LINUX.ORG.RU
ФорумAdmin

Настройка сервера OpenVPN

 , ,


1

1

Доброго времени. Прошу сильно не пинайте, если что не так. Сразу скажу, что только знакомлюсь с Linux и ещё меньше имею представление о маршрутизации трафика. Смысл задачи такой - клиент 2 должен получить доступ к компам в офисе, обращаясь к ним по их адресам 192.168.137.*. На машинке с CentOS поднят OpenVPN сервер. Вот конфиг:

push "route 192.168.137.0 255.255.255.0" # передаем маршрут клиентам

ifconfig-pool-persist ipp.txt # файл с записями соответствий clinet - ip
client-to-client # позволяет клиентам openvpn подключаться друг к другу
client-config-dir /etc/openvpn/ccd # директория с индивидуальными настройками кл                                         иентов

keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

интерфейсы CentOS:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:e5:b6:f9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.137.116/24 brd 192.168.137.255 scope global noprefixroute ens192
       valid_lft forever preferred_lft forever
    inet6 fe80::83d7:53c5:f8a:e5b1/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.0.0.1 peer 10.0.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::5282:af60:8238:482d/64 scope link flags 800
       valid_lft forever preferred_lft forever

При подключении клиентом, машинка с CentOS пингуется по адресу сети VPN - 10.0.0.1, но вот по адресу 192.168.137.116 не видна. Вот маршруты у клиента:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.8.1    192.168.8.105     55
         10.0.0.0    255.255.255.0         10.0.0.5         10.0.0.6    291
         10.0.0.4  255.255.255.252         On-link          10.0.0.6    291
         10.0.0.6  255.255.255.255         On-link          10.0.0.6    291
         10.0.0.7  255.255.255.255         On-link          10.0.0.6    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.8.0    255.255.255.0         On-link     192.168.8.105    311
    192.168.8.105  255.255.255.255         On-link     192.168.8.105    311
    192.168.8.255  255.255.255.255         On-link     192.168.8.105    311
     192.168.14.0    255.255.255.0         On-link      192.168.14.1    291
     192.168.14.1  255.255.255.255         On-link      192.168.14.1    291
   192.168.14.255  255.255.255.255         On-link      192.168.14.1    291
    192.168.137.0    255.255.255.0         10.0.0.5         10.0.0.6    291
    192.168.146.0    255.255.255.0         On-link     192.168.146.1    291
    192.168.146.1  255.255.255.255         On-link     192.168.146.1    291
  192.168.146.255  255.255.255.255         On-link     192.168.146.1    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.8.105    311
        224.0.0.0        240.0.0.0         On-link      192.168.14.1    291
        224.0.0.0        240.0.0.0         On-link     192.168.146.1    291
        224.0.0.0        240.0.0.0         On-link          10.0.0.6    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.8.105    311
  255.255.255.255  255.255.255.255         On-link      192.168.14.1    291
  255.255.255.255  255.255.255.255         On-link     192.168.146.1    291
  255.255.255.255  255.255.255.255         On-link          10.0.0.6    291


Последнее исправление: chumanoid (всего исправлений: 3)
nginx geo ip
Борьба с ботами
Ответ на: комментарий от Anoxemian

добавил описание

добавил описание того, что есть. Да, CentOS стоит firewalld. Хотелось бы под него всё настроить, но для начала можно и iptables настроить. Главное бы чтоб тема заработала, а остальное докручу со временем. какая ещё нужна информация?

chumanoid
() автор топика
Ответ на: добавил описание от chumanoid

убери client-to-client и смотри на iptables правила на сервере на предмет прохождения между интерфейсами ens192 и tun0. скорее всего там дроп на FORWARD. Ну а потом смотри в сторону nat для маскиповки 10.0.0.0 в 192.168... чтобы не только с сервером но и с другими клиентами общаться.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Вот тут становится совсем не понятно.

сейчас iptables нет, есть firewalld. я ни с тем ни с другим не знаком, только начинаю. Если не затруднит, напишите команды, что сделать. я здесь Вам предоставлю вывод, и под Вашим руководством настрою всё. Сейчас мне надо установить iptables, правильно я понял?

chumanoid
() автор топика
Ответ на: комментарий от Anoxemian 
echo 1 > /proc/sys/net/ipv4/ip_forward firewall-cmd --zone=trusted --add-interface=tun0 --permanent

Уже было сделано.

Убрал

client-to-client

и всё заработало. Огромное спасибо! Я не безнадежен :)

chumanoid
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
nginx geo ip
Admin
Борьба с ботами