OpenVPN сервер

0

2

Здравствуйте! Настраиваю OpenVPN сервер на OpenBsd(шлюз) сертификаты, подключение - все отлично. Но! При подключение абсолютно весь трафика идёт через VPN ( хотелось бы давать клиентам только доступ в лан (10.10.1.0 255.0.0.0).

Пробовал добавлять def1 и net_gateway - результат не работает ни сеть ни web.

Вот конфиг сервера:

ca "/etc/openvpn/easy-rsa/keys/ca.crt"
cert "/etc/openvpn/easy-rsa/keys/server.crt"
dh "/etc/openvpn/easy-rsa/keys/dh1024.pem"
key "/etc/openvpn/easy-rsa/keys/server.key"
#tls-auth "/etc/openvpn/easy-rsa/keys/ta.key" 0
cipher AES-256-CBC # AES 256 bits

proto udp

port 1195
dev tun0

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key
persist-tun

client-to-client

push "route 10.50.0.0 255.255.255.0"
push "route 10.10.1.0 255.0.0.0"

route 10.50.0.0 255.255.255.0
route 10.10.1.0 255.0.0.0

push "redirect-gateway"
#push "dhcp-option DNS 8.8.8.8"
client-config-dir /etc/openvpn/ccd/

Ссылка

←	клиент-серверная архитектура и netcat

Один домен два ip

→

1. осильте www.linux.org.ru/help/lorcode.md - а то читать тяжело.
2. push «redirect-gateway» - не нужно
ЗЫ заголовок поправьте, причем тут web трафик?

anc ★★★★★
(02.06.16 20:27:05 MSK)
Последнее исправление: anc 02.06.16 20:28:27 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 02.06.16 20:27:05 MSK

push «redirect-gateway» убрал, vpn подключается, интернет ходит как надо, а вот связи с удаленной сетью нет.

minzdravv
(06.06.16 10:10:26 MSK) автор топика

Ссылка

Добавь push «route-gateway 10.50.0.1», или что там у тебя.

Deleted
(06.06.16 10:22:51 MSK)
Последнее исправление: MyLittleLoli 06.06.16 10:23:12 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 06.06.16 10:22:51 MSK

Добавил в server.conf > push «route-gateway 10.50.0.5» не помогло

minzdravv
(06.06.16 10:41:00 MSK) автор топика

Ссылка

10.50.0.0 и 10.10.1.0 знают о существовании друг друга?

julixs ★★★
(06.06.16 10:47:10 MSK)

Ответ на: комментарий от julixs 06.06.16 10:47:10 MSK

?? По мимо route в server.conf в ccd/client прописано iroute 10.50.0.0 255.255.255.0

minzdravv
(06.06.16 10:59:33 MSK) автор топика

Ответ на: комментарий от julixs 06.06.16 10:47:10 MSK

где и как это прописать?

minzdravv
(06.06.16 11:00:33 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 10:59:33 MSK

Лол, зачем? iroute нужен если ты хочешь чтобы у тебя был доступ в сети, которые находятся на стороне клиента. В твоем случае он не нужен.

Deleted
(06.06.16 11:10:29 MSK)

Ответ на: комментарий от Deleted 06.06.16 11:10:29 MSK

Моя задача удалённое рабочее место, т.е. доступ клиентам VPN к машинам в сети 10.10.0.0.

если поставить push «redirect-gateway def1» то по мимо доступа в сеть, у клиентов vpn, весть трафик идёт через vpn сервер. (пример если трассируем yandex то путь идёт через vpn>gate>интернет)

minzdravv
(06.06.16 11:18:50 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 11:00:33 MSK

Я так понимаю в твоем фаерволе. Форвординг между tun0 и eth1 разрешен? или что там у тебя в локалку смотрит.

julixs ★★★
(06.06.16 11:25:53 MSK)

Ответ на: комментарий от julixs 06.06.16 11:25:53 MSK

pf.conf

int_if = lo
vpn_if = tun0
int_net = int_in:network
pass in on $vpn_if from any to any
pass out on $vpn_if inet proto { tcp, udp } from $int_net to any flags S/SA modulate state nat-to ($int_if) round-robin
pass in on $vpn_if inet proto { tcp, udp } from $vpn_gw to any flags S/SA modulate state

minzdravv
(06.06.16 11:30:06 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 11:30:06 MSK

К сожалению не особо силен в pf((( У меня в iptables это выглядиттак:

$IPT -A FORWARD -i tun0 -s 10.15.0.0/24  -d 10.0.2.0/24 -j ACCEPT
$IPT -A FORWARD -s 10.15.0.0/24 -j ACCEPT
$IPT -A FORWARD -d 10.15.0.0/24 -m state --state  RELATED,ESTABLISHED -j ACCEPT
$IPT -t nat -A POSTROUTING -s 10.15.0.0/24 -j MASQUERADE

10.15.0.0/24 - vpn. 10.0.2.0/24 - локалка.

julixs ★★★
(06.06.16 11:58:32 MSK)

Ответ на: комментарий от julixs 06.06.16 11:58:32 MSK

в настоящий момент конфиг server.conf

ca "/etc/openvpn/easy-rsa/keys/ca.crt"
cert "/etc/openvpn/easy-rsa/keys/server.crt"
dh "/etc/openvpn/easy-rsa/keys/dh1024.pem"
key "/etc/openvpn/easy-rsa/keys/server.key"
#tls-auth "/etc/openvpn/easy-rsa/keys/ta.key" 0
cipher AES-256-CBC # AES 256 bits

proto udp

port 1195
dev tun0

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key
persist-tun

client-to-client

push "route 10.50.0.0 255.255.255.0"
push "route 10.10.1.0 255.0.0.0"

route 10.50.0.0 255.255.255.0
route 10.10.1.0 255.0.0.0
push "route-gateway 10.50.0.5"
#push "redirect-gateway"
#push "dhcp-option DNS 8.8.8.8"
client-config-dir /etc/openvpn/ccd/

при подключении: ошибок в логе нет, Инет ходит как надо(без vpn) сеть пингует только 10.50.0.1 10.10.1.1 не пингует :(

minzdravv
(06.06.16 12:44:04 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 12:44:04 MSK

Может это поможет?

Если по окончанию настройки и запуска системы при соединении клиента с сервером загораются зеленые экранчки, но ping и tracert не проходит, то добавляем в rc.conf строку:

pf_enable="YES"

И в папке /etc/ создаем файл pf.conf и в него прописываем следующее:

#Внешний интерфейс
ext_if=bge0

#Внутрений интерфейс
int_if=bge1

localnet="192.168.0.0/24"

# Правила маршрутизации между интерфейсами
nat on $ext_if from $localnet to any -> ($ext_if)
nat on $int_if from 172.16.10.0/24 to any -> ($int_if)

Перезапускаем сервер и проверяем как все работает.

julixs ★★★
(06.06.16 12:50:34 MSK)

Ответ на: комментарий от julixs 06.06.16 12:50:34 MSK

тут немного по другому:

 pass in on $ext_if from $int_net to any nat-to $ext_if
 pass in on $int_if from 10.50.0.0/24 to any nat-to $int_net

minzdravv
(06.06.16 13:06:51 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 13:06:51 MSK

не помогло((((

minzdravv
(06.06.16 13:07:24 MSK) автор топика

Ссылка

Ответ на: комментарий от julixs 06.06.16 12:50:34 MSK

Но если бы проблема была с Firewall, тогда бы не работало при любых настройках openvpn?!

а у меня при добавлении параметра push «redirect-gateway» работает доступ от внешней сети к внутренней.

minzdravv
(06.06.16 13:15:49 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 12:44:04 MSK

Судя по конфигу gateway у тебя не 10.50.0.5 а 10.50.0.1
Роуты точно работают?
traceroute -n 10.10.1.1

Deleted
(06.06.16 13:23:01 MSK)

Ссылка

Ответ на: комментарий от minzdravv 06.06.16 13:15:49 MSK

Так подожди, я запутался. push "redirect-gateway defl" меняет на время подключения шлюз по умолчанию на стороне клиента. Если с этим параметром у тебя все работает, тогда в чем проблема?

julixs ★★★
(06.06.16 13:29:13 MSK)

Ответ на: комментарий от julixs 06.06.16 13:29:13 MSK

Проблема в том что при

push "redirect-gateway defl"

трафик весь идёт через vpn

пример: при трассировке http://www.ya.ru путь такой wan client -> vpn ip - > gate server -> internet

а мне необходимо чтобы клиент не гонял свой интернет трафик через офис.

minzdravv
(06.06.16 13:38:06 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 13:38:06 MSK

Ну дык и дай ему через push маршрут только на нужную сеть.

Radjah ★★★★★
(06.06.16 13:50:44 MSK)

Ответ на: комментарий от minzdravv 06.06.16 11:18:50 MSK

Моя задача удалённое рабочее место, т.е. доступ клиентам VPN к машинам в сети 10.10.0.0

В этом случае iroute тебе не нужен.

если поставить push «redirect-gateway def1» то по мимо доступа в сеть, у клиентов vpn, весть трафик идёт через vpn сервер.

Ну правильно, так ты defaut gw на клиенте переопределяешь.

P.s. Проверил у себя, добавил только строку с push «route ...», остальных опций нет. На клиенте маршрут появился, все работает.

Deleted
(06.06.16 13:53:34 MSK)

Ответ на: комментарий от Radjah 06.06.16 13:50:44 MSK

как? через /ccd/client ???

minzdravv
(06.06.16 14:01:43 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 14:01:43 MSK

Через конфиг сервера.

Ну ты хоть немного думалку включи и схему работы всего этого построй.

Radjah ★★★★★
(06.06.16 14:05:28 MSK)

Ответ на: комментарий от Radjah 06.06.16 14:05:28 MSK

в server.conf

push "route 10.50.0.0 255.255.255.0"
push "route 10.10.1.0 255.0.0.0"

minzdravv
(06.06.16 14:13:59 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 14:13:59 MSK

Общий конфиг давай и выхлоп «route print» на клиенте.

Radjah ★★★★★
(06.06.16 14:38:14 MSK)

Ссылка

Ответ на: комментарий от Deleted 06.06.16 13:53:34 MSK

Спасибо! Все получилось для тех кому необходима подобная настройка вот конфиг рабочий:

ca "/etc/openvpn/easy-rsa/keys/ca.crt"
cert "/etc/openvpn/easy-rsa/keys/server.crt"
dh "/etc/openvpn/easy-rsa/keys/dh1024.pem"
key "/etc/openvpn/easy-rsa/keys/server.key"
#tls-auth "/etc/openvpn/easy-rsa/keys/ta.key" 0
cipher AES-256-CBC # AES 256 bits

proto udp

port 1195
dev tun0

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key
persist-tun

client-to-client

push "route 10.50.0.0 255.255.255.0 10.50.0.5" 
push "route 10.10.1.0 255.0.0.0 10.50.0.5"

#route 10.50.0.0 255.255.255.0
#route 10.10.1.0 255.0.0.0
push "route-gateway 10.50.0.5"
push "redirect-gateway def1"
#push "dhcp-option DNS 8.8.8.8"
client-config-dir /etc/openvpn/ccd/

minzdravv
(06.06.16 14:39:02 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 14:39:02 MSK

Всё равно муть какая-то.

server 10.50.0.0 255.255.255.0

Внутренняя сеть openvpn, клиенты про нее и так знают.

push «route 10.50.0.0 255.255.255.0 10.50.0.5»

Сервер это и так в пуше отправит.

push «route 10.10.1.0 255.0.0.0 10.50.0.5»

Здесь зачем третий параметр?

И вишенкой на торте

push «route-gateway 10.50.0.5»
push «redirect-gateway def1»

Radjah ★★★★★
(06.06.16 14:50:23 MSK)

Ответ на: комментарий от Radjah 06.06.16 14:50:23 MSK

push «route 10.50.0.0 255.255.255.0 10.50.0.5»

это убрал

push «route 10.10.1.0 255.0.0.0»

Это поправил

push «route-gateway 10.50.0.5» #push «redirect-gateway def1» тут тоже убрал def1 итог - сети нет....

minzdravv
(06.06.16 15:05:19 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 15:05:19 MSK

Маршруты ты так и не запостил.

Radjah ★★★★★
(06.06.16 15:12:26 MSK)

Ответ на: комментарий от Radjah 06.06.16 15:12:26 MSK

я видимо совсем запутался уже: вот это разве не маршруты?

push «route 10.10.1.0 255.0.0.0»

route 10.50.0.0 255.255.255.0
route 10.10.1.0 255.0.0.0

minzdravv
(06.06.16 15:16:01 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 15:16:01 MSK

Ты ответы через один читаешь?

OpenVPN сервер (комментарий)

и выхлоп «route print» на клиенте.

Radjah ★★★★★
(06.06.16 15:52:42 MSK)

Ответ на: комментарий от Radjah 06.06.16 15:52:42 MSK

Читаю все, обновляю страницу редко. Вот route на клиенте:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.137.1   192.168.137.46     26
          0.0.0.0        128.0.0.0        10.50.0.5        10.50.0.6     21
        10.50.0.0    255.255.255.0        10.50.0.5        10.50.0.6     21
        10.50.0.1  255.255.255.255        10.50.0.5        10.50.0.6     21
        10.50.0.4  255.255.255.252         On-link         10.50.0.6    276
        10.50.0.6  255.255.255.255         On-link         10.50.0.6    276
        10.50.0.7  255.255.255.255         On-link         10.50.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0        10.50.0.5        10.50.0.6     21
    192.168.137.0    255.255.255.0         On-link    192.168.137.46    281
   192.168.137.46  255.255.255.255         On-link    192.168.137.46    281
  192.168.137.255  255.255.255.255         On-link    192.168.137.46    281
  XXX.XXX.XXX.XXX  255.255.255.255    192.168.137.1   192.168.137.46     26
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.137.46    281
        224.0.0.0        240.0.0.0         On-link         10.50.0.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.137.46    281
  255.255.255.255  255.255.255.255         On-link         10.50.0.6    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0         25.0.0.1  По умолчанию
          0.0.0.0          0.0.0.0         25.0.0.1  По умолчанию
          0.0.0.0          0.0.0.0         25.0.0.1  По умолчанию
===========================================================================

minzdravv
(06.06.16 15:56:44 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 15:56:44 MSK

все равно при трасе yandex идёт через 10.50. и через gate на сервере....(

minzdravv
(06.06.16 16:46:54 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 16:46:54 MSK

Тебе точно нужна маска сети /8 (255.0.0.0) для 10.10.1.0 ?
Тут скорее уместно /24 (255.255.255.0)

Deleted
(06.06.16 17:19:16 MSK)

Ссылка

Ответ на: комментарий от minzdravv 06.06.16 15:56:44 MSK

Тем более маршрутов для 10.10.1.0 я не вижу тут

Deleted
(06.06.16 17:20:43 MSK)

Ссылка

Ответ на: комментарий от minzdravv 06.06.16 15:56:44 MSK

route 10.10.1.0 255.0.0.0 не правильно, видимо поэтому и не добавляется, разберитесь с сеткой и маской.

anc ★★★★★
(06.06.16 17:58:47 MSK)

Ответ на: комментарий от anc 06.06.16 17:58:47 MSK

ca «/etc/openvpn/easy-rsa/keys/ca.crt» cert «/etc/openvpn/easy-rsa/keys/server.crt» dh «/etc/openvpn/easy-rsa/keys/dh1024.pem» key «/etc/openvpn/easy-rsa/keys/server.key» #tls-auth «/etc/openvpn/easy-rsa/keys/ta.key» 0 cipher AES-256-CBC # AES 256 bits

proto udp

port 1195 dev tun0

log-append /var/log/openvpn/openvpn.log status /var/log/openvpn/openvpn-status.log

server 10.50.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user _openvpn

group _openvpn

daemon openvpn

persist-key persist-tun

#client-to-client

push «route 10.50.0.0 255.255.255.0» push «route 10.10.1.0 255.255.255.0»

#route 10.50.0.0 255.255.255.0 #route 10.10.1.0 255.255.255.0 push «route-gateway 10.50.0.5» #push «redirect-gateway def1» #push «dhcp-option DNS 8.8.8.8» client-config-dir /etc/openvpn/ccd/

minzdravv
(06.06.16 18:08:47 MSK) автор топика

Ответ на: комментарий от minzdravv 06.06.16 18:08:47 MSK

Ну вот теперь должно работать. Если нет показывайте маршруты на клиенте и лог подключения с него (только www.linux.org.ru/help/lorcode.md используйте)

anc ★★★★★
(06.06.16 18:34:02 MSK)

Ответ на: комментарий от anc 06.06.16 18:34:02 MSK

Всем спасибо! Все заработало с последнем конфигом)

minzdravv
(07.06.16 11:22:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	клиент-серверная архитектура и netcat

Admin

Один домен два ip

→

Похожие темы