OpenVPN, не пушить default gw

0

1

Всем привет.
Настроил openvpn сервер. Хочу чтобы он не пушил default gw, а лишь добавлял один маршрут для VPN-сети

Конфиг такой:

local 192.168.137.9
port 1194
proto udp
dev tun

#Пути до ключей
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/debian1.crt
key /etc/openvpn/keys/debian1.key
dh /etc/openvpn/keys/dh1024.pem

# Сеть и маска соединения
server 192.168.100.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
# Директория настройки файлов клиентов
client-config-dir /etc/openvpn/ccd
client-to-client


keepalive 10 120
comp-lzo
max-clients 100
user proxy
group proxy

persist-key
persist-tun
status openvpn-status.log
log        openvpn.log
verb 4

В этой папочке /etc/openvpn/ccd пусто.

До соединения с vpn такой роутинг

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.137.1   0.0.0.0         UG        0 0          0 eth0
192.168.137.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0

После, такой

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.100.5   0.0.0.0         UG        0 0          0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 tun0
192.168.100.0   192.168.100.5   255.255.255.0   UG        0 0          0 tun0
192.168.100.5   0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.137.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.137.9   0.0.0.0         255.255.255.255 UH        0 0          0 eth0

Соответсвенно вопрос: Что я делаю не так???

Ссылка

←	File not found при коммите

Где посмотреть список подключенных устройств?

→

есть какая-то опция nogw

если клиент NM то там галка есть

~~mos~~ ★★☆☆☆
(14.06.13 00:42:42 MSK)

Ответ на: комментарий от mos 14.06.13 00:42:42 MSK

Насколько я понял, эта опция для бриджа на openvpn, а у меня tun устройство.

trofk ★★★
(14.06.13 00:47:05 MSK) автор топика

Ссылка

client-to-client

Убери

~~zgen~~ ★★★★★
(14.06.13 00:50:58 MSK)

Ответ на: комментарий от zgen 14.06.13 00:50:58 MSK

не помогло

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.100.5   0.0.0.0         UG        0 0          0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 tun0
192.168.100.0   192.168.100.5   255.255.255.0   UG        0 0          0 tun0
192.168.100.1   192.168.100.5   255.255.255.255 UGH       0 0          0 tun0
192.168.100.5   0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.137.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.137.9   0.0.0.0         255.255.255.255 UH        0 0          0 eth0

Да и причем здесь оно?

trofk ★★★
(14.06.13 00:56:27 MSK) автор топика

Ответ на: не помогло от trofk 14.06.13 00:56:27 MSK

client-config-dir /etc/openvpn/ccd

Покажи ка, что у тебя в этой дире?

~~zgen~~ ★★★★★
(14.06.13 08:07:26 MSK)

Ответ на: комментарий от zgen 14.06.13 08:07:26 MSK

В этой папочке /etc/openvpn/ccd пусто.
Точнее есть файл с настойками клиента, но все закомментировано

trofk ★★★
(14.06.13 09:00:26 MSK) автор топика

Ответ на: комментарий от trofk 14.06.13 09:00:26 MSK

Тогда я пока не вижу причин к добавлению dgw, потому что у меня ничего не добавляет. Более того, нужно специально указывать openvpn'у, чтобы он добавлял на себя маршрут по-умолчанию.

~~zgen~~ ★★★★★
(14.06.13 10:31:54 MSK)

У меня разница в параметре server:

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.7.0.0 255.255.255.0

Ну и параметра client-config-dir вообще нет.

~~Ttt~~ ☆☆☆☆☆
(14.06.13 10:40:52 MSK)

Ответ на: комментарий от Ttt 14.06.13 10:40:52 MSK

Я использую client-config-dir, потому что у меня три группы клиентов (они должны потом будут отличаться роутингом)

server 10.7.0.0 255.255.255.0

А у меня такая VPN подсеть

server 192.168.100.0 255.255.255.0

Это же не должно влиять на пуш роутинга?
P.S. А может network-manager в убунте сам прописывает роутинг? (дикое предположение конечно)

trofk ★★★
(14.06.13 11:17:19 MSK) автор топика

Ответ на: комментарий от zgen 14.06.13 10:31:54 MSK

Более того, нужно специально указывать openvpn'у, чтобы он добавлял на себя маршрут по-умолчанию.

на себя - это на tun-интерфейс?

trofk ★★★
(14.06.13 11:18:21 MSK) автор топика

Ответ на: комментарий от trofk 14.06.13 11:17:19 MSK

С nm ещё не пробовал. Возможно, сегодня попробую, напишу.

~~Ttt~~ ☆☆☆☆☆
(14.06.13 12:04:10 MSK)

Ответ на: комментарий от trofk 14.06.13 11:18:21 MSK

На ptp адрес openvpn шлюза за tun интерфейсом, да.

Тебе осталось посмотреть скрипты ifup где-то в системе, может это они dgw добавляют.

Ну и включай дебаг, смотри что сервер клиенту шлёт.

~~zgen~~ ★★★★★
(14.06.13 12:20:45 MSK)

Ссылка

Ответ на: комментарий от Ttt 14.06.13 12:04:10 MSK

Пока решил проблему так:
указал в настройках NetworkManager Игнорировать настройки пушинга
но только это не решение, а костыль, вруг мне завтра надо будет подключать систему без NM.

Вечером рассмортю debug

trofk ★★★
(14.06.13 17:11:07 MSK) автор топика

Ответ на: комментарий от trofk 14.06.13 17:11:07 MSK

указал в настройках NetworkManager

Так ты не руками поднимаешь? O_O

~~zgen~~ ★★★★★
(14.06.13 22:10:06 MSK)

Ответ на: комментарий от zgen 14.06.13 22:10:06 MSK

Сервер руками, клиент - через NetworkManager, другой клиент - мобильник, третий клиент - винда, etc

trofk ★★★
(15.06.13 13:06:03 MSK) автор топика

Ответ на: комментарий от trofk 15.06.13 13:06:03 MSK

все с вами ясно

windofchange ★
(18.06.13 16:48:10 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	File not found при коммите

Admin

Где посмотреть список подключенных устройств?

→

не помогло

Похожие темы