Openvpn поднят, не пускает в сеть.

0

2

Суть: поднят сервер OpenVPN (Debian 6), настроен клиент (Win XP). Подключение проходит нормально, но!
С клиента сервер ВПН пингуется и по внутреннему айпи ВПНа (10.10.10.1) и по своему айпи в своей локальной сети (192.168.1.101). Дальше в сеть пинг не идет (192.168.1.105 например).
Пошарил по интернету, по ЛОРу, есть короткие фразы «это из-за iptables», но ничего конкретнее и подробнее не сказано. Помогите, плиз, разобраться с вопросами:

1. Действительно ли дело в iptables?
2. Если да, то как его настроить или отключить?
3. Если настроить, то доступ к 192.168.1.105 должен быть по целой куче TCP-портов, так как это сервер 1С.

Ссылка

←	Монтирование обычного диска

увеличить диск в LVM

→

Дай выхлоп:

sysctl net.ipv4.conf.all.forwarding

iptables -vn -L

Ну и заодно:

ip route

с сервера

Pinkbyte ★★★★★
(04.10.12 14:46:15 MSK)

Ответ на: комментарий от Pinkbyte 04.10.12 14:46:15 MSK

root@tlserver:~# sysctl net.ipv4.conf.all.forwarding
net.ipv4.conf.all.forwarding = 0
root@tlserver:~# iptables -vn -L
Chain INPUT (policy ACCEPT 10230 packets, 1601K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 10137 packets, 2299K bytes)
 pkts bytes target     prot opt in     out     source               destination         
root@tlserver:~# ip route
10.10.10.2 dev tun0  proto kernel  scope link  src 10.10.10.1 
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.101 
10.10.10.0/24 via 10.10.10.2 dev tun0 
default via 192.168.1.254 dev eth1

Lex_Liven
(04.10.12 14:58:24 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 14:58:24 MSK

net.ipv4.conf.all.forwarding = 0

отключена передача пакетов между интерфейсами, вот трафик и не ходит.

Сделай:

sysctl -w net.ipv4.conf.all.forwarding=1

для начала. Учти что это только до перезагрузки - на постоянку этот параметр можно прописать в /etc/sysctl.conf

Pinkbyte ★★★★★
(04.10.12 15:03:51 MSK)

Ответ на: комментарий от Pinkbyte 04.10.12 15:03:51 MSK

sysctl -w net.ipv4.conf.all.forwarding=1 прописал. перезапустил openvpn, переконнектился. теперь пинг 105-го дает такой результат: Ответ от 10.10.10.1: Заданный узел недоступен.

Lex_Liven
(04.10.12 15:11:20 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 15:11:20 MSK

Значит еще надо сделать push «route 192.168.0.0 255.255.255.0» в конфиге openvpn, плюс iptables настроить, вроде так:

iptables -I FORWARD -i tun+ -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o thun+ -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

massive ★
(04.10.12 15:18:27 MSK)

Ответ на: комментарий от massive 04.10.12 15:18:27 MSK

Сори, не 192.168.0.0, а ваша сеть 192.168.1.0.

massive ★
(04.10.12 15:22:44 MSK)

Ссылка

Ответ на: комментарий от massive 04.10.12 15:18:27 MSK

В конфиге прописано:

server 10.10.10.0 255.255.255.0 # vpn subnet
push «route 192.168.1.0 255.255.255.0»  #server

Сделал iptables FORWARD по вашему совету, исправив eth0 на eth1. Ответ от 10.10.10.1 тот же.

Lex_Liven
(04.10.12 15:26:37 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 15:26:37 MSK

nat?

iptables -t nat -A POSTROUTING -j MASQUERADE

wisp ★★
(04.10.12 15:30:58 MSK)

Ответ на: комментарий от Lex_Liven 04.10.12 15:26:37 MSK

перезапустил сеть через /etc/init.d/networking restart потерял связь с машиной.

Lex_Liven
(04.10.12 15:34:40 MSK) автор топика

Ссылка

Ответ на: комментарий от wisp 04.10.12 15:30:58 MSK

NAT не годится - 1С работает только напрямую. более того, к сервер должен быть доступ не только по ip, но и по hostname.

Еще варианты? Какие-то логи посмотреть может быть?

Lex_Liven
(04.10.12 17:40:05 MSK) автор топика

Ссылка

Ответ на: комментарий от massive 04.10.12 15:18:27 MSK

Интересно. Я приехал и ребутнул машину с ВПН-сервером, а затем повторил все действия - результат как будто не делал ничего - пинг не идет вообще.

Можно поподробнее, что значит «tun+» и «thun+» в данных командах? У меня интерфейсы зовутся eth1 и tun0.

Lex_Liven
(04.10.12 17:43:19 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 17:43:19 MSK

«thun+» это ошибка :). Должно быть «tun+». Т.е. интерфейс tun0 или tun1

massive ★
(04.10.12 18:05:56 MSK)

Ответ на: комментарий от massive 04.10.12 18:05:56 MSK

Ага, уже разобрался... То есть ваши советы - это открытие файрвола, а совет Pinkbyte - это проброс портов. Я все правильно понял?

Lex_Liven
(04.10.12 18:10:39 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 18:10:39 MSK

Нет. Я посоветовал разрешить вообще передачу пакетов между двумя интерфейсами - без этого пакеты дропаются не доходя до файрвола(о чем говорит счетчик пакетов в FORWARD - он равен нулю)

Pinkbyte ★★★★★
(04.10.12 18:34:52 MSK)

Ссылка

Ответ на: комментарий от Lex_Liven 04.10.12 18:10:39 MSK

Может быть, мне мост настроить? Промеж eth1 и tun0.

Lex_Liven
(04.10.12 18:35:30 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 18:35:30 MSK

Пардон за оверпостинг... Или достаточно как в винде, привязать айпи ВПН-клиента в формате 192.168.1.* ?

Lex_Liven
(04.10.12 18:38:14 MSK) автор топика

Ответ на: комментарий от Lex_Liven 04.10.12 14:58:24 MSK

Во-первых, как уже сказали — forwarding включить.

Во-вторых, ты уверен, что сервер 1С знает, как дойти до 10.10.10.1? А его default знает?

Короче, смотреть маршрутизацию и брандмауэры на сервере, клиенте и всех промежуточных узлах.

PS. А вообще: «я тут пациенту пересадил сердце в полевых условиях, но кровь не доходит из печени в легкие, хотя в правое предсердие вроде попадает. Действительно ли дело в тромбозе вен? Если да, как растворить бляшки?»

baka-kun ★★★★★
(04.10.12 21:34:54 MSK)

Ответ на: комментарий от Lex_Liven 04.10.12 18:38:14 MSK

Вот почитай как я решал проблему: Маршрутизация через OpenVPN

massive ★
(04.10.12 22:25:29 MSK)

Ответ на: комментарий от baka-kun 04.10.12 21:34:54 MSK

Во-первых, как сказали, форвардинг я включил.
Во-вторых, при чем тут «сервер 1С знает, как дойти до 10.10.10.1», если у него задан айпи 192.168.1.105 и он вообще не пингуется по этому айпи?
Короче, этим и занимаюсь.
PS. А язвить вообще необязательно.

Lex_Liven
(05.10.12 06:49:09 MSK) автор топика

Ответ на: комментарий от massive 04.10.12 22:25:29 MSK

massive, а можно схему сети из той ветки перезалить?

Lex_Liven
(05.10.12 06:53:37 MSK) автор топика

Ответ на: комментарий от Lex_Liven 05.10.12 06:53:37 MSK

Моя схема сети (GIF).

Lex_Liven
(05.10.12 08:37:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Lex_Liven 05.10.12 06:49:09 MSK

Во-вторых, при чем тут «сервер 1С знает, как дойти до 10.10.10.1?»

При том, что в ответ на echo-request сервер отправляет echo-reply по роутингу. А у тебя ни 1.105, ни 1.254 не знают, что 10/8 надо маршрутизировать не в default.

А язвить вообще необязательно.

Это толстый намек на неполное соответствие между квалификацией персонала и решаемой задачей.

baka-kun ★★★★★
(05.10.12 09:59:01 MSK)

Ответ на: комментарий от Lex_Liven 05.10.12 06:53:37 MSK

Схему той сети я уже давно стер. Но она немного похожа на вашу. Насчет «при чем тут „сервер 1С знает, как дойти до 10.10.10.1“», то это правда. Пусть даже пинг приходит на 1С сервер, он не может на него ответить, так как не знает маршрута до 10.10.10.1.

Так что инструкция такая:

1) проверяете cat /proc/sys/net/ipv4/ip_forward, должен быть 1
2) гляньте какой интерфейс у вас в конфиге сервера openvpn: tap или tun. Желательно выставить tap.
3) правила iptables (перепроверьте под свою схему, может чуток ошибся)

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.0.0/24 -i tap+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 10.10.10.0/24 -i eth0 -o tap+ -j ACCEPT

4) проверить таблицу маршрутизации на 1С сервере. Для проверки можно добавить маршрут вручную. Я так понимаю 1С под виндой? Тогда

route add 10.10.10.0 mask 255.255.255.0 192.168.1.101 metric 2

massive ★
(05.10.12 10:26:37 MSK)

Ответ на: комментарий от baka-kun 05.10.12 09:59:01 MSK

При том, что в ответ на echo-request сервер отправляет echo-reply по роутингу. А у тебя ни 1.105, ни 1.254 не знают, что 10/8 надо маршрутизировать не в default.

Хорошо, как насчет подсказать, как прописать данный маршрут?

Это толстый намек на неполное соответствие между квалификацией персонала и решаемой задачей.

Квалификация имеет свойство повышаться при решении сложных задач. Если лично ваша цель - остаться единственным умным спецом, прошу прочь с ЛОРа. Потому что здесь люди не умом блещут, а помощи просят.

Lex_Liven
(05.10.12 10:28:15 MSK) автор топика

Ссылка

Ответ на: комментарий от massive 05.10.12 10:26:37 MSK

Блин, таки ошибся :)

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -i tap+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -i eth0 -o tap+ -j ACCEPT

А остальное вроде норм.

massive ★
(05.10.12 10:37:47 MSK)

Ссылка

Ответ на: комментарий от massive 05.10.12 10:26:37 MSK

4) проверить таблицу маршрутизации на 1С сервере. Для проверки можно добавить маршрут вручную. Я так понимаю 1С под виндой? Тогда

нет, 1С сервер на убунте.

Lex_Liven
(05.10.12 11:01:04 MSK) автор топика

Ответ на: комментарий от Lex_Liven 05.10.12 11:01:04 MSK

route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.1.101

http://xgu.ru/wiki/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D0%B2_Linux

massive ★
(05.10.12 11:06:59 MSK)

Ответ на: комментарий от massive 05.10.12 11:06:59 MSK

Ура, спасибо! Видать я сильно перегрелся, раз не сообразил что на пинг тоже надо знать, куда ответить :)

Lex_Liven
(05.10.12 21:44:48 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Монтирование обычного диска

Admin

увеличить диск в LVM

→

Похожие темы