Доброго времени суток.Поднял vpn между сетями 192.168.0.0/24 и 192.168.5.0/24 с использованием openvpn. Vpn поднимается, клиенту выдается ip и поднимается интерфейс tap0. Вот здесь схема подключений для большей ясности http://img222.imageshack.us/img222/2288/vpnye9.gif .
После того как поднимется vpn руками прописываю маршруты на gateway 192.168.0.4 route add -net 192.168.5.0/24 gw 10.10.10.11 а на gate 192.168.5.2 route add -net 192.168.0.0/24 gw 10.10.10.1. После этого пингую с 0.4 0,2 пинг проходит, на 0.1 тоже. Теперь из сети с 0.120 (win) пинг не идет в сеть 5.0. с 5.2 (или 5.1) пинг идет только до 0.4, а в сеть нет. В iptables не добавлял ни каких цепочек. По iptables -L -v ничего не выводит. OS Debian 4Подскажите хотябы куда копать.
Заранее спасибо.
>Доброго времени суток.
>
>Поднял vpn между сетями 192.168.0.0/24 и 192.168.5.0/24 с использованием openvpn. Vpn поднимается,
>клиенту выдается ip и поднимается интерфейс tap0. Вот здесь схема подключений
>для большей ясности http://img222.imageshack.us/img222/2288/vpnye9.gif .
>После того как поднимется vpn руками прописываю маршруты на gateway 192.168.0.4 route
>add -net 192.168.5.0/24 gw 10.10.10.11 а на gate 192.168.5.2 route add
>-net 192.168.0.0/24 gw 10.10.10.1. После этого пингую с 0.4 0,2 пинг
>проходит, на 0.1 тоже. Теперь из сети с 0.120 (win) пинг
>не идет в сеть 5.0. с 5.2 (или 5.1) пинг идет
>только до 0.4, а в сеть нет. В iptables не добавлял
>ни каких цепочек. По iptables -L -v ничего не выводит. OS
>Debian 4
>
>Подскажите хотябы куда копать.
>
>Заранее спасибо.
Копать сначало в сторону чтения мануала openvpn, а конкретно параметра iroute
u http://openvpn.net/howto.html#scope пункта Including multiple machines on the client side when using a routed VPN (dev tun) в котором написано:
"Why the redundant route and iroute statements, you might ask? The reason is that route controls the routing from the kernel to the OpenVPN server (via the TUN interface) while iroute controls the routing from the OpenVPN server to the remote clients. Both are necessary."
У меня к сожалению проблемы с ангийским... Можно хоть что то на руском или краткое пояснение?
>У меня к сожалению проблемы с ангийским... Можно хоть что то на
>руском или краткое пояснение?
Посмотри здесь http://www.securitylab.ru/forum/read.php?FID=21&TID=42044или пришли конфиг файлы сервера и клиента
Вот конфиг с сервера:/etc/openvpn/connect1/local.conf
mode server
tls-server
proto tcp-server
dev tap
port 5555
cd /etc/openvpn/connect1
#up /etc/openvpn/connect1/upscript.sh
#down /etc/openvpn/connect1/downscript.sh
tls-auth /etc/openvpn/connect1/keys/auth.key 0
ca /etc/openvpn/connect1/keys/ca.crt
cert /etc/openvpn/connect1/keys/gateway.crt
key /etc/openvpn/connect1/keys/gateway.key
dh /etc/openvpn/connect1/keys/dh1024.pem
ifconfig 10.10.10.1 255.255.255.0
ifconfig-pool 10.10.10.10 10.10.10.20 255.255.255.0
duplicate-cn
user nobody
group nogroup
client-config-dir /home/ccd
push "route 192.168.0.0 255.255.255.0"
route 192.168.5.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
verb 6
cipher DES-EDE3-CBC
#client-config-dir /home/cdd
log-append /var/log/openvpn.log
status /var/log/openvpn-status.log
comp-lzo
А вот с клиента:client
proto tcp-client
remote *.*.*.*
dev tap
port 5555
resolv-retry infinite
persist-key
persist-tun
nobind
tls-client
#up /etc/openvpn/upscript.sh
#down /etc/openvpn/downscript.sh
cd /etc/openvpn/connect1
pull
tls-auth /etc/openvpn/connect1/keys/auth.key 1
dh /etc/openvpn/connect1/keys/dh1024.pem
ca /etc/openvpn/connect1/keys/ca.crt
cert /etc/openvpn/connect1/keys/gate.crt
key /etc/openvpn/connect1/keys/gate.key
user nobody
group nogroup
cipher DES-EDE3-CBC
log-append /var/log/openvpn.log
comp-lzo
mute 20
Заменил в серверном конфиге строки:
>dev tap
>ifconfig 10.10.10.1 255.255.255.0
>ifconfig-ol 10.10.10.10 10.10.10.20 255.255.255.0
на:
dev tun
server 10.10.10.0 255.255.255.0
push "route 10.10.10.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
route 192.168.5.0 255.255.255.0и конечно немного поравил клиетский конфиг. Теперь маршруты в таблицу он домавляет сам, их там стало борльше:
сервер (192,168,0,4)
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.2 * 255.255.255.255 UH 0 0 0 tun0
10.10.10.6 10.10.10.2 255.255.255.255 UGH 0 0 0 tun0
62.5.243.28 * 255.255.255.252 U 0 0 0 eth0
192.168.5.0 10.10.10.2 255.255.255.0 UG 0 0 0 tun0
localnet * 255.255.255.0 U 0 0 0 eth1
10.10.10.0 10.10.10.2 255.255.255.0 UG 0 0 0 tun0
default *.*.*.* 0.0.0.0 UG 0 0 0 eth0Маршрут 10,10,10,6 gw 10.10.10.2 добавил руками, но что с ним что без него не пингует даже клиента(192,168,5,2)
Клиент:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.1 10.10.10.5 255.255.255.255 UGH 0 0 0 tun0
10.10.10.5 * 255.255.255.255 UH 0 0 0 tun0
vhg-m22-2-lo10. * 255.255.255.255 UH 0 0 0 ppp0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth1
192.168.5.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 10.10.10.5 255.255.255.0 UG 0 0 0 tun0
10.10.10.0 10.10.10.5 255.255.255.0 UG 0 0 0 tun0
default * 0.0.0.0 U 0 0 0 ppp0
Файл /home/ccd/gate я создал и вписал в него iroute 192.168.5.0 255.255.255.0 (пробовал 192,168,0,0), права 755 644, владелец nobody:nogroup результат тотже...
Все! Все заработало.... Всем спасибо...Теперь можно наконец поспать, после 30 часов борьбы с openvpn...
balalaikinn еще раз спасибо за помощь...
>Все! Все заработало.... Всем спасибо...
>
>Теперь можно наконец поспать, после 30 часов борьбы с openvpn...
>
>balalaikinn еще раз спасибо за помощь...
Незачто, ты ведь дальше сам додумался :)
хорошо что сам справился, а англицкий все-таки учи ;)
Мне хотябы простой канал поднять со статическим ключем. Помогите очень нужно.
