LINUX.ORG.RU
ФорумAdmin

OpenVPN отсутствует шлюз по умолчанию у клиентов

 


0

2

Крик души о помощи. Я чайник, гугл мой помощник и путеводитель) На данный момент настроил сервер, интернет есть, не тормозит вроде и всё гуд, но. Шлюза нет. Задачи vpn вполне просты - выходить через него в интернет и чтобы клиенты могли между собой спокойно общаться в локальной сети vpn. Centos7 minimal, кроме ovpn ничего не установлено. Установил subnet /24, но и с /30 шлюз не прописывается на windows 10. Что мне надо сделать то?Днс прописывается, а шлюз нет.И да, дома все через микротик роутер, винда через wifi, маршруты от провайдера как раз вроде с 0.0.0.0/24, что-то гуглил вроде про это. Firewalld:ipv4/ip_forward включён, tun0 в зоне trusted, firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 -o eth0 -j MASQUERADE
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i tun0 -o eth0 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Вот конфиг:
;local a.b.c.d
port 1194
proto tcp4
dev tun
ca /etc/openvpn/keys-server/ca.crt
cert /etc/openvpn/keys-server/server.crt
key /etc/openvpn/keys-server/server.key # Этот файл необходимо хранить в секрете
dh /etc/openvpn/keys-server/dh.pem
topology subnet
server 10.20.30.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 1.1.1.1»
client-to-client
;duplicate-cn
keepalive 300 900
tls-auth /etc/openvpn/keys-server/ta.key 0
cipher AES-256-CBC
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
;mute 20
topology subnet
;explicit-exit-notify 1 # udp only
# Custom
;txqueuelen 10000 # размер буфера передачи
mssfix 0

Настройки клиента аналогично этому конфигу без излишеств.
client
dev tun
proto tcp
remote 0.0.0.0 1194
resolv-retry infinite
nobind
# Устранение привилегий после инициализации (кроме Windows клиентов)
;user nobody
;group nobody
persist-key
persist-tun
mute-replay-warnings
# Исключение возможности mitm-атак, путем проверки серверных сертификатов.
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
###Другие настройки.###
# Запретить кэшировать пароли в памяти.
auth-nocache
# Сообщить клиенту о перезагрузке сервера, чтобы он смог автоматически повторно
# пдключиться. Важно! Только для режима: proto udp. 1 количество пакетов об отключении.
# Также необходимо добавить в конфиг сервера.
;explicit-exit-notify 1
# Фиксация размера MTU для маскировки использования VPN.
mssfix 0

Пробовал гуглить, пробовал разные вариации гетвея, но толку ноль или я туплю. Помогите пожалуйста! Также не могу понять как бегают пакетики без шлюза? Видимо он где-то есть, но где?!



Последнее исправление: AlexandrWelcome (всего исправлений: 10)

По идее, этой строки достаточно, чтобы у клиентов маршрут по умолчанию завернуть в туннель:

push «redirect-gateway def1 bypass-dhcp»

Приведите таблицы маршрутизации на клиенте до поднятия туннеля и после.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Так я и говорю, что push «redirect-gateway def1 bypass-dhcp» работает, а как бы я иначе ходил в интернет через ovpn. По маршрутам позже выложу, ей богу голова болит. С маршрутами тоже как-то трудно. Всё ходит через микротик 951, на нем вполне стандартное все за исключением редиректа днс 53 портов (шоб всякие ведрофоны знали место), фикс ttl построутинга и прероутинга, и из-за него на Винде traceroute считай не пашет, кажет маршрут от локального ip винды и прямиком к целевому ip. Позже выложу как выключу все фиксы микрота. Вот ещё чего. Ovpn выдает dhcp вида 10.20.30.254. Может все дело из-за микротика? Также до этого выходил с клиента микротика,но тогда юзал без субнета, смотрел роуты, вроде все было на месте.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

Так я и говорю, что push «redirect-gateway def1 bypass-dhcp» работает, а как бы я иначе ходил в интернет через ovpn.

Хм, тогда еще раз сформулируйте, пожалуйста, что Вы хотите получить.

Serge10 ★★★★★
()

для микротика кошернее использовать l2tp. Те настраиваешь l2tp клиент на микротике

Jopich1
()

Также не могу понять как бегают пакетики без шлюза? Видимо он где-то есть, но где?

У вас только в этом вопрос? Все работает но не пойму как?

anc ★★★★★
()
Ответ на: комментарий от Serge10

Формулирую. тыц раз тыц два

Сама формулировка: надо нормально чтобы прописывался шлюз ибо через такой костыль скорее всего не будет работать общение компов в локальной сети. ОС не видит нормально шлюз и соответственно как будут общаться клиенты я без понятия.Пробовал в ручную прописывать 10.20.30.1, винда наконец дала выбрать режим частной сети и тырнет при этом не отвалился, но это до следующего подключения впн. При переподключении винда больше не получает адрес при прописанном шлюзе. Вот трассировка как и обещал.

Трассировка маршрута к yandex.ru [5.255.255.80]
с максимальным числом прыжков 30:

1 2 ms 2 ms 3 ms 10.20.30.1
2 3 ms 3 ms 11 ms 10.77.77.2
3 13 ms 4 ms 17 ms 185.188.180.73
4 4 ms 6 ms 5 ms ae29-363.rt.mr.msk.ru.retn.net [87.245.228.33]
5 4 ms 7 ms 4 ms gw-yandex.retn.net [87.245.253.122]
6 8 ms 5 ms 5 ms m9-p2-eth-trunk4.yndx.net [213.180.213.11]
7 12 ms 8 ms 12 ms vla1-e1-ae92.yndx.net [87.250.239.69]
8 * * * Превышен интервал ожидания для запроса.
9 13 ms 8 ms 11 ms vla1-1d4-eth-trunk14-1.yndx.net [87.250.239.153]
10 13 ms 18 ms 22 ms 10.2.4.1
11 10 ms 7 ms 7 ms yandex.ru [5.255.255.80]

Трассировка маршрута к google.ru [74.125.131.94] с максимальным числом прыжков 30:

1 3 ms 4 ms 3 ms 10.20.30.1
2 3 ms 3 ms 3 ms 10.77.77.2
3 3 ms 3 ms 3 ms 185.188.180.73
4 4 ms 5 ms 8 ms 212.8.232.225
5 4 ms 5 ms 6 ms 37.29.23.121
6 8 ms 8 ms 5 ms 188.170.162.10
7 29 ms 4 ms 4 ms 108.170.250.144
8 24 ms 24 ms 19 ms 66.249.95.241
9 20 ms 20 ms 17 ms 209.85.240.142
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.
12 * * * Превышен интервал ожидания для запроса.
13 * * * Превышен интервал ожидания для запроса.
14 * * * Превышен интервал ожидания для запроса.
15 * * * Превышен интервал ожидания для запроса.
16 * * * Превышен интервал ожидания для запроса.
17 * * * Превышен интервал ожидания для запроса.
18 * * * Превышен интервал ожидания для запроса.
19 19 ms 17 ms 17 ms lu-in-f94.1e100.net [74.125.131.94]

Чего тут не так? Про микротик и l2tp и не говорите, микрот годен ток по сути для простой маршрутизации, для туннелирования и прочего он не гуд, а с ovpn так ваще скорость не выше 20 мб.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

Mon Oct 08 22:59:43 2018 C:\Windows\system32\route.exe ADD 10.20.30.0 MASK 255.255.255.0 10.20.30.1
Вот и не понимаю почему не прописывается шлюз да и превышен интервал при tracert.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

IPv4 таблица маршрута =========================================================================== Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.253 50
0.0.0.0 128.0.0.0 10.20.30.1 10.20.30.2 291
10.20.30.0 255.255.255.0 On-link 10.20.30.2 291
10.20.30.0 255.255.255.0 10.20.30.1 10.20.30.2 291
10.20.30.2 255.255.255.255 On-link 10.20.30.2 291
10.20.30.255 255.255.255.255 On-link 10.20.30.2 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.20.30.1 10.20.30.2 291
ipv4 ovpn внешний 255.255.255.255 192.168.0.1 192.168.0.253 306
192.168.0.0 255.255.255.0 On-link 192.168.0.253 306
192.168.0.253 255.255.255.255 On-link 192.168.0.253 306
192.168.0.255 255.255.255.255 On-link 192.168.0.253 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.0.253 306
224.0.0.0 240.0.0.0 On-link 10.20.30.2 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.0.253 306
255.255.255.255 255.255.255.255 On-link 10.20.30.2 291
===========================================================================
Постоянные маршруты отсутствуют.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

Проверил пинг между двумя клиентами (винда и андроид), пинг проходит отлично. Может я чего не понимаю? Объясните плиз чайнику.Мне главное чтобы винда 10 нормально коннектилась по локалке с клиентами остальными.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

0.0.0.0 185.17.3.1 0.0.0.0 UG 0 0 0 eth0
10.20.30.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
XX.XX.XX.X 0.0.0.0 255.255.255.0 U 0 0 0 eth0
А теперь помощь зала в установке вместо нулей 10.20.30.1 дабы так наверное правильнее.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

Может я чего не понимаю?

Это особенность OpenVPN. Там весь интернет делится на две половины и для каждой прописывается шлюз. Поэтому все работает. Подробнее можете здесь посмотреть.

Вашей проблемы я по-прежнему не понимаю. Если все работает, зачем что-то менять? Если что-то не работает, сформулируйте, пожалуйста, проблему конкретнее.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Дык спс за помощь, но работает всё конечно, но вот винда 10 видит как неопознанная сеть (скрины в шапке смотрим) vpn, отсюда и вопрос. Да и не совсем понял про какие половины вы говорите.

Как мне получить доступ к другому компу в сети впн 10.20.30.0/24? Имеем к примеру первого клиента с ip 10.20.30.2 и второго клиента с ip 10.20.30.3. Шлюза нету. Неопознанная сеть! Я не могу добавить сеть в частные/общественные сети, не могу что-то расшарить и тд. Понимаю, что без шлюза была бы беда и он есть, но почему не прописывается на винде. Если прописать шлюз вручную, то впн работает, но при повторном подключении с уже прописанным шлюзом и ip соответственно не подключается. Заметьте, не я один такой чайник с подобной тематикой на форуме. В одной теме несколько страниц подобной проблемы шлюза, но решения так и нет, правда у чела там ещё ко всему разные сети, у меня же проще, у меня одна 10.20.30.0/24. Ну или дайте мануал доступный плиз чтобы я понял здравый смысл отсутствия шлюза по умолчанию. Ей богу не могу догнать.

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

Tue Oct 09 15:18:12 2018 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Tue Oct 09 15:18:12 2018 C:\Windows\system32\route.exe ADD XX.XX.XX.XX (IP сервера) MASK 255.255.255.255 192.168.0.1
Tue Oct 09 15:18:12 2018 Route addition via service succeeded
Tue Oct 09 15:18:12 2018 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.20.30.1
Tue Oct 09 15:18:12 2018 Route addition via service succeeded
Tue Oct 09 15:18:12 2018 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.20.30.1
Tue Oct 09 15:18:12 2018 Route addition via service succeeded
Tue Oct 09 15:18:12 2018 Initialization Sequence Completed
Tue Oct 09 15:18:12 2018 MANAGEMENT: >STATE:1539087492,CONNECTED,SUCCESS,10.20.30.2,XX.XX.XX.XX,1194,192.168.0.250,52783
192.168.0.0/24 микротик. Из лога клиента ovpn. То есть ovpn тупо выдаёт маршрут к 10.20.30.1 я так понимаю и всё естественно работает, но можно ли заставить выдавать сам шлюз?

AlexandrWelcome
() автор топика
Ответ на: комментарий от AlexandrWelcome

Все у вас есть. Вам выше даже ссылку дали на мое же объяснение.
Вот эти две строчки и есть ваш маршрут по умолчанию.

0.0.0.0 128.0.0.0 10.20.30.1 10.20.30.2 291
128.0.0.0 128.0.0.0 10.20.30.1 10.20.30.2 291

anc ★★★★★
()
Ответ на: комментарий от anc

Все у вас есть.

Вопрос только в том, если у него в этом толк? Ведь у 0/0 у него метрика 50, а у этих строчек - 291.

vodz ★★★★★
()
Ответ на: комментарий от anc

Да, я уже хотел удалить, но не успел. Протормозил.

Что они хотят этими конкретными значениями метрики сказать — не понятно.

vodz ★★★★★
()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

Что они хотят этими конкретными значениями метрики сказать — не понятно.

Да не все ли равно? Я думаю вы же себе не парите мозг от дистра к дистру и настроек почему именно такая метрика по умолчанию?

anc ★★★★★
()
Ответ на: комментарий от vodz

Как не парить, когда стоит именно 291. Не 250 и не 300.

Ну вот так в мс решили всякие 331,306, 291... работе это разве мешает?
И вот например у меня на слаке стоит 203, тоже не очень ровное чисилко. Брат жив.

anc ★★★★★
()
Ответ на: комментарий от vodz

Это точно не openvpn такие ставит?

Не, не он, про слаку не пояснил у меня вообще на интерфейсе (обычном) такая метрика, причем только на одном из трех. eth0, eth1 - ноль, eth2 - 203.
Пока вы не акцентировали внимание, даже и не думал смотреть это :)
И второй вариант на другой слаке посмотрел там единственный интерфейс (eth0) в бридже, тоже 203 метрика, ovpn там и не пахнет.

brctl show
bridge name	bridge id		STP enabled	interfaces
br0		8000.52540054258d	no		eth0

ip r s
default via 172.19.0.1 dev br0  metric 203
127.0.0.0/8 dev lo  scope link
172.19.0.0/24 dev br0  proto kernel  scope link  src 172.19.0.41  metric 203

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Хм. У меня же тоже слаки кругом. Какая версия? На 14.0-14.2 только у dummy нашел метрику 20, дефолт — 1, остальное, в том числе бриджи — 0.

vodz ★★★★★
()
Ответ на: комментарий от vodz

И если говорить про второй вариант, там все тупо из каробки в rc.inet1.conf прописано.

IFNAME[0]="br0"
BRNICS[0]="eth0"
IPADDR[0]=""
NETMASK[0]=""
USE_DHCP[0]="yes"
В первом правда тоже, там интерфейсы eth1 и eth2 все по dhcp получают. Даже сами сетевки и то одинаковые. Т.е. никаких извратов с моей стороны нет.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.