Плз, хелп.Настроил OpenVPN, конфиги:
сервер:
dev tun0
ifconfig 192.168.15.1 192.168.15.2comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-keyuser nobody
group nobodytls-server
tls-auth ta.key 0
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
mode server
cipher DES-EDE3-CBC
client-config-dir ccd
log openvpn.log
verb 3
route 192.168.10.0 255.255.255.0клиент:
remote ip_адрес_сервера
dev tun1
ifconfig 192.168.15.2 192.168.15.1
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-keyuser nobody
group nobodyccd/client:
ifconfig-push 192.168.15.2 192.168.15.1
iroute 192.168.10.0 255.255.255.0
При этом интерфейсы tun при запуске появляются и на сервере и на клиенте-и пингуются между собой, но вот с сервера не пингуется адреса из сети 192.168.10, которая подключена к VPN-клиенту. tcpdump показывает на клиенте, что icmp-пакеты доходят, но обратно не идут реплаи...На http://openvpn.net/howto.html :
"The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box..." Каким образом это делать?
client
tls-client
tls-auth ta.key 1
dh dh1024.pem
ca ca.crt
cert client.crt
key client.key
cipher DES-EDE3-CBC
ns-cert-type server
log openvpn-log
verb 3
а с firewall'ом как обстоят дела? Може он пинги обратно не пускает.
>а с firewall'ом как обстоят дела? Може он пинги обратно не пускает.
>на VPN клиенте пинги не запрещены....
>>а с firewall'ом как обстоят дела? Може он пинги обратно не пускает.
>>
>
>на VPN клиенте пинги не запрещены....
а на сервере?
>>>а с firewall'ом как обстоят дела? Може он пинги обратно не пускает.
>>>
>>
>>на VPN клиенте пинги не запрещены....
>
>
>а на сервере?
на сервере тоже не запрещает пинги...
а с клиента пингуются машины, которые подрублены к сети сервера?
>а с клиента пингуются машины, которые подрублены к сети сервера?да, пингуюся...
похоже на сервере нет маршрута до машин в сети 192.168.10.0/24.
Попробуй на сервере route add -net 192.168.10.0/24 192.16.15.2 (т.е. адрес клиента)
>похоже на сервере нет маршрута до машин в сети 192.168.10.0/24.
route add -net 192.168.10.0/24 192.168.15.2 (т.е. адрес клиента)
>>похоже на сервере нет маршрута до машин в сети 192.168.10.0/24.
>route add -net 192.168.10.0/24 192.168.15.2 (т.е. адрес клиента)да нет, благодаря опциям route 192.168.10.0 255.255.255.0 (в /usr/local/etc/openvpn/openvpn.conf) и iroute 192.168.10.0 255.255.255.0 (в /usr/local/etc/openvpn/ccd/client)
на сервере
$netstat -rn|grep 192192.168.10 192.168.15.2 UGSc 0 53 tun0
т.е. маршрут есть и icmp пакеты доходят до VPN-клиента по крайней мере,а назад не идут, как узнать на коком хопе затык что-ли?
а traceroute чего говорит?
>а traceroute чего говорит?с сервера
# traceroute 192.168.10.31
traceroute to 192.168.10.31 (192.168.10.31), 64 hops max, 44 byte packets
1 192.168.15.2 (192.168.15.2) 257.734 ms 223.007 ms 239.358 ms
2 * * *
может надо дополнительно ещё форвардить в ipfw или исп-ть nat?
на 192.168.10.31 какая ОС стоит?
>на 192.168.10.31 какая ОС стоит?WinXP
>>на 192.168.10.31 какая ОС стоит?
>
>WinXPПопробуй брандмауэр отрубить ;-)
>Попробуй брандмауэр отрубить ;-)
на клиенте?
>
>>Попробуй брандмауэр отрубить ;-)
>на клиенте?
на 192.168.10.31
>>
>>>Попробуй брандмауэр отрубить ;-)
>>на клиенте?
>
>
>на 192.168.10.31
а там он и не включен, и с VPN-клиента пингуется 192.168.10.31
На клиенте должен быть разрешен форвард пакетов между интерфейсами.
Посмотрите в MSKB как это сделать. Насколько я помню, за это отвечает какой-то ключ реестра.
>На клиенте должен быть разрешен форвард пакетов между интерфейсами.
>Посмотрите в MSKB как это сделать. Насколько я помню, за это отвечает
>какой-то ключ реестра.а почему в MSKB? у меня ведь и OpenVPN-сервер и OpenVPN-клиент под FreeBSD,может быть надо добавить пр-ло ipfw форвардить на OpenVPN-сервер ?
>>На клиенте должен быть разрешен форвард пакетов между интерфейсами.
>>Посмотрите в MSKB как это сделать. Насколько я помню, за это отвечает
>>какой-то ключ реестра.
>
>а почему в MSKB? у меня ведь и OpenVPN-сервер и OpenVPN-клиент под
>FreeBSD,может быть надо добавить пр-ло ipfw форвардить на OpenVPN-сервер ?Я почему-то подумал, что клиент под Win.
Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между интерфейсами (gateway_enable="YES" в конфиге системы)?
>Я почему-то подумал, что клиент под Win.
>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между
>интерфейсами (gateway_enable="YES" в конфиге системы)?Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"
>
>>Я почему-то подумал, что клиент под Win.
>>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между
>>интерфейсами (gateway_enable="YES" в конфиге системы)?
>
>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"А на OpenVPN-сервере нет этой опции...
>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"
>
>А на OpenVPN-сервере нет этой опции...
эта опция делает тоже самое, что и команда
# sysctl net.inet.ip.forwarding=1 ?
>
>
>>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"
>>
>>А на OpenVPN-сервере нет этой опции...
>
>
>эта опция делает тоже самое, что и команда
># sysctl net.inet.ip.forwarding=1 ?угу
>
>>Я почему-то подумал, что клиент под Win.
>>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между
>>интерфейсами (gateway_enable="YES" в конфиге системы)?
>
>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента?
Если нет, надо или прописать его везде руками, либо (если машины получают адреса от DHCP на Win2003) поставить этот маршрут в опциях DHCP статиком.
>>
>>>Я почему-то подумал, что клиент под Win.
>>>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между
>>>интерфейсами (gateway_enable="YES" в конфиге системы)?
>>
>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"
>
>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента?
>Если нет, надо или прописать его везде руками, либо (если машины получают
>адреса от DHCP на Win2003) поставить этот маршрут в опциях DHCP
>статиком.
нет, не знают, но вроде ж описано всё было в опциях openvpn и должно работать без дополнительной настройки клиентов... судя по http://openvpn.net/howto.html
>>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента?
ну как знают- у них есть шлюз, через который они "видят" VPN-клиента, в общем между хостами сети 192.168.10 и VPN-клиентом 3 хопа...и хосты пингуют VPN-клиент.
>
>>>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента?
>ну как знают- у них есть шлюз, через который они "видят" VPN-клиента,
>в общем между хостами сети 192.168.10 и VPN-клиентом 3 хопа...и хосты
>пингуют VPN-клиент.Пиздец, извините мой французский.
Почитайте букварь по основам мершрутизации. Дальше объяснять покамест бессмысленно.
>>>
>>>>Я почему-то подумал, что клиент под Win.
>>>>Но все равно, вопрос остается - на клиенте разрешен форвард пакетов между
>>>>интерфейсами (gateway_enable="YES" в конфиге системы)?
>>>
>>>Да в /etc/rc.conf на клиенте стоит gateway_enable="yes"
>>
>>Хорошо, а хосты сети 192.168.10 знают о маршруте через VPN-клиента?
>>Если нет, надо или прописать его везде руками, либо (если машины получают
>>адреса от DHCP на Win2003) поставить этот маршрут в опциях DHCP
>>статиком.
>нет, не знают, но вроде ж описано всё было в опциях openvpn
>и должно работать без дополнительной настройки клиентов... судя по http://openvpn.net/howto.html
Вы вообще поняли вопрос?
Опции сервера openvpn тут вообще не при чем.
>Вы вообще поняли вопрос?
>Опции сервера openvpn тут вообще не при чем.может ты и прав, Аноним..но ругацца то зачем? мазафака ты....
разобрался-прописал верно маршр-ию обратно по всем хопам, чтобы icmp-reply знали маршрут к сети 192.168.15.0... В общем как написано в http://openvpn.net/howto.html :"The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box (you won't need this if the OpenVPN server box is the gateway for the server LAN). "