URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82249
[ Назад ]

Исходное сообщение
"Openvpn сервер не сообщает о том, что клиент недоступен"

Отправлено linadmin , 03-Окт-08 14:20 
есть linux server fedora 8 - впн сервер
eth0 - реальный инет айпишник, по которому впн клиенты подсоединяются к серверу
tun0 inet addr:10.1.0.1  P-t-P:10.1.0.2 - впн тунель

ниже маршрутизация
192.168.1.0     10.1.0.2        255.255.255.0   UG        0 0          0 tun0

linux server fedora 8 впн клиент
tun0 10.0.1.1  P-t-P:10.0.1.2
eth1 - 192.168.1.0 локалка

Если клиент подключен, то с впн сервера я пингую 192.168.1.0\24 нормально
Если впн  клиент пропал, то пинг ничего не сообщает

Мне нужно, чтобы моё оборудование при попытке обратиться к сети клиента, который сейчас недоступен, получало какое-то сообщение о недоступности.
Разве маршрутизатор на котором установлен впн сервер не должен выдавать ошибку пинга по таймауту?

Заранее благодарен за любой совет.


Содержание

Сообщения в этом обсуждении
"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 03-Окт-08 15:33 
>[оверквотинг удален]
>
>Если клиент подключен, то с впн сервера я пингую 192.168.1.0\24 нормально
>Если впн  клиент пропал, то пинг ничего не сообщает
>
>Мне нужно, чтобы моё оборудование при попытке обратиться к сети клиента, который
>сейчас недоступен, получало какое-то сообщение о недоступности.
>Разве маршрутизатор на котором установлен впн сервер не должен выдавать ошибку пинга
>по таймауту?
>
>Заранее благодарен за любой совет.

ну судя по всему у тебя таймауты не выставлены должным образом,
поэтому tun0 и не уходит в down при отсутствии связи и как следствие
таблица маршрутизации не перестраивается.
а сообшать ты можешь все что твоей душе угодно и как угодно через скрипты
--up --down.


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено linadmin , 03-Окт-08 16:27 
На этом тунеле висит 5 серверов (клиентов), поэтому тунель не должен отпадать, при падении одного из клиентов.
Мне нужно, чтобы запросы (которые приходят на впн сервер например из его локалкина) на TCP соединение с хостом (который находится в локалке одного из впн клиентов), попадали в тунель (это прописывается маршрутизацией во время подъема впн сервера), но т.к. клиент, к которому назначалась маршрутизация не активен в данный момент, то запросам сообщалась какая-то обшибка, мол хост недоступен.
Т.е. мне кажется это проблема в маршрутизаторе, на котором поднят впн сервер. Нужно его заставить сообщать об ошибке достижения хоста через впн тунель.

"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 03-Окт-08 16:37 
>[оверквотинг удален]
>при падении одного из клиентов.
>Мне нужно, чтобы запросы (которые приходят на впн сервер например из его
>локалкина) на TCP соединение с хостом (который находится в локалке одного
>из впн клиентов), попадали в тунель (это прописывается маршрутизацией во время
>подъема впн сервера), но т.к. клиент, к которому назначалась маршрутизация не
>активен в данный момент, то запросам сообщалась какая-то обшибка, мол хост
>недоступен.
>Т.е. мне кажется это проблема в маршрутизаторе, на котором поднят впн сервер.
>Нужно его заставить сообщать об ошибке достижения хоста через впн тунель.
>

в таком разе --client-connect, --client-dosconnect


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено linadmin , 06-Окт-08 12:51 
Честно говоря, не понимаю, чем эти команды мне могут быть полезны. (описания читал)
Возможно просто необходимо установить на маршрутизаторе, который является впн сервером, таймаут для не вернувшихся запросов? Возможно ли это?
Ведь если (не рассматривать тунель) пингануть IP 192.168.100.1, когда в маршрутизации путь  нему проходит через шлюз по умолчанию (например ppp0 adsl модем), то запросы тоже не вернуться.

"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 06-Окт-08 13:13 
>Честно говоря, не понимаю, чем эти команды мне могут быть полезны. (описания
>читал)
>Возможно просто необходимо установить на маршрутизаторе, который является впн сервером, таймаут для
>не вернувшихся запросов? Возможно ли это?

зачем гвозди телевизором заколачивать ? не достаточно ли прописать по умолчанию на все
сетки клиентов "destination unreachable" и заменять эти маршруты в client-connect / route ?
таймауты нужно крутить в openvpn, чтобы он вовремя обнаруживал отвал клиентов.

>Ведь если (не рассматривать тунель) пингануть IP 192.168.100.1, когда в маршрутизации путь
> нему проходит через шлюз по умолчанию (например ppp0 adsl модем),
>то запросы тоже не вернуться.


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено linadmin , 06-Окт-08 13:24 
Мысль интересначя, можно подробнее о реализации? Что в скрипте конкретно прописать?


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 06-Окт-08 13:51 
>Мысль интересначя, можно подробнее о реализации? Что в скрипте конкретно прописать?

конкрентно в скрипте нужно прописать добавление/удаление маршрута на клиентскую сеть.
а в загрузке можно прописать маршрут на эту сеть по умолчанию,

route add -net 192.168.0.0 netmask 255.255.255.0 reject metric 100


client-connect

[ "$common_name" = "..." ] && ip ro prep 192.168.0.0/24 dev $dev


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено linadmin , 06-Окт-08 13:59 
Если удалить маршрут на подсеть впн клиента который отвалился, маршрутизатор будет пытаться обратиться к хостам из упомянутого сетевого пространства по deafault шлюзу (ppp0 adsl internet) и снова не получит никакого ответа.
Или я где-то ошибаюсь?

"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 06-Окт-08 14:18 
>Если удалить маршрут на подсеть впн клиента который отвалился, маршрутизатор будет пытаться
>обратиться к хостам из упомянутого сетевого пространства по deafault шлюзу (ppp0
>adsl internet) и снова не получит никакого ответа.
>Или я где-то ошибаюсь?

где-то ошибаюсь. до того как ты снесешь маршрут на подсеть клиента, у тебя будет 2 маршрута
- один через vpn
- второй - unreachable.
так вот, снесешь ты только первый.


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено linadmin , 06-Окт-08 14:44 
Идею понял. Но как установить по умолчанию "unreachable"?
Помоги плз, если не сложно, с настройкой Openvpn с помощью этих скриптов.


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 06-Окт-08 17:42 
>Идею понял. Но как установить по умолчанию "unreachable"?
>Помоги плз, если не сложно, с настройкой Openvpn с помощью этих скриптов.
>

так там на пост раньше написал


"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено linadmin , 06-Окт-08 18:08 
К сожалению у меня не хватает опыта для реализации этого способа по выше приведенной информации.
Мы можем продолжить в icq или напрямую по почте?
Или просто подробнее распиши действия плз. Как удобнее.



"Openvpn сервер не сообщает о том, что клиент недоступен"
Отправлено Z0termaNN , 06-Окт-08 18:13 
>К сожалению у меня не хватает опыта для реализации этого способа по
>выше приведенной информации.
>Мы можем продолжить в icq или напрямую по почте?
>Или просто подробнее распиши действия плз. Как удобнее.

отправил свои координаты на gmail