Клиенты openvpn не доступны между собой

0

1

Клиент 1 - 10.8.16.6

Клиент 2 - 10.8.16.7

Сервер - 10.8.16.1

Конфиг сервера

port 6699
proto udp
dev tap
tls-server

client-to-client

ca /etc/openvpn/Admin/easy-rsa/keys/ca.crt
cert /etc/openvpn/Admin/easy-rsa/keys/server.crt
key /etc/openvpn/Admin/easy-rsa/keys/server.key
dh /etc/openvpn/Admin/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/Admin/ta.key 0

persist-key
persist-tun

server 10.8.16.0 255.255.255.0
client-config-dir /etc/openvpn/Admin/ccd

user nobody
group nobody
#comp-lzo

keepalive 15 60

max-clients 10

verb 3
log /var/log/openvpn/Admin.log

Конфиг клиента

proto udp
dev tap
tls-client
pull

remote 1.2.3.4 6699
resolv-retry infinite
nobind
user nobody
group nogroup

keepalive 20 80

ca /etc/openvpn/keys/Admin/ca.pem
cert /etc/openvpn/keys/Admin/my.crt
key /etc/openvpn/keys/Admin/my.key
tls-auth /etc/openvpn/keys/Admin/ta.key 1

verb 3
log /var/log/openvpn.log

Собственно каждый клиент с сервером пингуется, а между собой нет.

на сервере ip route show

10.8.16.0/24 dev tap1  scope link 
10.8.17.0/24 dev tap2  proto kernel  scope link  src 10.8.17.1 
10.10.10.0/24 dev tap0  proto kernel  scope link  src 10.10.10.1 
127.0.0.0/8 via 127.0.0.1 dev lo 
default dev venet0  scope link  metric 2

В сети 10.8.17.0/24 такой проблемы нет, конфиги одинаковы, за исключением адреса и порта

Ссылка

←	Нет доступа к web-интерфейсу после смены провайдера

howto для поднятия LDAP

→

Дак может это проблемы клиентов. Если запустить на них дампер пакетов, они хотя бы ищут друг-друга по arp-протоколу?

mky ★★★★★
(23.10.15 16:01:56 MSK)

Ответ на: комментарий от mky 23.10.15 16:01:56 MSK

Что за дампер пакетов? Как запустить? Как проверить?

dzukp
(23.10.15 16:15:37 MSK) автор топика

Ссылка

Может проблема в конфигах клиентов, тех которые скорее всего в каталоге ccd на сервере лежат?

anc ★★★★★
(23.10.15 16:56:06 MSK)

Ответ на: комментарий от anc 23.10.15 16:56:06 MSK

в ccd такое, видимо все хорошо

ifconfig-push 10.8.16.6 255.255.255.0

dzukp
(23.10.15 17:05:55 MSK) автор топика

Ответ на: комментарий от dzukp 23.10.15 17:05:55 MSK

Действительно посмотри что tcpdump говорит

anc ★★★★★
(23.10.15 17:28:14 MSK)

cat /var/log/openvpn-status.log

ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref

не пусто?

anonymous
(23.10.15 17:43:03 MSK)

Ссылка

Ответ на: комментарий от anc 23.10.15 17:28:14 MSK

asu@ws9:~$ sudo tcpdump -i tap1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap1, link-type EN10MB (Ethernet), capture size 65535 bytes
10:26:45.966324 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:46.089784 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 7.16.8.10.in-addr.arpa. (40)
10:26:46.089850 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 7.16.8.10.in-addr.arpa. (40)
10:26:46.963247 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:47.091587 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 7.16.8.10.in-addr.arpa. (40)
10:26:47.091651 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 7.16.8.10.in-addr.arpa. (40)
10:26:47.963248 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:48.980537 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:49.094353 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 7.16.8.10.in-addr.arpa. (40)
10:26:49.094419 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 7.16.8.10.in-addr.arpa. (40)
10:26:49.979250 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:50.979250 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:51.111171 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 6.16.8.10.in-addr.arpa. (40)
10:26:51.111254 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 6.16.8.10.in-addr.arpa. (40)
10:26:51.111635 IP ws9.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (Cache flush) PTR ws9.local. (57)
10:26:51.299397 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
10:26:51.299463 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
10:26:51.996481 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:52.300348 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
10:26:52.300414 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
10:26:52.995252 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:53.995259 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:54.302245 IP6 fe80::1874:13ff:fe48:d63a.mdns > ff02::fb.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
10:26:54.302311 IP ws9.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
10:26:55.013489 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28
10:26:56.011254 ARP, Request who-has 10.8.16.7 tell ws9.local, length 28

dzukp
(26.10.15 10:41:01 MSK) автор топика

Ссылка

arp -a показывает такое:

? (10.8.16.7) в <не завершено> на tap1

dzukp
(26.10.15 11:09:31 MSK) автор топика

Ответ на: комментарий от dzukp 26.10.15 11:09:31 MSK

Вы хоть поясняйте это где было, на сервере на клиенте? Да и у tcpdump ключик -n лучше добавить, нам может быть понятнее будет.

anc ★★★★★
(26.10.15 20:15:52 MSK)

Ответ на: комментарий от anc 26.10.15 20:15:52 MSK

На одном из клиентов (10.8.16.6):

tcpdump -n -vvv -i tap0

16:48:09.335749 IP (tos 0x0, ttl 64, id 30185, offset 0, flags [DF], proto TCP (6), length 100)
    10.8.16.6.42302 > 10.8.16.1.667: Flags [P.], cksum 0xdb23 (correct), seq 4269173668:4269173716, ack 407876543, win 4141, options [nop,nop,TS val 3843628 ecr 3526053141], length 48
16:48:09.373025 IP (tos 0x10, ttl 64, id 40229, offset 0, flags [DF], proto TCP (6), length 132)
    10.8.16.1.667 > 10.8.16.6.42302: Flags [P.], cksum 0x3a09 (correct), seq 1:81, ack 48, win 7064, options [nop,nop,TS val 3527140291 ecr 3843628], length 80
16:48:09.373066 IP (tos 0x0, ttl 64, id 30186, offset 0, flags [DF], proto TCP (6), length 52)
    10.8.16.6.42302 > 10.8.16.1.667: Flags [.], cksum 0x343d (incorrect -> 0xf786), seq 48, ack 81, win 4141, options [nop,nop,TS val 3843637 ecr 3527140291], length 0
16:48:09.471476 IP (tos 0x0, ttl 64, id 30187, offset 0, flags [DF], proto TCP (6), length 100)
    10.8.16.6.42302 > 10.8.16.1.667: Flags [P.], cksum 0xb925 (correct), seq 48:96, ack 81, win 4141, options [nop,nop,TS val 3843662 ecr 3527140291], length 48
16:48:38.583954 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
16:48:39.582158 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
16:48:40.582159 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
16:48:41.599429 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28

На клиенте 10.8.16.6: arp -a

? (10.8.16.7) в <не завершено> на tap0

dzukp
(27.10.15 16:59:20 MSK) автор топика

Ответ на: комментарий от dzukp 27.10.15 16:59:20 MSK

1. А на сервер эти запросы долетают?
2. А если наоборот с 10.8.16.7 на 10.8.16.6 работает или такая же ситуация?

anc ★★★★★
(27.10.15 17:55:37 MSK)

Ответ на: комментарий от anc 27.10.15 17:55:37 MSK

На втором клиенте картина аналогиченая.

Когда пытаюсь пинговать 2-й клиент с 1-го, то на 2-м такое:

18:03:38.832164 IP (tos 0x0, ttl 64, id 31008, offset 0, flags [DF], proto TCP (6), length 52)
    10.8.16.6.42302 > 10.8.16.1.667: Flags [.], cksum 0x343d (incorrect -> 0x3c43), seq 17856, ack 135473, win 4141, options [nop,nop,TS val 4976002 ecr 3531669745], length 0
18:03:41.853322 IP (tos 0x10, ttl 64, id 40834, offset 0, flags [DF], proto TCP (6), length 260)
    10.8.16.1.667 > 10.8.16.6.42302: Flags [P.], cksum 0x2626 (correct), seq 135473:135681, ack 17856, win 7064, options [nop,nop,TS val 3531672761 ecr 4976002], length 208
18:03:41.853345 IP (tos 0x0, ttl 64, id 31009, offset 0, flags [DF], proto TCP (6), length 52)
    10.8.16.6.42302 > 10.8.16.1.667: Flags [.], cksum 0x343d (incorrect -> 0x2cb8), seq 17856, ack 135681, win 4141, options [nop,nop,TS val 4976757 ecr 3531672761], length 0
18:03:44.864397 IP (tos 0x10, ttl 64, id 40835, offset 0, flags [DF], proto TCP (6), length 260)
    10.8.16.1.667 > 10.8.16.6.42302: Flags [P.], cksum 0x0161 (correct), seq 135681:135889, ack 17856, win 7064, options [nop,nop,TS val 3531675777 ecr 4976757], length 208

dzukp
(27.10.15 18:05:03 MSK) автор топика

Ответ на: комментарий от dzukp 27.10.15 18:05:03 MSK

На сервер arp запросы приходят?

anc ★★★★★
(27.10.15 18:14:58 MSK)

Ответ на: комментарий от anc 27.10.15 18:14:58 MSK

они же доходят до второго клиента, когда 1-й пытается пинговать. Или я не прав?

Как проверить arp-запросы на сервере? tcpdump не стоит и установить нет возможности.

dzukp
(27.10.15 18:26:40 MSK) автор топика

Ответ на: комментарий от dzukp 27.10.15 18:26:40 MSK

они же доходят до второго клиента, когда 1-й пытается пинговать. Или я не прав?

Я не увидел, у тебя только запросы на первом клиенте

16:48:38.583954 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28

а вот что они доходят до 10.8.16.7 нет.

anc ★★★★★
(27.10.15 18:55:30 MSK)

Ответ на: комментарий от anc 27.10.15 18:55:30 MSK

на клиенту 10.8.16.7 запускаю пинг до 10.8.16.6

на клиенте 10.8.16.6 запускаю tcpdump -vvv -n -i tap0:

tcpdump: listening on tap1, link-type EN10MB (Ethernet), capture size 65535 bytes
11:03:15.135641 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:16.135643 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:17.152896 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:17.190455 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], proto UDP (17), length 81)
    10.8.16.6.5353 > 224.0.0.251.5353: [udp sum ok] 0 [2q] PTR (QM)? _plasma._tcp.local. PTR (QM)? _sane-port._tcp.local. (53)
11:03:18.151647 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:18.525292 IP6 (hlim 255, next-header UDP (17) payload length: 61) fe80::9430:adff:fe69:feb5.5353 > ff02::fb.5353: [udp sum ok] 0 [2q] PTR (QM)? _plasma._tcp.local. PTR (QM)? _sane-port._tcp.local. (53)
11:03:19.151655 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:20.168917 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:21.167646 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:22.167647 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:23.184882 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:24.183642 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28
11:03:25.183639 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.8.16.7 tell 10.8.16.6, length 28

dzukp
(28.10.15 11:04:28 MSK) автор топика

Ответ на: комментарий от dzukp 28.10.15 11:04:28 MSK

IPv6 случаем, между клиентами нет в настрое,?

и попробывать «общее» на 2500 пропускной..

anonymous
(28.10.15 11:16:41 MSK)

Ссылка

Ответ на: комментарий от dzukp 28.10.15 11:04:28 MSK

Получается что от 10.8.16.7 до 10.8.16.6 не долетают запросы или он уже его получил (что мало вероятно, но все-таки посмотрите на 10.8.16.7 что в arp).
На 10.8.16.7 все-таки что tcpdump говорит? Или так же как и на сервере нет возможности посмотреть?
Все тесты вы проводите на одних и тех же компах? Если да, попробуйте на других протестировать. Исходя из того что данных по 10.8.16.7 нет, я бы начал с него.

anc ★★★★★
(29.10.15 02:04:20 MSK)