OpenVPN маршрутизация во внутреннюю сеть

0

1

Всем доброго времени суток!

есть офис с сеткой и серваками 10.11.201.0 /24 Там же сидит офисный планктон и юзает файловый сервер 10.11.201.2 Люди хотят из дома иметь к нему доступ

Что сделано поднята ubuntu 20.04 serv 10.11.201.234 и на ней OpenVPN, все пробросы через роутер сделаны и собственно SSH и Сам Open VPN подымается соединяется но вот беда в сетку ходу нет

Ранее я проворачивал такой трюк, но там сам сервер стоял в место роутера ( физически два интерфейса, один в инет другой в локалку), тут же интерфейс один и седит он за роутером в той же сети где и все

А сейчас у меня ни клиент клиента не видит, ни кого из внутренней сетки… в толк взять не могу где туплю…

Конфиг сервера :

port 3888
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  
dh none
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
server-bridge 10.11.201.234 255.255.255.0 10.11.201.200 10.11.201.233
push "route 10.11.201.0 255.255.255.0"
client-to-client
keepalive 10 120
tls-crypt ta.key
cipher AES-256-GCM
auth SHA256
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

конфиг клиента:

client
dev tun
remote xx.xxx.xx.xx 3888
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
key-direction 1
verb 3
<ca>
</ca>
<cert>
</cert>
<key>
</key>
<tls-crypt>
</tls-crypt>

естественно сертификаты удалил…

а еще в логах клиента меня взволновал вот такой момент :

2022-09-06 09:30:05 TUN: Setting IPv4 mtu failed:   .   [status=5 if_index=8]
2022-09-06 09:30:10 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
2022-09-06 09:30:10 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
2022-09-06 09:30:10 ROUTE: route addition failed using CreateIpForwardEntry:   .   [status=5 if_index=8]
2022-09-06 09:30:10 Route addition via IPAPI failed [adaptive]
2022-09-06 09:30:10 Route addition fallback to route.exe
2022-09-06 09:30:10 env_block: add PATH=C:\WINDOWS\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
2022-09-06 09:30:10 ERROR: Windows route add command failed [adaptive]: returned error code 1
2022-09-06 09:30:10 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2022-09-06 09:30:10 Initialization Sequence Completed

В связи с чем у меня вопрос, где я напортачил ?

Перемещено hobbit из general

Ссылка

←	Вывод содержимого файла в RouterOS

Скорость i/o падает в ноль во время проверки RAID6

→

Мощно. А ты, надо полагать, администратор?

Anoxemian ★★★★★
(06.09.22 02:52:30 MSK)

Ответ на: комментарий от Anoxemian 06.09.22 02:52:30 MSK

Программист, но немного смыслю , по крайней мере я так думал :(

Fastereus
(06.09.22 04:32:52 MSK) автор топика

Ссылка

скорее всего в сети 10.11.201.0/24 нет маршрутов в сеть 10.8.0.0/24 и все ответные пакеты улетают на шлюз по умолчанию, который тоже не знает про сеть 10.8.0.0/24.

vel ★★★★★
(06.09.22 10:00:20 MSK)

Ссылка

Очевидно что опенвпн на клиенте запущен без прав администратора, не? В смысле даже если акк юзера админский то консольку в которой пускаешь опенвпн надо открывать через «запустить с правами администратора»

no-dashi-v2 ★★★
(06.09.22 11:14:17 MSK)

Ответ на: комментарий от no-dashi-v2 06.09.22 11:14:17 MSK

Очевидно что опенвпн на клиенте запущен без прав администратора, не? В смысле даже если акк юзера админский то консольку в которой пускаешь опенвпн надо открывать через «запустить с правами администратора»

Вы про клиента на винде? Даже если с винды у меня с клиента W10 не надо так пускать.

alex_sim ★★★★
(06.09.22 11:21:13 MSK)

Ответ на: комментарий от alex_sim 06.09.22 11:21:13 MSK

Проблема с раутом как раз и решается как я написал. Для проверки можешь попробовать запустить route add из обычно запущенного cmd и из специально запущенного. В первом случае аццесс денаед, во втором работает

no-dashi-v2 ★★★
(06.09.22 18:57:57 MSK)

Ответ на: комментарий от no-dashi-v2 06.09.22 18:57:57 MSK

Опять за рыбу деньги! Нет ответа на мой уже вопрос.

Вы про клиента на винде?

а как думаешь для чего в конфиге сервера TS, линуксового обрати внимание, есть такая строка?

push "route 10.11.201.0 255.255.255.0"

Это и есть команда виндовому или какому другому клиенту поднять маршрут. А если я OpenVPN клиента запущу на Андроиде? Твой совет тоже работает? Никаких запусков Openvpn на клиенте от Администратора не надо делать висит и висит от в систрее по поры, у меня не одни виндовый клиент (пользователь) ничего такого не делает, ни на W7 ни на W10, вот мне еще учить пользователя запускать что то от Админа и поднимать руками маршруты. Не царское это дело.

Для проверки можешь попробовать запустить route add из обычно запущенного cmd и из специально запущенного.

Не учите дедушку кашлять! Капитан очевидность, это давно известно и понятно, но тут вроде как про другое речь идет. Мы тут обычно не обсуждаем фичи Винды, линуксовая конфа как никак. Ну если шлюз где то, виндовый то твой совет не будет лишним, но повторюсь конфа линуксовая.

alex_sim ★★★★
(07.09.22 07:40:19 MSK)

Ответ на: комментарий от alex_sim 07.09.22 07:40:19 MSK

Логи посмотри в стартовом посте. Там буквами по фону написано что не добавляется маршрут на клиенте. Сервер что надо уже отправил но клиент не смог. Клиента и надо лечить

no-dashi-v2 ★★★
(07.09.22 09:58:18 MSK)
Последнее исправление: no-dashi-v2 07.09.22 09:59:13 MSK (всего исправлений: 1)

Ответ на: комментарий от no-dashi-v2 07.09.22 09:58:18 MSK

Логи посмотри в стартовом посте. Там буквами по фону написано что не добавляется маршрут на клиенте. Сервер что надо уже отправил но клиент не смог. Клиента и надо лечить

мало ли почему клиент не смог поднять маршрут. Но руками запускать cmd от админа и запускать route add…. это шутка такая от админа? Ни один мой клиент W7-10 + планшеты Андроид, не делает этого, это выше возможностей моих пользователей. :)))) Тебе повезло с пользователями.

Ладно, останемся каждый за своим.

мой лог клиента:

Wed Sep 07 12:18:26 2022 C:\Windows\system32\route.exe ADD 172.16.1.0 MASK 255.255.255.0 10.8.0.1
Wed Sep 07 12:18:26 2022 Route addition via service succeeded

сравни что у TS написано

cmd не пускал от админа и маршрут руками не создавал. А это у пользователя, разницу видишь?!?

2022-09-06 09:30:10 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5

alex_sim ★★★★
(07.09.22 10:22:33 MSK)
Последнее исправление: alex_sim 07.09.22 10:29:04 MSK (всего исправлений: 3)

Ссылка

погляди на мое поднятие маршрута, а у тебя?

2022-09-06 09:30:10 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5

хост 10.8.0.1 искать на интерфейсе 10.8.0.5, а тебе же надо 201 сетку

push "route 10.11.201.0 255.255.255.0"

alex_sim ★★★★
(07.09.22 10:34:06 MSK)

Ссылка

Ответ на: комментарий от no-dashi-v2 07.09.22 09:58:18 MSK

OpenVPN маршрутизация во внутреннюю сеть (комментарий)

ну и кто виноват? клиент или сервер криво настроен?

alex_sim ★★★★
(07.09.22 10:35:39 MSK)

Ответ на: комментарий от alex_sim 07.09.22 10:35:39 MSK

Маршрут на 10.8.0.1/32 через 10.8.0.5 это штатный маршрут на виртуальный адрес сервера через клиентский точка-точка. Из за его неподнятия не поднимается и на 10.11.201.0/24 который как раз и заправился бы через 10.8.0.1. Так что проблемы на клиенте, да

no-dashi-v2 ★★★
(07.09.22 11:22:47 MSK)
Последнее исправление: no-dashi-v2 07.09.22 11:23:21 MSK (всего исправлений: 1)

Для добавления маршрутов нужны права администратора. Не помню с какой версии началось, но в Windows добавляется отдельная группа, в которую нужно добавить пользователя, чтобы он мог добавлять маршруты, если он не админ. Посмотри какие группы есть в Windows.

Чтобы сеть компании видела ВПН клиентов на шлюзе компании нужно прописать маршрут до VPN сети через 234 IP адрес. А на Ubuntu разрешить forwarding пакетов.

kostik87 ★★★★★
(07.09.22 11:44:47 MSK)