LINUX.ORG.RU
ФорумAdmin

Доступ с ovpn сервера в сеть клиента

 , ,


0

1

Всем привет. У меня не ходят пинги с debian, на которой openvpn сервер на клиент на роутере с tomatousb. Ну, верней не только пинги, вообще траффик не ходит с сервера на клиент. Клиент же ходит на некоторые хосты через сервер. Что я делаю не так?

Конфиг сервера:

port 27100
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 172.16.61.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-128-CBC   # AES
auth SHA512
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

Фаерволл на сервере пустой.

Конфиг клиента: 

daemon
client
dev tun11
proto udp
remote supermegavpnserver.net 27100
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo yes
cipher AES-128-CBC
route-nopull
verb 3
tls-auth static.key 1
ca ca.crt
cert client.crt
key client.key
status-version 2
status status
auth SHA512

Маршруты на клиенте прописаны статически, если это играет какую-то роль.

netfilter на клиенте:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N wanin
-N wanout
-A INPUT -i tun12 -j ACCEPT
-A INPUT -i tun11 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 5/sec -j ACCEPT
-A FORWARD -i tun12 -j ACCEPT
-A FORWARD -i tun11 -j ACCEPT
-A FORWARD -m account--aaddr 192.168.11.0/255.255.255.0 --aname lan 
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --rsource -j DROP
чем бы заменить miredo?
Автоматическое переключение на резервный канал для WEB сервера. (DNS)

Судя по iptables на клиенте куча интерфейсов. Вы уверены, что разрешили там нужные пакеты? Без описания схемы сети за вас на этот вопрос ответят только телепаты, но они в отпуску.

mky ★★★★★
()
Ответ на: комментарий от mky

tun11 - это как раз клиент ovpn, о котором идёт речь
tun12 - другой ovpn клиент, но с ним та же проблема
br0 - 4 lan-порта (это роутер)
vlan2 - это wan-порт

сервер - это vps с реальным ip и не настроенным пока что фаерволлом; клиент - это роутер за NAT'ом провайдера

на клиенте у меня вызывает непонимание вот это: 

tun11      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
           inet addr:172.16.61.14  P-t-P:172.16.61.13  Mask:255.255.255.255
а конкретно маска

tommytnt
() автор топика
Последнее исправление: tommytnt (всего исправлений: 2)

На сервере должен быть конфиг для клиента (в ccd который) с iroute'ами тех сетей, которые доступны за клиентом.

Deleted
()
Ответ на: комментарий от tommytnt

Интерфейс типа P-t-P (точка-точка), маска смысла/значения не имеет, команда ″ip addr″ вобще не выводит маску для таких интерфейсов.

не ходят пинги с debian, на которой openvpn сервер на клиент

С сервера не ходит пинг на 172.16.61.14?

mky ★★★★★
()
Ответ на: комментарий от mky

На сервере должен быть конфиг для клиента (в ccd который) с iroute'ами тех сетей, которые доступны за клиентом.

это нужно, если мне за клиент ходить не надо, а только на сам клиент?

С сервера не ходит пинг на 172.16.61.14?

нет, увы

tommytnt
() автор топика
Ответ на: комментарий от tommytnt

Нет, не нужен. Не распарсил на ночь глядя, читая ОП пост.

Запусти tcpdump -i tun<что-там-у-тебя> icmp на обоих хостах и попингуй. И посмотри долетают ли пакеты до клиента.

Deleted
()
Ответ на: комментарий от tommytnt

Попробуйте запустить пинг одновременном и с клиента и с сервера, может у провайдера на udp время жизни записи в NAT-таблице всего 5 секунд.

mky ★★★★★
()
Ответ на: комментарий от Deleted

Пинг сервер - клиент:

tcpdump: listening on tun11, link-type RAW (Raw IP), capture size 262144 bytes 20:40:40.029134 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 172.16.61.1 > 172.16.61.6: ICMP echo request, id 20420, seq 1, length 64 ~ 9 packets captured 9 packets received by filter 0 packets dropped by kernel

Обратно - тишина. Как я понял - из-за этого я не получаю ответов на пинг сервер-клиент, но причину всего этого всё равно пока не понял.

Попробуйте запустить пинг одновременном и с клиента и с сервера, может у провайдера на udp время жизни записи в NAT-таблице всего 5 секунд.

Попробовал, но никакого результата не увидел

tommytnt
() автор топика
Последнее исправление: tommytnt (всего исправлений: 1)
Ответ на: комментарий от tommytnt

А с клиента на сервер пинг идет?

172.16.61.1 > 172.16.61.6

Выше был 172.16.61.14, он поменялся, или ты не то пингуешь?

Deleted
()
Ответ на: комментарий от Deleted

Я слегка пару десятков раз перезагружал сервер, в поисках проблемы в конфиге сервере - вот ip и сменился.

tommytnt
() автор топика
Ответ на: комментарий от Deleted

Не идут, в tcp также никакой активности не видно, когда пингую

tommytnt
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
чем бы заменить miredo?
Admin
Автоматическое переключение на резервный канал для WEB сервера. (DNS)