршрут и что бы клиенты видели сеть за сервером в этом диапазоне адресов: 

route 192.168.1.0 255.255.255.0

Ну не то что бы ходить, пропушил этот маршрут для того что бы запросы вида 192.168.1.0/24 шли через vpn, иначе у меня что то не ходили, запросы все шли на модем а не через тунель..... 

push "route 192.168.1.0 255.255.255.0 10.10.10.1"

А вот я незнаю как заставить))) 

push "dhcp-option DNS 192.168.1.99"

сделал tracert, конфиг не менял: 

C:\Users\qwer>tracert 192.168.1.27

Трассировка маршрута к WORKGROUP [192.168.1.27]
с максимальным числом прыжков 30:

  1    14 ms    15 ms    15 ms  SRV-PROXY [10.10.10.1]
  2    16 ms    14 ms    15 ms  WORKGROUP [192.168.1.27]

Трассировка завершена.

qunn
() автор топика
Ответ на: комментарий от qunn

да вижу что не так определяет))) но незнаю и ума не приложу почему он определяет имя как рабочую группу, или нет, что то вообще ничего не пойму причем туту workgroup....

qunn
() автор топика
Ответ на: комментарий от qunn

А вот я незнаю как заставить)))

push "dhcp-option DOMAIN local.com" Попробуй для начала.

В мануале было сказано, для того что бы добавить маршрут и что бы клиенты видели сеть за сервером в этом диапазоне адресов:

Что-то я сомневаюсь, что ты внимательно читал man, так как route 192.168.1.0 255.255.255.0 действует на сервер и обычно используется, дабы из локалки за сервером ходить в локалку VPN-клиентов.

да вижу что не так определяет))) но незнаю и ума не приложу почему он определяет имя как рабочую группу, или нет, что то вообще ничего не пойму причем туту workgroup....

При том, что bind тоже надо уметь готовить. Выкинь его временно и поставь dnsmasq. Подозреваю, что после корректной настройки OpenVPN ты не захочешь возвращать bind ;-)

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Пуш сделал, что должно произойти?

ну насчет route верно, а я почему то думал что просто связать сеть vpn и локалку в обе стороны....

Bind это же демон named правильно??? Я его остановил, поставил dnsmasq, у меня стоит dhcpd сервер, его тоже остановить и использовать dhcp от dnsmasq????

И еще можете дать мануал как настроить dnsmasq, а что то я настроил так у меня не преобразует имена теперь, а вообще у меня скриптом из списка арендованых адресов dhcpd импортируется каждый час имена и айпишники в hosts.....ибо не смог настроить автоматическое добавление адресов dns+dhcp....

qunn
() автор топика
Ответ на: комментарий от qunn

Dnsmasq - не «полноценный» DNS-сервер. Я исходил из того, что у тебя нормальный DNS и так есть, а с VPN ты просто отдельный поднял зачем-то.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Что то я тебя не понял, нормальный DNS - это ты имел ввиду bind?? Ты говорил временно отключить его и поставить dnsmasq, так в каком направлении копать? отключить bind и настроить dnsmasq? а про то что я отдельный поднял с VPN совсем непонял)))) доктор, я жить буду?)))

qunn
() автор топика
Ответ на: комментарий от qunn

Сойдёт. Главное, что примерно понятно.

OpenVPN вывешен наружу через модем и можно игнорировать сеть 192.168.100.х?

dev tap - причины есть? не лучше ли dev tun и нормально настроить фаервол?

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким: 

server 10.10.10.0 255.255.255.0
route 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

Конфиги CCD: 

ifconfig-push 10.10.10.<ip_клиента,_если_почему-то_не_устраивает_встроенный_в_OpenVPN_DHCP> 255.255.255.0 # Тебе подсети /24 точно хватит? Сколько клиентов?
iroute <внутренняя_сеть_клиента> <маска_внутренней_сети_клиента> # Узнаётся у каждого клиента

Конфиги Iptables для начала (только для FORWARD): 

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT
Пока без интерфейсов. С ними потом разберёшься.

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 4)
Ответ на: комментарий от dhameoelin 
server 10.10.10.0 255.255.255.0
route 10.10.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

route 10.0.0.0 255.255.255.0 - я опечатался

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

route 10.10.10.0 255.255.255.0 - совсем лишнее, имхо. Убери.

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким: 

server 10.10.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 2)
Ответ на: комментарий от dhameoelin

Блин не успеваю все сделать,можешь дать свои контакты или я могу написать скайп или аську....я в больницу ложусь на 5 дней, к концу следующей неделе выйду только, а то ты убежишь и никто не поможет)))

qunn
() автор топика
Ответ на: комментарий от dhameoelin

Снова привет, я вернулся)) задержался немного в больнице. В общем сделал. Пока ничего не пингует и не видит по имени:

Вот с клиента пингую: 

C:\Users\qwer>ping local.com

Обмен пакетами с local.com [192.168.1.99] с 32 байтами данных:
Ответ от 192.168.1.99: число байт=32 время=14мс TTL=64
Ответ от 192.168.1.99: число байт=32 время=15мс TTL=64

C:\Users\qwer>ping 192.168.1.27

Обмен пакетами с 192.168.1.27 по с 32 байтами данных:
Ответ от 192.168.1.27: число байт=32 время=13мс TTL=127
Ответ от 192.168.1.27: число байт=32 время=15мс TTL=127

C:\Users\qwer>ping primaryserver.local.com

Обмен пакетами с primaryserver.local.com [63.251.207.31] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Я могу ошибаться конечно, но «превышен интервал ожидания для запроса» это сообщает, покрайней мере когда я сталкивался, о том что запрос отправлен и доставлен но ответ не получен??? тоесть он как бы проходит в одну сторону но оттуда блокируется, или я ошибся?

qunn
() автор топика
Ответ на: комментарий от qunn

Смотри маршруты на primaryserver. Он должен ходить в 192.168.1.x через твой VPN-сервер.

Смотри, какие DNS использует клиент. Возможно, DNS используется нужный, но отдаёт погоду на Марсе, вместо корректных адресов.

dhameoelin ★★★★★
()
Ответ на: комментарий от qunn

Я могу ошибаться конечно, но «превышен интервал ожидания для запроса» это сообщает, покрайней мере когда я сталкивался, о том что запрос отправлен и доставлен но ответ не получен???
[63.251.207.31]

не смущает?

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Да смущает, не обратил внимание сразу...не в ту степь идет....

Вот клиент: 

C:\Users\qwer>ipconfig

Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . : local.com
   Локальный IPv6-адрес канала . . . : fe80::bd4b:461f:f3b3:7821%16
   IPv4-адрес. . . . . . . . . . . . : 10.10.10.103
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.2.100
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.2.1

Туннельный адаптер isatap.local.com:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : local.com

Про primary не понял, он за сервером и ходит через сервер в интернет, ip адрес у него статика, интернет получает. Сервер его по имени видит, все имена и ip адреса на сервере прописаны в hosts

qunn
() автор топика
Ответ на: комментарий от dhameoelin

Да сервер является и VPN-сервером и шлюзом интернета+dhcp сервер его зовут local.com, хотя хостнайм я ему писал srv-proxy. Я же рисовал схему. Primaryserver не клиент, он комп внутри сети за сервером который я не могу пропинговать по имени и обратиться.

Вот маршрут клиента VPN: 

C:\Users\qwer>route print
===========================================================================
Список интерфейсов
 16...00 ff 22 ca 85 c3 ......TAP-Windows Adapter V9
 11...00 25 22 cc 51 4d ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.100     20
       10.10.10.0    255.255.255.0         On-link      10.10.10.103    286
     10.10.10.103  255.255.255.255         On-link      10.10.10.103    286
     10.10.10.255  255.255.255.255         On-link      10.10.10.103    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0      255.255.0.0       10.10.10.1     10.10.10.103     31
      192.168.1.0    255.255.255.0       10.10.10.1     10.10.10.103     31
      192.168.2.0    255.255.255.0         On-link     192.168.2.100    276
    192.168.2.100  255.255.255.255         On-link     192.168.2.100    276
    192.168.2.255  255.255.255.255         On-link     192.168.2.100    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.2.100    276
        224.0.0.0        240.0.0.0         On-link      10.10.10.103    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.2.100    276
  255.255.255.255  255.255.255.255         On-link      10.10.10.103    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0      255.255.0.0       10.10.10.1       1
===========================================================================

Постоянные маршруты:
  Отсутствует

C:\Users\qwer>

Вот маршруты компа за сервером(primaryserver который): 

C:\Users\Administrator>route print

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.1.99     192.168.1.27     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.27    266
     192.168.1.27  255.255.255.255         On-link      192.168.1.27    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.27    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.27    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.27    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0     192.168.1.99  Default
===========================================================================
Persistent Routes:
  None

qunn
() автор топика
Ответ на: комментарий от qunn

Откуда на клиенте постоянный маршрут 192.168.0.0/16 и почему он завернут в VPN? И напомни, у тебя VPN использует tun или tap?

dhameoelin ★★★★★
()
Ответ на: комментарий от qunn

И текущие конфиги OpenVPN (и клиента и сервера) приложи. Ты же моими советами воспользовался, я надеюсь?

Кстати, серверу лучше сказать push "dhcp-option DNS 10.10.10.1" вместо push "dhcp-option DNS 192.168.1.99"

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Использую tap, с tun что то неполучилось у меня поднять как нужно было. Да конечно, по твоим сейчас советам все делаю.

Конфиг VPN-сервера: 

port 1194
proto udp
dev tap
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 10.10.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DOMAIN local.com"
push "dhcp-option DNS 10.10.10.1"
client-to-client
client-config-dir /etc/openvpn/ccd
ifconfig-pool-persist ipp.txt
keepalive 10 30
user nobody
group nobody
persist-key
persist-tun
log /var/log/openvpn.log
verb 3

Конфиг клиента: 

client
dev tap
proto udp
remote ***.***.***.*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert an3.crt
key an3.key
ns-cert-type server
verb 3
route-delay 5
route-method exe

Трасировка от primaryserver До клиента: 

C:\Users\Administrator>tracert 10.10.10.103

Tracing route to 10.10.10.103 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  local.com [192.168.1.99]
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10  ^C
C:\Users\Administrator>ping 10.10.10.103

Pinging 10.10.10.103 with 32 bytes of data:
Request timed out.

Ping statistics for 10.10.10.103:
    Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),


C:\Users\Administrator>ping 10.10.10.2

Pinging 10.10.10.2 with 32 bytes of data:
Reply from 10.10.10.2: bytes=32 time=19ms TTL=127
Reply from 10.10.10.2: bytes=32 time=11ms TTL=127

C:\Users\Administrator>tracert 10.10.10.2

Tracing route to SERVER [10.10.10.2]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  srv-proxy [192.168.1.99]
  2    11 ms    10 ms    11 ms  SERVER [10.10.10.2]

Trace complete.

C:\Users\Administrator>

qunn
() автор топика
Ответ на: комментарий от qunn

Хочу отметить, что 103 это админский IP, у 10.10.10.2 это сервер который обращается непосредсвенно к primaryserver по определенному порту, вот правила IP-tables на всякий случай: 

# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.101 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.102 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.103 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.104 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.105 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 192.168.100.245
-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 8888 -j DNAT --to-destination 192.168.1.78:8888
-A POSTROUTING -p tcp -m tcp -s 192.168.1.78 --sport 8888 -j SNAT --to-source 192.168.100.245:8888

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091
-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.100.245:9091


COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 10.10.10.0/24 -i eth0 -o tap0 -j ACCEPT
-A INPUT -i tap0 -j ACCEPT
-A OUTPUT -o tap0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -d 10.10.10.0/24 -i eth0 -j ACCEPT
# -A FORWARD -s 192.168.100.0/24 -d 192.168.1.0/24 -j DROP
-A INPUT -s 10.10.10.0/24 -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state ! -i eth0 --state NEW -j ACCEPT
-A FORWARD -m state -i eth0 -o eth1 --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o eth0 -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -i tap0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -m state -d 192.168.1.0/24 --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT

qunn
() автор топика
Ответ на: комментарий от qunn

Вот ipconfig /all на клиенте, тоесть на мне: 


C:\Users\qwer>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : qwerstv
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : local.com

Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . : local.com
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-22-CA-85-C3
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::bd4b:461f:f3b3:7821%16(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.10.10.103(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 24 сентября 2014 г. 0:09:36
   Срок аренды истекает. . . . . . . . . . : 24 сентября 2015 г. 0:09:36
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.10.10.0
   IAID DHCPv6 . . . . . . . . . . . : 453050146
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-93-36-66-00-25-22-CC-51-4D

   DNS-серверы. . . . . . . . . . . : 10.10.10.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 00-25-22-CC-51-4D
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.2.100(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 23 сентября 2014 г. 11:04:17
   Срок аренды истекает. . . . . . . . . . : 24 сентября 2014 г. 23:04:16
   Основной шлюз. . . . . . . . . : 192.168.2.1
   DHCP-сервер. . . . . . . . . . . : 192.168.2.1
   DNS-серверы. . . . . . . . . . . : 192.168.2.1
                                       0.0.0.0
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.local.com:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : local.com
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:90d7:3c64:3ab3:4da5:fb04(Осно
вной)
   Локальный IPv6-адрес канала . . . : fe80::3c64:3ab3:4da5:fb04%14(Основной)
   Основной шлюз. . . . . . . . . : ::
   NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{8188A730-2EB8-4556-9AF9-E78900F56B24}:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::5efe:192.168.2.100%15(Основной)
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 192.168.2.1
                                       0.0.0.0
   NetBios через TCP/IP. . . . . . . . : Отключен

C:\Users\qwer>

qunn
() автор топика
Ответ на: комментарий от qunn

Объясняй каждую строку, я заеустал гадать что у тебя зачем...

dhameoelin ★★★★★
()
Ответ на: комментарий от qunn

Трасировка от primaryserver До клиента:

C:\Users\Administrator>tracert 10.10.10.103

Tracing route to 10.10.10.103 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  local.com [192.168.1.99]
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.

Поздравляю. У тебя шлюз не маршрутизирует трафик. Объясняй, почему у тебя именно такие правила iptables.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin 
-A POSTROUTING -o eth0 -j MASQUERADE //открыл интернет
-A POSTROUTING -s 10.10.10.101 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.102 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.103 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.104 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.105 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 192.168.100.245 // NAT с eth0 в vpn, хотя не уверен зачем мне это, но было в мануале...
-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE // разрешаю с vpn сети ходить на интерфейс внутренней сети

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 8888 -j DNAT --to-destination 192.168.1.78:8888 //перенаправляю порт на нужный мне комп в сети
-A POSTROUTING -p tcp -m tcp -s 192.168.1.78 --sport 8888 -j SNAT --to-source 192.168.100.245:8888 //перенаправляю порт на нужный мне комп в сети

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432 //перенаправляю порт на нужный мне комп в сети
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432 //перенаправляю порт на нужный мне комп в сети

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095 //перенаправляю порт на нужный мне комп в сети
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095 //перенаправляю порт на нужный мне комп в сети

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091//перенаправляю порт на нужный мне комп в сети
-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.100.245:9091//перенаправляю порт на нужный мне комп в сети



-A INPUT -i lo -j ACCEPT //разрешаю входящий трафик на интерфейс петли
-A FORWARD -s 10.10.10.0/24 -d 10.10.10.0/24 -i eth0 -o tap0 -j ACCEPT // это я назначил что бы vpn сеть ходила до tap0 через eth0 так как eth0 выходит на модем, хотя я неуверен что это нужно было
-A INPUT -i tap0 -j ACCEPT //добавил от безисходности что бы разрешить вход
-A OUTPUT -o tap0 -j ACCEPT //добавил от безисходности что бы разрешить выход
-A INPUT -i eth1 -j ACCEPT //добавил что бы входил трафик во внутреннюю сеть
-A INPUT -d 10.10.10.0/24 -i eth0 -j ACCEPT //разрешил что бы vpn на eth0 было разрешено ходить сети 10.10.10.0/24
-A INPUT -s 10.10.10.0/24 -i eth1 -j ACCEPT // разрешаю сети vpn входить в сеть за сервером
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state ! -i eth0 --state NEW -j ACCEPT
-A FORWARD -m state -i eth0 -o eth1 --state RELATED,ESTABLISHED -j ACCEPT //сохранять установленное соединение
-A FORWARD -i eth0 -o eth1 -j ACCEPT //добавил от безисходности, что бы разрешить хождение трафика, плохого я думаю это ничего не несет
-A FORWARD -i eth0 -o tap0 -j ACCEPT //добавил от безисходности, что бы разрешить хождение трафика, плохого я думаю это ничего не несет
-A FORWARD -i tap0 -o eth0 -j ACCEPT //добавил от безисходности, что бы разрешить хождение трафика, плохого я думаю это ничего не несет
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -i tap0 -j ACCEPT // форвард между сетью vpn и внутренней сети
-A FORWARD -s 192.168.1.0/24 -j ACCEPT // форвард локально сети
-A FORWARD -m state -d 192.168.1.0/24 --state RELATED,ESTABLISHED -j ACCEPT // сохранять соединение

-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT
qunn
() автор топика
Ответ на: комментарий от qunn

идея была клиентам 10.10.10.1, 10.10.10.2, 10.10.10.3, 10.10.10.4, 10.10.10.5 запретить хождение в сеть за сервером, тоесть разрешить только по определенным портам и только на определенную машину, там стоит БД что бы они получали данные из неё.....а адреса вида 10.10.10.101, 10.10.10.102, 10.10.10.103, 10.10.10.104, 10.10.10.105 пропускать во все стороны, так как это адреса администраторов, которые должны иметь возможность подключиться к любой машине через программу UltraVNC тоесть к машинам за сервером 192.168.1.99 и до других клиентов в частности, а клиентам до 100-го айпишника ходить только к одной машине.......вот такая непростая идея

qunn
() автор топика
Ответ на: комментарий от qunn

На клиенте 0.0.0.0 ты имеешь ввиду альтевнативный? ну на одном интерфейсе клиента модем с dhcp и назначает DNS в качестве себя, а на интерфейсе vpn адаптера стоит 10.10.10.1, а 0.0.0.0 я так понимаю показывает потому что альтернативный не назначен.

qunn
() автор топика
Ответ на: комментарий от qunn 
-A POSTROUTING -o eth0 -j MASQUERADE //открыл интернет
-A POSTROUTING -s 10.10.10.101 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.102 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.103 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.104 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -s 10.10.10.105 -o eth1 -d 192.168.1.0/24 -j MASQUERADE //добавил что бы этот клиент vpn мог попасть в сеть за сервер
-A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 192.168.100.245 // NAT с eth0 в vpn, хотя не уверен зачем мне это, но было в мануале...
-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE // разрешаю с vpn сети ходить на интерфейс внутренней сети

-A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 192.168.100.245 // NAT с eth0 в vpn, хотя не уверен зачем мне это, но было в мануале... Удали нафиг. Оно тебе не нужно, imho, так как работает первое (в цитате) правило.

-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE // разрешаю с vpn сети ходить на интерфейс внутренней сети Это правило разрешает ВСЕМ vpn-клиентам ходить в твою локальную сеть. Правила для 101-105 становятся лишними. Думай, как переделать. И, да, тебе не нужен маскарадинг для vpn-клиентов, нужно осилить маршрутизацию.

Едем дальше... 

-A INPUT -d 10.10.10.0/24 -i eth0 -j ACCEPT //разрешил что бы vpn на eth0 было разрешено ходить сети 10.10.10.0/24
-A INPUT -s 10.10.10.0/24 -i eth1 -j ACCEPT // разрешаю сети vpn входить в сеть за сервером
-A INPUT -m state ! -i eth0 --state NEW -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 10.10.10.0/24 -i eth0 -o tap0 -j ACCEPT // это я назначил что бы vpn сеть ходила до tap0 через eth0 так как eth0 выходит на модем, хотя я неуверен что это нужно было
-A FORWARD -m state -i eth0 -o eth1 --state RELATED,ESTABLISHED -j ACCEPT //сохранять установленное соединение
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -i tap0 -j ACCEPT // форвард между сетью vpn и внутренней сети
-A FORWARD -s 192.168.1.0/24 -j ACCEPT // форвард локально сети
-A FORWARD -m state -d 192.168.1.0/24 --state RELATED,ESTABLISHED -j ACCEPT // сохранять соединение
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT

Ты, вообще, man iptables читал? Нафига так переусложнять??? Попробуем оптимизировать?!

Начнём с -t filter...

Если у тебя -P INPUT DROP, то, как минимум, на время отладки надо так: 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT // сохранять соединение
-A INPUT -i eth0 -m state --state NEW -j ACCEPT // WAN
-A INPUT -i eth1 -m state --state NEW -j ACCEPT // LAN
-A INPUT -i tap0 -m state --state NEW -j ACCEPT // VPN
Потом откорректируешь, кому, откуда и куда можно, а остальные упрутся в политику по-умолчанию. Но, так как у тебя сейчас -P INPUT ACCEPT, то эти правила (и твои тоже) нафиг не нужны.

FORWARD. Обычно он у меня -P FORWARD DROP 

-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT // сохранять соединение
-A FORWARD -i eth0 -o tap0 -m state --state NEW -j ACCEPT // WAN->VPN
-A FORWARD -i tap0 -o eth0 -m state --state NEW -j ACCEPT // VPN->WAN
-A FORWARD -i eth1 -o tap0 -m state --state NEW -j ACCEPT // LAN->VPN
-A FORWARD -i tap0 -o eth1 -m state --state NEW -j ACCEPT // VPN->LAN
-A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT // WAN->LAN
-A FORWARD -i eth1 -o eth0 -m state --state NEW -j ACCEPT // LAN->WAN
Опять же, после отладки откорректируешь, а сейчас нам надо взлететь.

Ах, да, -t nat: 

-A POSTROUTING -o eth0 -j MASQUERADE // маскарадинг
И всё. Почему остальное не нужно - я потом объясню. Проброс портов оставь, он нормальный.

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 2)
Ответ на: комментарий от dhameoelin

так ну теперь у меня vpn-сервер не пингует никого из сети 10.10.10.0/24, а так же и из внутренней сети, от primaryserver не пингует никого из vpn сети, но от клиента я пингую во внутрь сети до сервера primaryserver, порты работают связь есть. Вот конфиг iptables который сейчас получился: 

-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 8888 -j DNAT --to-destination 192.168.1.78:8888
-A POSTROUTING -p tcp -m tcp -s 192.168.1.78 --sport 8888 -j SNAT --to-source 192.168.100.245:8888

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091
-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.100.245:9091

-P INPUT DROP
-A INPUT -i lo -j ACCEPT
#сохраняем соединение
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#wan
-A INPUT -i eth0 -m state --state NEW -j ACCEPT
#lan
-A INPUT -i eth1 -m state --state NEW -j ACCEPT
#vpn
-A INPUT -i tap0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#wan->vpn
-A FORWARD -i eth0 -o tap0 -m state --state NEW -j ACCEPT
#vpn->wan
-A FORWARD -i tap0 -o eth0 -m state --state NEW -j ACCEPT
#lan->vpn
-A FORWARD -i eth1 -o tap0 -m state --state NEW -j ACCEPT
#vpn-lan
-A FORWARD -i tap0 -o eth1 -m state --state NEW -j ACCEPT
#wan->lan
-A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
#lan->wan
-A FORWARD -i eth1 -o eth0 -m state --state NEW -j ACCEPT

Да согласен пока что сделать что бы все работали одинакого - клиенты, а уже админ или не админ я сам разберусь кому куда ходить

qunn
() автор топика
Ответ на: комментарий от qunn

так ну теперь у меня vpn-сервер не пингует никого из сети 10.10.10.0/24, а так же и из внутренней сети, от primaryserver не пингует никого из vpn сети

route -n на vpn-сервере.

И ПОЛНЫЙ конфиг iptables давай

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)
Ответ на: комментарий от dhameoelin

Вот route -n: 

[root@local ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0
0.0.0.0         192.168.100.1   0.0.0.0         UG    0      0        0 eth0

Так это и был полный iptables, все лишнее поудалял, сделал через -P FORWARD DROP: 

[root@local ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 8888 -j DNAT --to-destination 192.168.1.78:8888
-A POSTROUTING -p tcp -m tcp -s 192.168.1.78 --sport 8888 -j SNAT --to-source 192.168.100.245:8888

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091
-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.100.245:9091


COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-P INPUT DROP
-A INPUT -i lo -j ACCEPT

#сохраняем соединение
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#wan
-A INPUT -i eth0 -m state --state NEW -j ACCEPT

#lan
-A INPUT -i eth1 -m state --state NEW -j ACCEPT

#vpn
-A INPUT -i tap0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#wan->vpn
-A FORWARD -i eth0 -o tap0 -m state --state NEW -j ACCEPT
#vpn->wan
-A FORWARD -i tap0 -o eth0 -m state --state NEW -j ACCEPT
#lan->vpn
-A FORWARD -i eth1 -o tap0 -m state --state NEW -j ACCEPT
#vpn-lan
-A FORWARD -i tap0 -o eth1 -m state --state NEW -j ACCEPT
#wan->lan
-A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
#lan->wan
-A FORWARD -i eth1 -o eth0 -m state --state NEW -j ACCEPT


COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*mangle
:PREROUTING ACCEPT [77844:32095033]
:INPUT ACCEPT [3586:418566]
:FORWARD ACCEPT [73469:31621752]
:OUTPUT ACCEPT [1529:264396]
:POSTROUTING ACCEPT [75056:31895566]
COMMIT
# Completed on Wed Apr 16 17:40:19 2014

qunn
() автор топика
Ответ на: комментарий от qunn

Вот я дурак, -P INPUT DROP прописал вместо -P FORWARD DROP, изменил вот route -n:


[root@local ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0
0.0.0.0         192.168.100.1   0.0.0.0         UG    0      0        0 eth0
qunn
() автор топика
Ответ на: комментарий от qunn

Это с сервера: 

[root@local ~]# traceroute 10.10.10.103
traceroute to 10.10.10.103 (10.10.10.103), 30 hops max, 60 byte packets
 1  10.10.10.103 (10.10.10.103)  14.722 ms * *
[root@local ~]# ping 10.10.10.103
PING 10.10.10.103 (10.10.10.103) 56(84) bytes of data.
^C
--- 10.10.10.103 ping statistics ---
69 packets transmitted, 0 received, 100% packet loss, time 68930ms

qunn
() автор топика
Ответ на: комментарий от qunn

Политики пока не важны.

-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE убери

А INPUT DROP - это хорошо

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)

Добавь в конфиг сервера OpenVPN: 

float
client-to-client
topology subnet
keepalive 10 120
comp-lzo
push "ping 10"
push "ping-restart 60"
push "ip-win32 dynamic"
push "route-delay 3"
push "route-method exe"
push "comp-lzo yes"
push "redirect-private"

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

я так понимаю в конфиг клиента comp-lzo тоже влючить? а то я отключил потому что говорили что могут быть проблемы видимости из за шифрования.

-A INPUT DROP ошибку выдает, а -P INPUT DROP норм,но я убрал, это правило вообще, пока стоит только -P FORWARD DROP...

Вот с сервера-vpn пытаюсь найти клиента: 

[root@local ~]# ping 10.10.10.103
PING 10.10.10.103 (10.10.10.103) 56(84) bytes of data.
^C
--- 10.10.10.103 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4850ms

[root@local ~]# traceroute 10.10.10.103
traceroute to 10.10.10.103 (10.10.10.103), 30 hops max, 60 byte packets
 1  10.10.10.103 (10.10.10.103)  15.310 ms  17.035 ms  18.734 ms

Вот с клиента пытаюсь найти primaryserver За vpn-сервером: 

C:\Users\qwer>ping 192.168.1.27 -t

Обмен пакетами с 192.168.1.27 по с 32 байтами данных:
Ответ от 192.168.1.27: число байт=32 время=15мс TTL=127
Ответ от 192.168.1.27: число байт=32 время=14мс TTL=127
Ответ от 192.168.1.27: число байт=32 время=15мс TTL=127
Ответ от 192.168.1.27: число байт=32 время=14мс TTL=127
Ответ от 192.168.1.27: число байт=32 время=14мс TTL=127
Ответ от 192.168.1.27: число байт=32 время=15мс TTL=127

Статистика Ping для 192.168.1.27:
    Пакетов: отправлено = 6, получено = 6, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 14мсек, Максимальное = 15 мсек, Среднее = 14 мсек

C:\Users\qwer>ping 10.10.10.1

Обмен пакетами с 10.10.10.1 по с 32 байтами данных:
Ответ от 10.10.10.1: число байт=32 время=14мс TTL=64

Статистика Ping для 10.10.10.1:
    Пакетов: отправлено = 1, получено = 1, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 14мсек, Максимальное = 14 мсек, Среднее = 14 мсек
Control-C
^C
C:\Users\qwer>ping primaryserver
При проверке связи не удалось обнаружить узел primaryserver.
Проверьте имя узла и повторите попытку.

C:\Users\qwer>ping primaryserver.local.com

Обмен пакетами с primaryserver.local.com [63.251.207.31] с 32 байтами данных:
Превышен интервал ожидания для запроса.

Статистика Ping для 63.251.207.31:
    Пакетов: отправлено = 1, получено = 0, потеряно = 1
    (100% потерь)

C:\Users\qwer>ping primaryserver.local.com

Обмен пакетами с primaryserver.local.com [63.251.207.31] с 32 байтами данных:
C:\Users\qwer>

Вот пытаюсь найти клиента vpn из сети за сервером: 

C:\Users\Admin>ping 10.10.10.103

Обмен пакетами с 10.10.10.103 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 10.10.10.103:
    Пакетов: отправлено = 2, получено = 0, потеряно = 2
    (100% потерь)
Control-C
^C
C:\Users\Admin>tracert 10.10.10.103

Трассировка маршрута к 10.10.10.103 с максимальным числом прыжков 30

  1     1 ms     1 ms     1 ms  local.com [192.168.1.99]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
C:\Users\Admin>

qunn
() автор топика
Ответ на: комментарий от qunn

Вот еще от клиента по имени: 

C:\Users\qwer>tracert primaryserver

Трассировка маршрута к primaryserver.local.com [63.251.207.31]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  ADSL [192.168.2.1]
  2    12 ms   173 ms    20 ms  95.58.144.8.megaline.telecom.kz [95.58.144.8]
  3    12 ms    11 ms    11 ms  ^C
C:\Users\qwer>

DNS суффикс покрайней мере сам подставил)))

qunn
() автор топика
Ответ на: комментарий от qunn

DNS суффикс покрайней мере сам подставил)))

Только не на тот интерфейс))

я так понимаю в конфиг клиента comp-lzo тоже влючить?

push'ем прилетит и переключится.

-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

убрал?!

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

да убрал правило из iptables, да вижу что ломится на интерфейс интернета....вот еще раз полный конфиг Iptables: 

[root@local ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 8888 -j DNAT --to-destination 192.168.1.78:8888
-A POSTROUTING -p tcp -m tcp -s 192.168.1.78 --sport 8888 -j SNAT --to-source 192.168.100.245:8888

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091
-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.100.245:9091


COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-P FORWARD DROP
-A INPUT -i lo -j ACCEPT

#сохраняем соединение
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#wan
-A INPUT -i eth0 -m state --state NEW -j ACCEPT

#lan
-A INPUT -i eth1 -m state --state NEW -j ACCEPT

#vpn
-A INPUT -i tap0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#wan->vpn
-A FORWARD -i eth0 -o tap0 -m state --state NEW -j ACCEPT
#vpn->wan
-A FORWARD -i tap0 -o eth0 -m state --state NEW -j ACCEPT
#lan->vpn
-A FORWARD -i eth1 -o tap0 -m state --state NEW -j ACCEPT
#vpn-lan
-A FORWARD -i tap0 -o eth1 -m state --state NEW -j ACCEPT
#wan->lan
-A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
#lan->wan
-A FORWARD -i eth1 -o eth0 -m state --state NEW -j ACCEPT

COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*mangle
:PREROUTING ACCEPT [77844:32095033]
:INPUT ACCEPT [3586:418566]
:FORWARD ACCEPT [73469:31621752]
:OUTPUT ACCEPT [1529:264396]
:POSTROUTING ACCEPT [75056:31895566]
COMMIT
# Completed on Wed Apr 16 17:40:19 2014
[root@local ~]#

qunn
() автор топика
Ответ на: комментарий от qunn

ну и еще раз конечный вариант конфига openvpn сервера: 

[root@local ~]# cat /etc/openvpn/server.conf
port 1194
proto udp
dev tap
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 10.10.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DOMAIN local.com"
push "dhcp-option DNS 10.10.10.1"
client-to-client
client-config-dir /etc/openvpn/ccd
ifconfig-pool-persist ipp.txt
keepalive 10 30
user nobody
group nobody
persist-key
persist-tun
log /var/log/openvpn.log
verb 3
float
topology subnet
comp-lzo
push "ping 10"
push "ping-restart 60"
push "ip-win32 dynamic"
push "route-delay 3"
push "route-method exe"
push "comp-lzo yes"
push "redirect-private"

qunn
() автор топика
Ответ на: комментарий от qunn

да убрал правило из iptables, да вижу что ломится на интерфейс интернета....вот еще раз полный конфиг Iptables:

Блин. Переключись на tun. И правила подкорректируй.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

На клиенте установлен лог подключения, это нормально что там tap? 

Wed Sep 24 17:50:53 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{22CA85C3-CA3F-46CF-94BE-5C7F999DA242}.tap
Wed Sep 24 17:50:53 2014 TAP-Windows Driver Version 9.9 
Wed Sep 24 17:50:53 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.103/255.255.255.0 on interface {22CA85C3-CA3F-46CF-94BE-5C7F999DA242} [DHCP-serv: 10.10.10.0, lease-time: 31536000]
Wed Sep 24 17:50:53 2014 Successful ARP Flush on interface [16] {22CA85C3-CA3F-46CF-94BE-5C7F999DA242}
Wed Sep 24 17:50:56 2014 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Wed Sep 24 17:50:56 2014 C:\Windows\system32\route.exe ADD 212.154.200.246 MASK 255.255.255.255 192.168.2.1
Wed Sep 24 17:50:56 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Sep 24 17:50:56 2014 Initialization Sequence Completed
Wed Sep 24 17:50:56 2014 MANAGEMENT: >STATE:1411559456,CONNECTED,SUCCESS,10.10.10.103,212.154.200.246

Поставил в конфиге сервера dev tun вместо dev tap. Немного недопонял, что именно в правилах (iptables?) подкорректировать?

qunn
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
Доступ к серверу Apache из локальной сети
Admin
IPTABLES Проблема проброса портов