LINUX.ORG.RU
ФорумAdmin

Openvpn


0

0

Имеем 2 шлюза и 2 локальные сети за ними: сервер (192.168.1.0/24) и клиент (192.168.0.0/24), не могу добиться пинга чтобы компьютеры из одной локальной сети могли пинговать компьютеры другой. Пингуются адреса 10.8.0.1 10.8.0.6 и с клинетского шлюза внутренняя сеть сервера

Сервер

dev tun
proto udp
port 1194
daemon
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
route 192.168.0.0 255.255.255.0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/gw-s.crt
key /etc/openvpn/keys/gw-s.key
dh /etc/openvpn/keys/dh1024.pem
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log

Сервер Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
80.90.117.0     *               255.255.255.224 U     0      0        0 eth1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
default         x.x.x.x         0.0.0.0         UG    0      0        0 eth1

Клиент

client
dev tun
proto udp
remote a.b.c.d 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca ca.crt
cert /etc/openvpn/gw-c.crt
key /etc/openvpn/gw-c.key
log-append /var/log/openvpn.log
Клиент Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
82.138.44.32    *               255.255.255.248 U     0      0        0 eth1
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0
default         y.y.y.y         0.0.0.0         UG    0      0        0 eth1

В iptables добавил на клиенте и сервере

VPN_NET="10.8.0.0/24"

$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -i tun+ -j ACCEPT

$IPTABLES -A FORWARD -i tun+ -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $VPN_NET -j ACCEPT


Почему у тебя сервер получает ip 10.8.0.2 (хотя судя по ману должен получить 10.8.0.1), а на клиенте роут смотрит вообще на 10.8.0.5?

По-моему это ненормально ;)

zenith ★★★
()
Ответ на: комментарий от zenith

:) почему вы так решили

Сервер

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:336 (336.0 B)  TX bytes:1236 (1.2 KiB)

Клиент

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:336 (336.0 B)  TX bytes:336 (336.0 B)

Husky
() автор топика

Оба конца впна являются шлюзам для своих подсетей?

Добавь
$IPTABLES -A FORWARD -o tun+ -j ACCEPT

>$IPTABLES -A OUTPUT -p ALL -s $VPN_NET -j ACCEPT


не нужно (ибо бессмысленно)

nnz ★★★★
()

> 192.168.1.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0

Насколько я понял, шлюз-то у вас 10.8.0.1. А значит стучаться в 192.168.1.0 надо через него. 10.8.0.5, подозреваю, с клиента вообще не пингуется ;)

Deleted
()
Ответ на: комментарий от nnz

да это свои локальные подсети Насчет пингов: из лок.подсети сервера могу пинговать 10.8.0.1 и 10.8.0.6 с самого шлюза сервера тоже пингуются 10.8.0.1 и 10.8.0.6, на стороне клиента из.лок подсети пингую только 10.8.0.6 со шлюза 10.8.0.1 10.8.0.6 и локальную подсеть сервера

Husky
() автор топика
Ответ на: комментарий от Husky

Ну что, тогда давай полные конфиги фаерволов смотреть.
Включая клиентские.

nnz ★★★★
()

Вобщем если пингую из лок.сети клиента 10.8.0.1 или лок.сеть сервера получаю в логах на сервере следующую запись: MULTI: bad source address from client [192.168.0.105], packet dropped

Husky
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.