LINUX.ORG.RU
ФорумAdmin

Маршрутизация openvpn


1

1

Необходимо завернуть весь трафик кроме локального в туннель openvpn.

Конфиг сервера

dev tap0
proto tcp-server
mode server
comp-lzo
log-append /var/log/openvpn.log
daemon
ifconfig-pool 192.168.250.2 192.168.250.254
ifconfig 192.168.250.1 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
tls-server
dh keys/server/dh2048.pem
ca keys/server/ca.crt
cert keys/server/server.crt
key keys/server/server.key
cipher AES-256-CBC
port $port_number
user nobody
group nogroup
persist-tun
persist-key
log-append /var/log/openvpn.log
verb 2

конфиг клиента

client
proto tcp-client
dev tap
ca ca.crt
dh dh2048.pem
cert pterodaktil.crt
key pterodaktil.key
remote $remote_ip $remote port
cipher AES-256-CBC
user nobody
group nogroup
verb 6
log-append /var/log/openvpn.log
pull
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
resolv-retry infinite
nobind
маршруты клиента до поднятия туннеля
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.28.2    0.0.0.0         UG    0      0        0 eth0
192.168.28.0    *               255.255.255.0   U     0      0        0 eth0
после поднятия
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.28.2    0.0.0.0         UG    0      0        0 eth0
192.168.28.0    *               255.255.255.0   U     0      0        0 eth0
192.168.250.0   *               255.255.255.0   U     0      0        0 tap0
Помогите завернуть трафик на сервер

sudo cast tazhate

★★★

Последнее исправление: kombrig (всего исправлений: 1)

Помогите завернуть трафик на сервер
push «redirect-gateway def1»

ы? openvpn клиент от рута пускаешь?

xtraeft ★★☆☆
()
Ответ на: комментарий от placeholder

косяк, согласен.

Но это не решает проблемы с маршрутизацией

kombrig ★★★
() автор топика
Ответ на: комментарий от xtraeft

Да хочу данные с 1-й железки на удаленном сервере собирать. А у нее могут быть проблемы если работать на 3-м уровне OSI

kombrig ★★★
() автор топика
Ответ на: комментарий от kombrig

Хотя понятно, что будет гоняться прилично мусоного трафика

kombrig ★★★
() автор топика

route add -host $remote dev eth0 gw 192.168.28.2

route add default dev tun0

Для tap нужно в последнем маршруте еще и туннельный ip сервера сказать.

no-dashi ★★★★★
()
Ответ на: комментарий от xtraeft

А слона то я и не приметил

Wed Jul 18 15:34:28 2012 us=537603 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

kombrig ★★★
() автор топика
Ответ на: комментарий от kombrig

Если у тебя каждый клиент так делает и клиентов больше трех, ты пошел неверным путем, а в просторечье «онанируешь вприсядку»

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

все он правильно делает, нахрена тогда нужна опция redirect-gateway, если ее не использовать?

xtraeft ★★☆☆
()
Ответ на: комментарий от massive

я хочу чтобы гейтвеем был впн-сервер. однако, сейас все идет через штатный шлюз

т.е. необходимо чтобы при старте туннеля указывался маршрут к vpn серверу через штатный шлюз и дефолтный шлюз менялся на vpn сервер

kombrig ★★★
() автор топика
Ответ на: комментарий от no-dashi

А как правильно? Планирую использовать на 4-х клиентах.

Я хочу чтобы сгенерированный конфиг заливался клиенту и без правок под конкретные настройки поднимался туннель.

kombrig ★★★
() автор топика
Ответ на: комментарий от kombrig

Я бы в такой ситуации пушнул второй дефолт с меньшей метрикой или два полудефолта (0.0.0.0/1 + 128.0.0.0/1).

И вообще, подменять дефолт без подмены DNS это путь истиных... В общем, это путь тех, кого недолечили или недообследовали.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

а ДНС у меня гугловый - зачем его менять

kombrig ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.