LINUX.ORG.RU
ФорумAdmin

Debian 7.1 + OpenVPN неправльно работает push «redirect-gateway def1 bypass-dhcp»


0

1

Сервер настроен 1 в 1 по статье: http://habrahabr.ru/post/153855/

все конфиги на сервере от туда... После установки получилось так что при подключении клиентов на них не работал интернет. Путем махинаций выяснилось: 1) если на Windows системе в сетевых настройках НЕ УКАЗАН шлюз по умолчанию, то при подключении не важно прописан в конфигах сервера параметр ( push «redirect-gateway def1 bypass-dhcp» ) или не прописан - клиент не получает IP адрес шлюза 2) если на Windows системе в сетевых настройках УКАЗАН ШЛЮЗ, то при подключении клиентом, VPN сервер устанавливает новый маршрут такого вида

0.0.0.0 MASK 128.0.0.0 IP_Address_VPN_gateway metric 1 при этом старый шлюз по умолчанию остается: 0.0.0.0 MASK 0.0.0.0 IP_Address_Local_gateway metric 20

Не понятно, почему он пушит маршрут с маской 128.0.0.0 ??? Может я чего-то не понимаю ?

Проблему я конечно решил, не знаю правильно или нет: в конфиге OpenVPN убрал: push «redirect-gateway def1 bypass-dhcp» <- автоматическая замена шлюза по умолчанию добавил:push route 0.0.0.0 0.0.0.0 <- добавление клиенту маршрута при подключении по VPN

При этом маршрут стал выдаваться независимо установлен ли у клиента шлюз в сетевых настрофках или нет и заработал интернет. Правильно это или нет и что это за глюк с push «redirect-gateway def1 bypass-dhcp» ? кто-нибудь сталкивался ?


OpenVPN устанавливает два маршрута с маской 128.0.0.0 а не один с 0.0.0.0 чтобы не заниматься вычислением «а какую метрику поставить, чтоб маршрут выданный openvpn работал». Поскольку /1 маршрут конкретнее чем /0 он будет работать независимо от метрики. Это есть в мане

xanf
()
Ответ на: комментарий от xanf

Да, действительно OpenVPN добавляет два маршрута с маской 128.0.0.0, вы правы, но почему-то маршрутизация при этом не работает...до сих пор не понял почему...tracert сразу затыкается, ping не пингует даже шлюз, выданный OpenVPN...

SEE
() автор топика
Ответ на: комментарий от xtraeft

Вот лог клиента:

Fri Aug 09 11:53:36 2013 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun 3 2013

Fri Aug 09 11:53:36 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340

Fri Aug 09 11:53:36 2013 Need hold release from management interface, waiting...

Fri Aug 09 11:53:36 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340

Fri Aug 09 11:53:37 2013 MANAGEMENT: CMD 'state on'

Fri Aug 09 11:53:37 2013 MANAGEMENT: CMD 'log all on'

Fri Aug 09 11:53:37 2013 MANAGEMENT: CMD 'hold off'

Fri Aug 09 11:53:37 2013 MANAGEMENT: CMD 'hold release'

Fri Aug 09 11:53:37 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Fri Aug 09 11:53:37 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]

Fri Aug 09 11:53:37 2013 UDPv4 link local (bound): [undef]

Fri Aug 09 11:53:37 2013 UDPv4 link remote: [AF_INET]10.7.0.105:1194

Fri Aug 09 11:53:37 2013 MANAGEMENT: >STATE:1376034817,WAIT,,,

Fri Aug 09 11:53:37 2013 MANAGEMENT: >STATE:1376034817,AUTH,,,

Fri Aug 09 11:53:37 2013 TLS: Initial packet from [AF_INET]10.7.0.105:1194, sid=8077e62e f1b36e21

Fri Aug 09 11:53:37 2013 VERIFY OK: depth=1, C=XX, ST=XX, L=City, O=Company, OU=changeme, CN=changeme, name=changeme, emailAddress=mail@host.domain

Fri Aug 09 11:53:37 2013 VERIFY OK: depth=0, C=XX, ST=XX, L=City, O=Company, OU=changeme, CN=server, name=changeme, emailAddress=mail@host.domain

Fri Aug 09 11:53:37 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

Fri Aug 09 11:53:37 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Aug 09 11:53:37 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key

Fri Aug 09 11:53:37 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Aug 09 11:53:37 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Fri Aug 09 11:53:37 2013 [server] Peer Connection Initiated with [AF_INET]10.7.0.105:1194

Fri Aug 09 11:53:38 2013 MANAGEMENT: >STATE:1376034818,GET_CONFIG,,,

Fri Aug 09 11:53:39 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Fri Aug 09 11:53:39 2013 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'

Fri Aug 09 11:53:39 2013 OPTIONS IMPORT: timers and/or timeouts modified

Fri Aug 09 11:53:39 2013 OPTIONS IMPORT: --ifconfig/up options modified

Fri Aug 09 11:53:39 2013 OPTIONS IMPORT: route options modified

Fri Aug 09 11:53:39 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified

Fri Aug 09 11:53:39 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0

Fri Aug 09 11:53:39 2013 MANAGEMENT: >STATE:1376034819,ASSIGN_IP,,10.8.0.6,

Fri Aug 09 11:53:39 2013 open_tun, tt->ipv6=0

Fri Aug 09 11:53:39 2013 TAP-WIN32 device [Iiaee??aiea ii eieaeuiie naoe 2] opened: \\.\Global\{9973928A-4C4E-4CDF-A0CD-3C586D8BA271}.tap

Fri Aug 09 11:53:39 2013 TAP-Windows Driver Version 9.9

Fri Aug 09 11:53:39 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {9973928A-4C4E-4CDF-A0CD-3C586D8BA271} [DHCP-serv: 10.8.0.5, lease-time: 31536000]

Fri Aug 09 11:53:39 2013 Successful ARP Flush on interface [4] {9973928A-4C4E-4CDF-A0CD-3C586D8BA271}

Fri Aug 09 11:53:44 2013 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up

Fri Aug 09 11:53:44 2013 C:\WINDOWS\system32\route.exe ADD 10.7.0.105 MASK 255.255.255.255 10.7.0.8 IF 2

Fri Aug 09 11:53:44 2013 Route addition via IPAPI succeeded [adaptive]

Fri Aug 09 11:53:44 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5

Fri Aug 09 11:53:44 2013 Route addition via IPAPI succeeded [adaptive]

Fri Aug 09 11:53:44 2013 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5

Fri Aug 09 11:53:44 2013 Route addition via IPAPI succeeded [adaptive]

Fri Aug 09 11:53:44 2013 MANAGEMENT:

STATE:1376034824,ADD_ROUTES,,,

Fri Aug 09 11:53:44 2013 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5

Fri Aug 09 11:53:44 2013 Route addition via IPAPI succeeded [adaptive]

Fri Aug 09 11:53:44 2013 Initialization Sequence Completed

Fri Aug 09 11:53:44 2013 MANAGEMENT: >STATE:1376034824,CONNECTED,SUCCESS,10.8.0.6,10.7.0.105

SEE
() автор топика
Ответ на: комментарий от xtraeft

переставил сервер с тестового места в то где он должен стоять и все заработало.. возможно сам напутал где-то в организации виртуальных сетей

спасибо за помощь!

SEE
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.