LINUX.ORG.RU
решено ФорумAdmin

Настройка OpenVPN


1

2

Добрый день! Помогите разобратся с настройкой OpenVPN.

Есть сеть 192.168.1.0/24, есть шлюз с внешним IP 55.55.55.55, есть домашний комп с внешним IP 77.77.77.77. Надо соединить их по OpenVPN. Нарисовал такой конфиг на шлюзе:

port 2000
proto tcp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/gw.crt
key /etc/openvpn/keys/gw.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem

server 172.16.130.0 255.255.255.0 # vpn subnet

ifconfig-pool-persist ipp.txt

push "route 172.16.130.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0" # home subnet

keepalive 10 120

comp-lzo
user nobody
group nogroup
persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log

verb 4
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd

Суть в том, что клиент по OpenVPN к серваку подключается и получает адрес 172.16.130.14, сам сервак для себя выбрал адрес 172.16.130.1. Проблема в том, что пинга нет ни между 172.16.130.1 и 172.16.130.14, ни тем более между клиентской машиной и 192.168.1.0 подсетью. ЧЯНТД?

ЗЫ. Делал по мануалу: http://www.volmed.org.ru/wiki/index.php/Настройка_OpenVPN_сервера



Последнее исправление: abr_linux (всего исправлений: 1)

push «route 172.16.130.0 255.255.255.0» - убери и /etc/openvpn/ccd покажи

edyard
()
Ответ на: комментарий от edyard

и iptables покажи

Какую именно таблицу? У нас iptables много записей, у нас несколько подсетей внутри организации. Строки на какую тему интересуют?

abr_linux
() автор топика

172.16.130.1 и 172.16.130.14

Между такими адресами не должно быть пинга. openvpn без явных указаний дробит сеть на подсети по 4 адреса: адрес сети, сервер, клиент, бродкаст.

placeholder
()
Ответ на: комментарий от abr_linux

Почитай пожалуйста внимательно эту тему и по ней настрой. Тебе же не надо объединять сети, а только доступ с домашнего компа в сеть.

wbrer ★★★
()
Ответ на: комментарий от abr_linux

Могу посоветовать делать всё постепенно, т.е. для начала добиться пинга внутри 172.16.130.0. Попробуйте

push "redirect-gateway"
в конфиге сервера даёт команду подключающимся клиентам перенаправить трафик в туннель. В моём случае, я ещё воспользовался гугловским DNS push «dhcp-option DNS 8.8.8.8»

placeholder
()
Ответ на: комментарий от placeholder

Етого я добился. Оказалось, надо просто запускать OpenVPN Client от имени администратора. Пинг пошёл на 172.16.130.1, то есть, с клиента на шлюз. Как теперь добится:

1. пинга со шлюза на клиент?

2. пинга с клиента на 192.168.1.0/24?

wbrer, тему читаю, но пока что успехи малы..

abr_linux
() автор топика
Ответ на: комментарий от abr_linux

1. Клиент на windows ? - смотри файрвол. 2. Сервер должен сообщить клиенту, что за ним находится сеть. ( опция push «» в ccd, либо в server.conf) 3. Компьютеры из локальной сети должны знать роуты до vpn клиента

edyard
()
Ответ на: комментарий от abr_linux

пинга со шлюза на клиент?

В файл логов должны сыпаться подсказки. За уровень их подробности отвечает «verb N». NAT настраивайте когда будет рабочая vpn сеть.

placeholder
()
Ответ на: комментарий от placeholder

Сам натолкнулся на это, для клиента это выглядет как-будто все запросы идут с сервера, а не с локальных машин, что не всегда удобно, да и не за чем

edyard
()

Для себя решил не читать говно статьи, а сделать по мануалу, man openvpn Стоит-ли говорить, что у меня всё зарабтало с первого раза (покрайней мере в первом приближении уж точно)? В общем и целом, крутите подсети, я как по мануалу сделал 10.8.0.0.0 , включил режим сервера а не p2p как по-умолчанию, сделал в iptables forward, input/output на tun интерфейс. И кстати, по крайней мере пока, всё хорошо у меня работает по udp протоколу, с tcp там надо вникать глубже значительно, меня устраивает пока и такой вариант. - Быть может сперва попробовать: proto udp ? В мануале что-то говорится о проблемах с tcp, если и не о проблемах, то о нюансах уж точно.

До этого делал по книге Openvpn, та что на сайте рекламируется - решение рабтает уже три года - на udp кстати тоже.

DALDON ★★★★★
()
Ответ на: комментарий от placeholder

Между такими адресами не должно быть пинга.

БСКвЛН (бред сивой кобылы в лунную ночь). Пинг может быть между _любыми_ адресами с любыми масками, при правильной настройке маршрутизации.

no-dashi ★★★★★
()
Ответ на: комментарий от placeholder

для

dev tun
не должен пинговаться прилегающий к 172.16.130.14 адрес 172.16.130.13/30

placeholder
()

В общем, у меня заработало. Пинги с клиента идут внутрь сети. Из сети клиент пока что не нужен, хотя понимаю, что надо сделать его видимым.

Я настраивал Windows-7 клиент, а счас вдобавок подключился и с Ubutnu 12.04. Конфиг на серваке не менял, только закомментил строчку в /etc/openvpn/ccd/buh. Там iroute валялся, видать он и перебивал.

Только один вопрос остался нерешённым - gateway на default ВПН-кой перебивается на убунте. На винде не проверял, но наверняка также. Как итог - интернет пропадает. Если кому не сложно, подскажите, какую строчку добавить в конфиг, чтобы default оставался прежним? ЗЫ. Хотя, тут может быть виноват NM или другая сервисная служба, которая отвечает за редактирование route...

abr_linux
() автор топика
Ответ на: комментарий от abr_linux

Только один вопрос остался нерешённым - gateway на default ВПН-кой перебивается на убунте

Такого быть не должно. Приводи конфигурационный файл клиента и ccd'шку и текущий конфиг сервера. Ты где-то там что-то лишнее понаписал.

no-dashi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.