LINUX.ORG.RU
ФорумAdmin

Openvpn wan & lan на одном интерфейсе.

 ,


0

1

Добрый день. На клиенте один физический интерфейс.

allow-hotplug enp4s0 iface enp4s0 inet dhcp

Адрес по dhcp - 192.168.1.12 Так-же поднят туннель ovpn. Адрес клиента ovpn- 10.8.0.2

Туннель поднят, клиенты между собой пингуются. Но сетка за клиентом(192.168.1.0) не видна. С сервера максимум что пингуется 192.168.1.12.

net.ipv4.ip_forward=1 тоже прописано.

Какое правило iptables надо, что-бы пакеты шли дальше в локалку 192.168.1.0 ?

Спасибо



Последнее исправление: dedulka (всего исправлений: 1)
VPS намертво зависает и запускается systemd-coredump.
может кто запихивал инфу из fluentd в postgres?
Ответ на: комментарий от anonymous

Знаю)

Поэтому и спросил , как пакеты через iptables закрутить

dedulka
() автор топика

Какое правило iptables надо, что-бы пакеты шли дальше в локалку 192.168.1.0 ?

Разрешающее :)

Но нужно обедиться, что у клиентов есть маршрут в вашу сеть 192.168.1.0/24.

Убедиться, на всякий случай, что NAT не применяется к пакетам в/из туннеля.

На сервере push "route 192.168.1.0 255.255.255.0" для клиента делается как-нибудь ?

vel ★★★★★
()
Ответ на: комментарий от vel

Даже ради эксперимента отключил iptables

dedulka
() автор топика

На клиенте один физический интерфейс.

При поднятии туннеля у Вас должен был появиться на клиенте еще один интерфейс - tun0 или tab0, в зависимости от настроек.

Какое правило iptables надо, что-бы пакеты шли дальше в локалку 192.168.1.0

Начитать надо не с iptables, а с таблиц маршрутизации. Приведите, пожалуйста, вывод команды ip route с сервера и с клиента.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Интерфейс tun

С сервера роуты

default via x.x.x.1 dev enp8s0f1 onlink
192.168.1.0/24 via 10.8.0.2 dev tun0
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1

С клиента

default via 192.168.1.1 dev enp4s0
192.168.1.0/24 dev enp4s0 proto kernel scope link src 192.168.1.12
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.15
dedulka
() автор топика
Ответ на: комментарий от dedulka

Понятно. Если Вы хотите, чтобы сеть 192.168.1.0/24 была доступна из сети 10.8.0.0/24, у Вас есть три варианта. Первый - прописать маршрут на шлюзе по умолчанию (192.168.1.1) для сети 192.168.1.0/24:

route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.12

Второй вариант - прописать этот маршрут в настройках dhcp-сервера, чтобы он раздавал их клиентам.

Ну и третий - вручную прописать этот маршрут на тех машинах из сети 192.168.1.0/24, которым нужен доступ в сеть 10.8.0.0/24.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Всё верно. Только в первом варианте не забыть про разрешение редиректа роута, хотя оно обычно по умолчанию включено.

anc ★★★★★
()
Ответ на: комментарий от dedulka

сервер: 192.168.1.0/24 via 10.8.0.2 dev tun0

клиент: 10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.15

кто-то кого-то обманывает

На клиенте iptables пустой ?

vel ★★★★★
()
Ответ на: комментарий от vel

При всем огромном уважении к вам. Но там все верно. Это tun а не tap

сервер: 192.168.1.0/24 via 10.8.0.2 dev tun0

Роутит на ovpn сервер, точнее девайс. «Радости» в виде кому отдать прописываются в ccd клиента, но ТС написал что уже есть.

клиент: 10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.15

А это уже клиентский IP он может быть какой угодно.

anc ★★★★★
()

Может стоит поднять виртуальный интерфейс? enp4s0:1 И пробовать завернуть туда пакеты?

dedulka
() автор топика
Ответ на: комментарий от anc

Меня это бесит в openvpn! интерфейс P2P и шлюз есть!

Я конечно понимаю, что это для «совместимости» с убогими оффтопиками, но все равно бесит!

vel ★★★★★
()
Ответ на: комментарий от dedulka

Может стоит поднять виртуальный интерфейс? enp4s0:1

С какой радости дополнительный адрес на интерфейсе стал виртуальным интерфейсом ?

У тебя на клиенте точно net.ipv4.ip_forward=1 ?

Раз клинент тебе отвечает с адреса 192.168.1.12 значит маршрут в одну сторону есть. 

default via 192.168.1.1 dev enp4s0
192.168.1.0/24 dev enp4s0 proto kernel scope link src 192.168.1.12
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.15
На клиенте тоже есть.

Но вот на соседних хостах 192.168.1.0/24 про 10.8.0.0/24 судя по всему никто не знает.

Геморрой с несколькими шлюзами в клиентской сети ты себе создал.

Если бы клиент openvpn был бы поднят на роутете 192.168.1.1, то такой проблемы небыло бы!

Есть несколько вариантов решения этой проблемы в зависимости от требований и умений.

vel ★★★★★
()
Ответ на: комментарий от vel

Но вот на соседних хостах 192.168.1.0/24 про 10.8.0.0/24 судя по всему никто не знает.

Согласен. Это и есть вся проблема. Хост из 192.168.1.0/24 не знает куда ему ответить и отвечает серез маршрут по умолчанию - 192.168.1.1, а это не есть адрес клиента.

Serge10 уже все сказал:

Второй вариант - прописать этот маршрут в настройках dhcp-сервера, чтобы он раздавал их клиентам.

Ну и третий - вручную прописать этот маршрут на тех машинах из сети 192.168.1.0/24, которым нужен доступ в сеть 10.8.0.0/24.

зы: 2ТС iptables тут вообще не причем, если он ничего не режет. Форвардинг включен и все. Дальше вопрос маршрутизации

samson ★★
()
Ответ на: комментарий от anc

Проичем тут это? Хосты из сети 192.168.1.0/24 знают, куда им ответать (это скорее всего к ТС вопрос))?

samson ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
VPS намертво зависает и запускается systemd-coredump.
Admin
может кто запихивал инфу из fluentd в postgres?