OpenVPN и маршрутизация

Лог: Tue Apr 01 14:12:17 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Tue Apr 01 14:12:17 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Tue Apr 01 14:12:17 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Tue Apr 01 14:12:17 2008 Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ] Tue Apr 01 14:12:17 2008 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ] Tue Apr 01 14:12:17 2008 Local Options hash (VER=V4): 'db02a8f8' Tue Apr 01 14:12:17 2008 Expected Remote Options hash (VER=V4): '7e068940' Tue Apr 01 14:12:17 2008 Attempting to establish TCP connection with 195.49.236.116:1194 Tue Apr 01 14:12:17 2008 TCP connection established with 195.49.236.116:1194 Tue Apr 01 14:12:17 2008 TCPv4_CLIENT link local: [undef] Tue Apr 01 14:12:17 2008 TCPv4_CLIENT link remote: 195.49.236.116:1194 Tue Apr 01 14:12:17 2008 TLS: Initial packet from 195.49.236.116:1194, sid=4e78f29a 5ac6ac6c Tue Apr 01 14:12:18 2008 VERIFY OK: depth=1, /C=RU/ST=37/L=Ivanovo/O=Unit2000/CN=NETSERV/emailAddress=anton@unit2000.ru Tue Apr 01 14:12:18 2008 VERIFY OK: depth=0, /C=RU/ST=37/L=Ivanovo/O=Unit2000/CN=NETSERV/emailAddress=anton@unit2000.ru Tue Apr 01 14:12:18 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Tue Apr 01 14:12:18 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Apr 01 14:12:18 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Tue Apr 01 14:12:18 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Apr 01 14:12:18 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Tue Apr 01 14:12:18 2008 [NETSERV] Peer Connection Initiated with 195.49.236.116:1194 Tue Apr 01 14:12:19 2008 SENT CONTROL [NETSERV]: 'PUSH_REQUEST' (status=1) Tue Apr 01 14:12:20 2008 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.1.6 192.168.1.5' Tue Apr 01 14:12:20 2008 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS] topology (2.0.9) Tue Apr 01 14:12:20 2008 OPTIONS IMPORT: timers and/or timeouts modified Tue Apr 01 14:12:20 2008 OPTIONS IMPORT: --ifconfig/up options modified Tue Apr 01 14:12:20 2008 OPTIONS IMPORT: route options modified Tue Apr 01 14:12:20 2008 TAP-WIN32 device [Подключение по локальной сети 5] opened: \\.\Global\{9FD70361-3559-4D27-B020-23934E724063}.tap Tue Apr 01 14:12:20 2008 TAP-Win32 Driver Version 8.4 Tue Apr 01 14:12:20 2008 TAP-Win32 MTU=1500 Tue Apr 01 14:12:20 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.1.6/255.255.255.252 on interface {9FD70361-3559-4D27-B020-23934E724063} [DHCP-serv: 192.168.1.5, lease-time: 31536000] Tue Apr 01 14:12:20 2008 Successful ARP Flush on interface [65541] {9FD70361-3559-4D27-B020-23934E724063} Tue Apr 01 14:12:20 2008 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Tue Apr 01 14:12:20 2008 Route: Waiting for TUN/TAP interface to come up... Tue Apr 01 14:12:21 2008 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Tue Apr 01 14:12:21 2008 Route: Waiting for TUN/TAP interface to come up... Tue Apr 01 14:12:22 2008 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Tue Apr 01 14:12:22 2008 route ADD 192.168.1.0 MASK 255.255.255.0 192.168.1.5 Tue Apr 01 14:12:22 2008 Route addition via IPAPI succeeded Tue Apr 01 14:12:22 2008 Initialization Sequence Completed

В конфе стоит server 192.168.1.0 255.255.255.0, значит сервер должен взять себе айпи 192.168.1.1, но при соединении из винды я получаю адреса от DHСP 192.168.1.5, если поставить дефалт гэйтвэй, то и шлюз получается с таким адресом.

netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 195.*.*.* 0.0.0.0 255.255.255.248 U 0 0 0 eth2 192.168.1.0 192.168.1.2 255.255.255.0 UG 0 0 0 tun0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 195.*.*.* 0.0.0.0 UG 0 0 0 eth2

В конфиге сервера впн указана ли следующая строка:

push "route 192.168.0.0 255.255.255.0"

для того, чтобы клиенты роутились в эту сеть?
t

пробовал и с ней, результат тот же, проблема в том что клиент даже не пингует сервер, зато видит других клиентов

Не понятно. сервер берет себе адрес 192.168.1.1 или нет? Если берет, то клиенты должны брать адреса выше, и, похоже, что берут (с ваших слов но при соединении из винды я получаю адреса от DHСP 192.168.1.5 ).

на сервере форвардинг настроен?

и напоследок: когда постиш, используй форматирование текста, например, user line break, а то читать невозможно

---на сервере форвардинг настроен?---
нет, что и куда нужно форвардит?

---Не понятно. сервер берет себе адрес 192.168.1.1 или нет?-
в том то и дело что по ходу не берет, как это можно проверить?

---и напоследок: когда постиш, используй форматирование текста, например, user line break, а то читать невозможно---

Спасибо учту!

Вот что дал ifconfig
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.1.1 P-t-P:192.168.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Исходя из: inet addr:192.168.1.1 P-t-P:192.168.1.2 Mask:255.255.255.255

сервер взял сбе адрес 192.168.1.1, нормально. Клиент, судя по логам, тоже подключается. Осталось проверить форсардинг на севере такой командой:

cat /proc/sys/net/ipv4/ip_forward

если выдает 0, то форвардинга нет, в этом случае небходимо сделать от рута:

echo "1" > /proc/sys/net/ipv4/ip_forward

эта команда должна выполнятся при каждой перезагрузке компа или прописать где надо (в дебиане не знаю, поищи)

да, не забудь на впн-сервере указать :

push "route 192.168.0.0 255.255.255.0"

как я уже писал ранее, иначе твой клиент не увидит подсеть 192,168,0,0, и, чтобы не прописывать у клиента вручную маршрут, как раз и нужна эта команда

Форвардинг включен!

---как я уже писал ранее, иначе твой клиент не увидит подсеть 192,168,0,0, и, чтобы не прописывать у клиента вручную маршрут, как раз и нужна эта команда----

Не помогает! Сам сервер не пингуется т.е. подсоеденившись набираю ping 192.168.1.1 тишина, 192,168,1,5 (в установившемся соединении пишет, что адрес получен от этого dhsp) тоже никакого ответа.

приведи конфиг сервера сюда, да, внешний ip-адресс не публикуй, хотя выше уже видно.

далее, не понял, ты говориш, что у тебя на сервере поднять dhcp-сервер? если да, то возможно он на это соединение тоже пытается выдать айпи, возможно в нем причина

нет DHCP не установлен, просто в сетевом соединении клиента (Windows XP) написаной адрес присвоен DHCP, если нажать подробнее DHCP 192.168.1.5

Конфиг сервера

port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/SERV.crt key /etc/openvpn/keys/SERV.key dh /etc/openvpn/keys/dh1024.pem server 192.168.1.0 255.255.255.0 client-to-client keepalive 10 120 cipher BF-CBC max-clients 10 persist-key persist-tun log openvpn.log log-append openvpn.log verb 9

Блин, извиняюсь опять забыл про user line break :)

Клиента ты пытаешся подключить по tcp-протоколу (proto tcp), тогда как в конфиге сервера указан протокол udp (proto udp)... исправь