LINUX.ORG.RU
ФорумAdmin

OpenVPN настройка прозрачности

 


0

2

Здравствуйте. Значит так, появилась нужда настроить VPN шифрованное соединение, используя OpenVPN. Есть следующая схема:

Внутренняя сеть 192.168.77.254/25 Внутренняя сеть192.168.77.126/25
    Сервер VPN(Шлюз1)                   Клиент VPN(Шлюз2)
Внешняя сеть 172.255.255.254/30    Внешняя сеть172.255.255.253/30

Настройка на Сервере(Шлюз1) openvpn server.conf 

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/GATE-SRV.crt
key /etc/openvpn/keys/GATE-SRV.key  # This file should be kept secret
dh /etc/openvpn/keys/dh2048.pem
server 10.10.10.0 255.255.255.248
ifconfig-pool-persist ipp.txt
push "route 192.168.77.128 255.255.255.128"
client-config-dir /etc/openvpn/ccd
route 192.168.77.0 255.255.255.128
push "redirect-gateway def1"
client-to-client
keepalive 10 120
tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC        # Blowfish (default)
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn.log
verb 3

Далее: ./openvpn/ccd/client 

ifconfig-push 10.10.10.2 10.10.10.1
iroute 192.168.77.0 255.255.255.128
push "route 192.168.77.128 255.255.255.128"

Настройка client.conf на клиенте VPN (Шлюз2) 

client
dev tun
proto udp
remote 172.255.255.254 1194
resolv-retry infinite
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth SHA1
cipher BF-CBC
remote-cert-tls server
comp-lzo
persist-key
persist-tun
route 10.10.10.0 255.255.255.248
status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

С такой конфигурацией туннель между шлюз1 поднимается со шлюзом2, пинги между ними ходят. Но не как не получается настроить так, что бы пользователи за Шлюзом1 видели пользователей за шлюзом2 и соответственно наоборот. Для начала я пробовал с пользовательской машины которая за шлюзом1 пинговать внутренний ip адресс шлюза2 (192.168.77.126) no reply...и соответственно далее этого шлюза, пользовательские пк так же не пингуются. В общем что то припекает уже...маны прошу не кидать, уже успел по всем возможным пройтись, но пока увы.

Добавляю маршруты на СерверVPN(Шлюз1) 

route add -net 192.168.77.0/25 gw 10.10.10.1

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.0      10.10.10.2      255.255.255.248 UG    0      0        0 tun0
10.10.10.2      *               255.255.255.255 UH    0      0        0 tun0
172.255.255.252 *               255.255.255.252 U     0      0        0 eth0
192.168.77.128  10.10.10.2      255.255.255.128 UG    0      0        0 tun0
192.168.77.128  *               255.255.255.128 U     0      0        0 br0

Добавляю маршруты на КлиентеVPN(Шлюз2) 

route add -net 192.168.77.128/25 gw 10.10.10.2
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.0      10.10.10.1      255.255.255.248 UG    0      0        0 tun0
10.10.10.1      *               255.255.255.255 UH    0      0        0 tun0
172.255.255.252 *               255.255.255.252 U     0      0        0 eth1
192.168.77.0    *               255.255.255.128 U     0      0        0 eth0
192.168.77.128  10.10.10.1      255.255.255.128 UG    0      0        0 tun0
iptables по умолчанию accept и ни каких правил в нем нету. ipv4_forwarding 1 На обоих шлюзах Ubuntu 14.04.2 trusty



Последнее исправление: Ascor (всего исправлений: 3)
mount показывает переданный пароль для smb-шары
iptables не видит модуль

На системах, которые являются шлюзом, т.е. маршрутом по умолчанию, для машин в сети нужно прописать маршруты до другой сети через VPN адрес шлюза в этой сети. Естественно это нужно сделать на обоих шлюзах.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Это и было сделано, как я указал в сообщение. На шлюзе1 я добавил маршрут в сеть за шлюзом2 вот так: route add -net 192.168.77.0/25 gw 10.10.10.2 Соответственно на шлюзе2 наоборот: route add -net 192.168.77.128/25 gw 10.10.10.1 Но результат не удовлетворительный...

Ascor
() автор топика

может, уже слишком поздно и я почти сплю, но адрес 192.168.77.126 попадает под маску 192.168.77.128/255.255.255.128 ? 126=0x7E, а 128=0x80. а ты хочешь в старшем бите единицу.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

Да, ошибся когда печатал. Настройки именно 77.128/25.

Ascor
() автор топика
Ответ на: комментарий от kostik87

Буду пробовать с другой сетью.Использовать допустим другой сегмент? То бишь первая сеть ..77.0/24, а вторая 78.0/24?

Ascor
() автор топика
Ответ на: комментарий от kostik87

Странно, оставил в сети за сервером 77.128/25 как и было, а в сети за клиентом изменил на 78.0/24 и произвел соответствующие настройки на сервере, и пинги пошли. Не пойму, это особенность такая openvpn? Есть какая то документация на эту тему?

Ascor
() автор топика
Ответ на: комментарий от Ascor

Не пойму, это особенность такая openvpn?

Это особенность IP адресации и, возможно, особенности тех маршрутов, что проложили вы.

Есть какая то документация на эту тему?

Читайте в Internet про модель OSI, IP адресацию, классы сетей, маску подсети и прочее.

Удачи.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Ересь. Если через gre туннель трафик гонялся, а сети то были в одном сегменте но поделены масками пополам, а тут не катит.

Ascor
() автор топика
Ответ на: комментарий от Ascor

Сам ты ересь. Правила которые добавлял так ни разу и не показал, схему сети тоже не показал.

Иди читай документацию.

kostik87 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
mount показывает переданный пароль для smb-шары
Admin
iptables не видит модуль