Openvpn

0

0

Имеем 2 шлюза и 2 локальные сети за ними: сервер (192.168.1.0/24) и клиент (192.168.0.0/24), не могу добиться пинга чтобы компьютеры из одной локальной сети могли пинговать компьютеры другой. Пингуются адреса 10.8.0.1 10.8.0.6 и с клинетского шлюза внутренняя сеть сервера

Сервер

dev tun
proto udp
port 1194
daemon
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
route 192.168.0.0 255.255.255.0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/gw-s.crt
key /etc/openvpn/keys/gw-s.key
dh /etc/openvpn/keys/dh1024.pem
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log

Сервер Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
80.90.117.0     *               255.255.255.224 U     0      0        0 eth1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
default         x.x.x.x         0.0.0.0         UG    0      0        0 eth1

Клиент

client
dev tun
proto udp
remote a.b.c.d 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca ca.crt
cert /etc/openvpn/gw-c.crt
key /etc/openvpn/gw-c.key
log-append /var/log/openvpn.log

Клиент Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
82.138.44.32    *               255.255.255.248 U     0      0        0 eth1
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0
default         y.y.y.y         0.0.0.0         UG    0      0        0 eth1

В iptables добавил на клиенте и сервере

VPN_NET="10.8.0.0/24"

$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -i tun+ -j ACCEPT

$IPTABLES -A FORWARD -i tun+ -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $VPN_NET -j ACCEPT

Ссылка

←

fetchmail

объединение интерфейсов в свич

→

cat /proc/sys/net/ipv4/ip_forward

iptables-save

Lego_12239 ★★
(22.10.09 19:04:53 MSD)

Ссылка

Почему у тебя сервер получает ip 10.8.0.2 (хотя судя по ману должен получить 10.8.0.1), а на клиенте роут смотрит вообще на 10.8.0.5?

По-моему это ненормально ;)

zenith ★★★
(22.10.09 19:29:41 MSD)

Ответ на: комментарий от zenith 22.10.09 19:29:41 MSD

:) почему вы так решили

Сервер

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:336 (336.0 B)  TX bytes:1236 (1.2 KiB)

Клиент

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:336 (336.0 B)  TX bytes:336 (336.0 B)

Husky
(22.10.09 20:11:50 MSD) автор топика

Ссылка

Ответ на: комментарий от zenith 22.10.09 19:29:41 MSD

На тему выделения ip http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1

Husky
(22.10.09 21:20:27 MSD) автор топика

Ссылка

Оба конца впна являются шлюзам для своих подсетей?

Добавь
$IPTABLES -A FORWARD -o tun+ -j ACCEPT

>$IPTABLES -A OUTPUT -p ALL -s $VPN_NET -j ACCEPT

не нужно (ибо бессмысленно)

nnz ★★★★
(23.10.09 01:45:19 MSD)

Ответ на: комментарий от nnz 23.10.09 01:45:19 MSD

да, впн на шлюзах сетей

не помогло :(

Husky
(23.10.09 09:47:02 MSD) автор топика

Ответ на: комментарий от Husky 23.10.09 09:47:02 MSD

Записи
>localnet * 255.255.255.0 U 0 0 0 eth0
в таблице роутинга означают «свои» сети?

nnz ★★★★
(23.10.09 10:09:00 MSD)

> 192.168.1.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0

Насколько я понял, шлюз-то у вас 10.8.0.1. А значит стучаться в 192.168.1.0 надо через него. 10.8.0.5, подозреваю, с клиента вообще не пингуется ;)

Deleted
(23.10.09 10:11:02 MSD)

Ссылка

Ответ на: комментарий от nnz 23.10.09 10:09:00 MSD

да это свои локальные подсети Насчет пингов: из лок.подсети сервера могу пинговать 10.8.0.1 и 10.8.0.6 с самого шлюза сервера тоже пингуются 10.8.0.1 и 10.8.0.6, на стороне клиента из.лок подсети пингую только 10.8.0.6 со шлюза 10.8.0.1 10.8.0.6 и локальную подсеть сервера

Husky
(23.10.09 10:50:32 MSD) автор топика

Ответ на: комментарий от Husky 23.10.09 10:50:32 MSD

Ну что, тогда давай полные конфиги фаерволов смотреть.
Включая клиентские.

nnz ★★★★
(23.10.09 11:01:06 MSD)

Ссылка

Вобщем если пингую из лок.сети клиента 10.8.0.1 или лок.сеть сервера получаю в логах на сервере следующую запись: MULTI: bad source address from client [192.168.0.105], packet dropped

Husky
(23.10.09 11:01:50 MSD) автор топика