URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84322
[ Назад ]

Исходное сообщение
"openvpn показывает реальный IP "

Отправлено centosuser , 03-Мрт-09 10:31 
Здравствуйте
Так и должно быть ?
Поднял на дедике(CENTOS5) openvpn. Создал все ключи, короче установил по мануалу официальному.
ВинХР соединяется к серверу openvpn, коннект есть, но вот IP почему-то показывается реальный от моего провайдера. Так и должно быть?

Содержание

Сообщения в этом обсуждении
"openvpn показывает реальный IP "
Отправлено mikra , 03-Мрт-09 12:01 
>Здравствуйте
>Так и должно быть ?
>Поднял на дедике(CENTOS5) openvpn. Создал все ключи, короче установил по мануалу официальному.
>
>ВинХР соединяется к серверу openvpn, коннект есть, но вот IP почему-то показывается
>реальный от моего провайдера. Так и должно быть?

Нутк это пользователь задает при настройке openvpn как "должно быть". А уж что из его потуг получается, то считается результатом. Если результат такой как есть, то кто кроме пользователя знает как "должно быть"?


"openvpn показывает реальный IP "
Отправлено centosuser , 03-Мрт-09 12:08 
>>Здравствуйте
>>Так и должно быть ?
>>Поднял на дедике(CENTOS5) openvpn. Создал все ключи, короче установил по мануалу официальному.
>>
>>ВинХР соединяется к серверу openvpn, коннект есть, но вот IP почему-то показывается
>>реальный от моего провайдера. Так и должно быть?
>
>Нутк это пользователь задает при настройке openvpn как "должно быть". А уж
>что из его потуг получается, то считается результатом. Если результат такой
>как есть, то кто кроме пользователя знает как "должно быть"?

конфиг для клиента:

client
dev tun
proto tcp
remote 201.218.228.74 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3



"openvpn показывает реальный IP "
Отправлено berlin , 03-Мрт-09 12:14 
В конфиге сервера надо добавить несколько строк, чтобы весь траффик перенаправить через него. И нат для openVPN прописать в правилах iptables.

В этом случае уже будет определятся ip  удаленного сервера.


"openvpn показывает реальный IP "
Отправлено centosuser , 03-Мрт-09 12:22 
>В конфиге сервера надо добавить несколько строк, чтобы весь траффик перенаправить через
>него. И нат для openVPN прописать в правилах iptables.
>
>В этом случае уже будет определятся ip  удаленного сервера.

ок. разберусь


"openvpn показывает реальный IP "
Отправлено mikra , 03-Мрт-09 13:07 
>>В конфиге сервера надо добавить несколько строк, чтобы весь траффик перенаправить через
>>него. И нат для openVPN прописать в правилах iptables.
>>
>>В этом случае уже будет определятся ip  удаленного сервера.
>
>ок. разберусь

На сервере можно сделать мост из реального и tap интерфейса. При внешнем dhcp openvpn будет только создавать туннель до этого tap интерфейса, а настройки пользователю будет отдавать dhcp. Оптимальный вариант зависит от желаемой архитектуры сети с участием клиентов openvpn. Поэтому лучше все-таки с конфигом разобраться и сделать как нужно.


"openvpn показывает реальный IP "
Отправлено centosuser , 20-Мрт-09 04:31 
Hi everybody.
Я установил на дедик openvpn
Пытаюсь правильно сконфигурировать.


[root@ds99 ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:14:85:F8:20:57
          inet addr:**.**.**.**  Bcast:**.**.**.**  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1153569 errors:0 dropped:0 overruns:0 frame:0
          TX packets:356157 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:84268886 (80.3 MiB)  TX bytes:58190830 (55.4 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:268 errors:0 dropped:0 overruns:0 frame:0
          TX packets:268 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:664479 (648.9 KiB)  TX bytes:664479 (648.9 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:18 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1015 (1015.0 b)  TX bytes:443 (443.0 b)


server conf:

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
verb 3
push "redirect-gateway def1"

client conf:
client
dev tun
proto udp
remote my-server-2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3


Соединяется успешно, но ничего не работает с клиента при включенном впн. Пытаюсь открыть google.com

tcpdump -i tun0:

09:11:37.929414 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain
unreachable, length 59
09:12:41.675341 IP 10.8.0.6.acp-policy > 10.8.0.1.domain:  1+ PTR?
1.0.8.10.in-addr.arpa. (39)
09:12:41.675370 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain
unreachable, length 75
09:12:41.882199 IP 10.8.0.6.3825 > dns.sea1.speakeasy.net.domain:  2+ PTR?
2.87.93.66.in-addr.arpa. (41)
09:12:43.902579 IP 10.8.0.6.3826 > ns2.sprintlink.net.domain:  3+ PTR?
10.252.2.199.in-addr.arpa. (43)
09:12:45.894026 IP 10.8.0.6.3827 > 10.8.0.1.domain:  4+ A? google.com. (28)
09:12:45.894057 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain
unreachable, length 64
09:13:18.252368 IP 10.8.0.6.3828 > ****
.http: S 2068916632:2068916632(0) win 16384 <mss 1368,nop,nop,sackOK>
09:13:21.269434 IP 10.8.0.6.3828 > ****.http: S 2068916632:2068916632(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:25.163777 IP 10.8.0.6.3829 >
adsl-66-142-66-136.dsl.snantx.swbell.net.23629: S 2070594693:2070594693(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:27.243484 IP 10.8.0.6.3828 > ****.http: S 2068916632:2068916632(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:28.120364 IP 10.8.0.6.3829 >
adsl-66-142-66-136.dsl.snantx.swbell.net.23629: S 2070594693:2070594693(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:34.171543 IP 10.8.0.6.3829 >
adsl-66-142-66-136.dsl.snantx.swbell.net.23629: S 2070594693:2070594693(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:39.223822 IP 10.8.0.6.3830 > ****.http: S 2073874396:2073874396(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:42.231250 IP 10.8.0.6.3830 > ****.http: S 2073874396:2073874396(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:48.576091 IP 10.8.0.6.3830 > ****.http: S 2073874396:2073874396(0) win
16384 <mss 1368,nop,nop,sackOK>


можете помочь ? я выключил iptables


"openvpn показывает реальный IP "
Отправлено PavelR , 20-Мрт-09 06:26 
>можете помочь ? я выключил iptables

поздравляем, включи обратно. Помочь не можем, ибо нечем.

Либо - за деньги с предоставлением доступа к серверу.



"openvpn показывает реальный IP "
Отправлено centosuser , 20-Мрт-09 17:51 


Очень грубо а по существу нечего сказать ?


"openvpn показывает реальный IP "
Отправлено centosuser , 20-Мрт-09 18:09 
По поводу доступа к первенц то невозможно. Скажите хотябы что читать до просветления


"openvpn показывает реальный IP "
Отправлено Berlin , 20-Мрт-09 21:53 
Надо настроить нат для переброса траффика:

iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source *.*.*.*

Звездочки - ip вашего дедика


"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 03:51 
Как правильно написать эту строку?

> iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source *.*.*.*

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source *.*.*.*

где ppp0 - интрефейс моего инета (сейчас настраиваю локально)

???


"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 05:11 
помогите правильно настроить iptables для работы с openvpn
Сейчас задача упростилась, я установил centos в wmvare и теперь серв можно крутить как захочешь (хорошо что не набрал iptables -F на дедике, а локально набрал, вот был бы ппц :))

ну ладно. попытаюсь поставить и описать задачу сейчас более корректно:
дано сервак, eth0 локальный интерфейс,также есть ифейс eth1(как бы виртуальный IP) который на данный момент просто дублирует настройки eth0(ip адрес в eth0 и eth1 одинаковый), ppp0 адсл соединение с провом.
собрал, установил, настроил конфиги в openvpn:
server:
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3


для клиента не буду приводить, он соединяется, значит всё ок. Клиент находится сейчас в локальной сети сервера. Пытаюсь настроить iptables чтобы был переброс трафика и работал интернет на клиенте. Нашел в дистре openvpn типовой скрипт firewall.sh теперь после старта опенвпн сервера, подгружаю его (хотя может он подргружается автоматом хз, опенвпн так-то стартую тоже типовым скриптом)

здесь мой ifconfig:
eth0      Link encap:Ethernet  HWaddr 00:0C:29:52:1D:5A
          inet addr:192.168.0.9  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe52:1d5a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4563 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3505 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:406664 (397.1 KiB)  TX bytes:452625 (442.0 KiB)
          Interrupt:177 Base address:0x1080

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:21 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1408 (1.3 KiB)  TX bytes:1408 (1.3 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.34.17.155  P-t-P:10.10.10.6  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:576 (576.0 b)  TX bytes:576 (576.0 b)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)


привожу iptables-save после отработки этого скрипта вам:

cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Sun Mar 22 20:13:58 2009
*filter
-A INPUT -s 127.0.0.1 -i ppp0 -j DROP
-A INPUT -d 127.0.0.1 -i ppp0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 127.0.0.1 -i ppp0 -j DROP
-A FORWARD -d 127.0.0.1 -i ppp0 -j DROP
-A FORWARD -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A FORWARD -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A FORWARD -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --sport 137:139 -j DROP
-A FORWARD -o ppp0 -p udp -m udp --sport 137:139 -j DROP
-A FORWARD -s ! 192.168.0.0/255.255.255.0 -i eth1 -j DROP
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 137:139 -j DROP
-A OUTPUT -o ppp0 -p udp -m udp --sport 137:139 -j DROP
-A OUTPUT -o ppp0 -m state --state NEW -j ACCEPT
COMMIT
*nat
-A POSTROUTING -o ppp+ -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 22 20:13:58 2009

делаю на клиенте пигн до ИП яндекса
C:\Documents and Settings\admin>ping 213.180.204.8

Pinging 213.180.204.8 with 32 bytes of data:

Destination host unreachable.
Destination host unreachable.
Destination host unreachable.
Destination host unreachable.

нужна ваша помощь. iptables только начал изучать, поэтому сложности. да и вообще юзер полный в никсах


"openvpn показывает реальный IP "
Отправлено Berlin , 23-Мрт-09 10:37 
Тогда и винду тоже поставь внутрь еще одного wmvare контейнера. Запусти виндовс и центос, на обоих контейнерах и потом уже пытайся перебросить весть трафик с помощью openVPN с виндовс-контейнера через контейнер центос.


Если машина тестовая внутри wmvare, то нет никакого смысла в таком колличестве правил iptables. Можешь на самом деле все сбросить командой iptables -F и затем прописать
одно правило для nat.

iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.0.9

Этим правилом все пакеты от сети 10.8.0.0/24 переправляются на интерфейс eth0 с ip 192.168.0.9, а wmavare дальше сама разберется как пробросить это дело в инет.

Удачи.



"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 15:45 
>Тогда и винду тоже поставь внутрь еще одного wmvare контейнера. Можешь на самом деле все >сбросить командой iptables -F и затем прописать одно правило для nat.
>
>iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.0.9
>

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.0.9

сделал так как вы и сказали, но всё равно Destination unreachable из винды пинг до яндекса например.
Можно как-то отследить полученный пакет от винды к центосу через туннель и где он пропадает ?


"openvpn показывает реальный IP "
Отправлено Berlin , 23-Мрт-09 16:42 
Надо добится сначала, чтобы ходили пинги между сервером и клиентом.

И надо посмотреть, что с таблицей маршрутов в винде командой:
route print
И в центос командой route

За трафиком между клиентом и сервером openvpn можно наблюдать командой:
tcpdump -i tun0



"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 17:10 
>Надо добится сначала, чтобы ходили пинги между сервером и клиентом.
>И надо посмотреть, что с таблицей маршрутов в винде командой:
>route print

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.4     192.168.0.4       30
      192.168.0.4  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.0.255  255.255.255.255      192.168.0.4     192.168.0.4       30
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0      192.168.0.4     192.168.0.4       30
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255      192.168.0.4     192.168.0.4       1

>И в центос командой route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.6      *               255.255.255.255 UH    0      0        0 ppp0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         *               0.0.0.0         U     0      0        0 ppp0

>За трафиком между клиентом и сервером openvpn можно наблюдать командой:
>tcpdump -i tun0

ping 213.180.204.8
в винде, не дает ничего опять. смотрю tcpdump -i tun0
там тишина на этот пинг, значит пакеты даже не идут в туннель


"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 17:14 
еще в винде в openvpnclient при соединении такой варнинг
Mon Mar 23 09:12:58 2009 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system

"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 17:45 
добавил в винде
>route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5

теперь
C:\Documents and Settings\admin>tracert 213.180.204.8

Tracing route to 213.180.204.8 over a maximum of 30 hops

  1     1 ms     1 ms    <1 ms  10.8.0.1
  2     *        *        *     Request timed out.
  3     *     ^C

log tcpdump -i tun0
08:22:09.333786 IP 10.8.0.6.netbios-ns > ya.ru.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
08:22:10.226027 IP 10.8.0.6.netbios-ns > ya.ru.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:11.193302 IP 10.8.0.6.netbios-ns > ya.ru.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:12.110733 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 35840, length 72
08:22:12.110929 IP 10.8.0.1 > 10.8.0.6: ICMP time exceeded in-transit, length 100
08:22:12.114036 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36096, length 72
08:22:12.114741 IP 10.8.0.1 > 10.8.0.6: ICMP time exceeded in-transit, length 100
08:22:12.117093 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36352, length 72
08:22:12.117812 IP 10.8.0.1 > 10.8.0.6: ICMP time exceeded in-transit, length 100
08:22:12.121067 IP 10.8.0.6.hpvmmdata > 10.8.0.1.domain:  13+ PTR? 1.0.8.10.in-addr.arpa. (39)
08:22:12.121127 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain unreachable, length 75
08:22:12.124183 IP 10.8.0.6.netbios-ns > 10.8.0.1.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
08:22:12.124935 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port netbios-ns unreachable, length 86
08:22:13.024266 IP 10.8.0.6.netbios-ns > 10.8.0.1.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:13.024846 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port netbios-ns unreachable, length 86
08:22:13.932964 IP 10.8.0.6.netbios-ns > 10.8.0.1.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:13.933456 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port netbios-ns unreachable, length 86
08:22:15.381826 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36608, length 72
08:22:18.100002 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36864, length 72
08:22:20.858658 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 37120, length 72
08:22:23.617666 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 37376, length 72
08:22:26.307522 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 37632, length 72


"openvpn показывает реальный IP "
Отправлено Berlin , 23-Мрт-09 17:50 
А что показывает команда iptables -t nat -nvL    ?


"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 18:05 
>А что показывает команда iptables -t nat -nvL    ?
>

[root@localhost ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 384 packets, 60917 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 12 packets, 1037 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      ppp+    0.0.0.0/0            0.0.0.0/0  

Chain OUTPUT (policy ACCEPT 17 packets, 1380 bytes)
pkts bytes target     prot opt in     out     source               destination


"openvpn показывает реальный IP "
Отправлено Berlin , 23-Мрт-09 18:22 
centosuser, в приведенных тобой правилах ната для iptalbes я не вижу команды которую я тут писал. Ты ее так и не ввел.

И если центос уже находится внутри wmvare зачем ему ppp0? Когда можно в настройках vmvare указать сетевое соединение NAT и все на этом, интернет в центосовском контейнере будет работать.



"openvpn показывает реальный IP "
Отправлено centosuser , 23-Мрт-09 21:32 
да действительно чистил таблицы. сейчас добавил
Chain POSTROUTING (policy ACCEPT 12 packets, 1037 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  *      eth0    10.8.0.0/24          0.0.0.0/0           to:192.168.0.9

Chain OUTPUT (policy ACCEPT 21 packets, 1664 bytes)
pkts bytes target     prot opt in     out     source               destination


пробую, всё равно тот же результат. ppp0 нужен для того чтобы центос в варьке был как дедик все-таки поближе с собственным интернет каналом.


"openvpn показывает реальный IP "
Отправлено Berlin , 23-Мрт-09 23:15 

>пробую, всё равно тот же результат. ppp0 нужен для того чтобы центос
>в варьке был как дедик все-таки поближе с собственным интернет каналом.
>

Если исходящий интерфейс ppp0, то тогда правило nat надо соответственно переписать по аналогии.


"openvpn показывает реальный IP "
Отправлено centosuser , 24-Мрт-09 14:52 

>Если исходящий интерфейс ppp0, то тогда правило nat надо соответственно переписать по
>аналогии.

И еще разок пишу всё что есть по порядку. Сделал:

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 10.34.17.155

теперь таблица такая:
~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.8.0.0/24          anywhere            to:10.34.17.155

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:52:1D:5A
          inet addr:192.168.0.9  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe52:1d5a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:773 errors:0 dropped:0 overruns:0 frame:0
          TX packets:560 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:77074 (75.2 KiB)  TX bytes:63123 (61.6 KiB)
          Interrupt:177 Base address:0x1080

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:21 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1408 (1.3 KiB)  TX bytes:1408 (1.3 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.34.17.155  P-t-P:10.10.10.6  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1363 (1.3 KiB)  TX bytes:1245 (1.2 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:542 (542.0 b)  TX bytes:90 (90.0 b)

~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.6      *               255.255.255.255 UH    0      0        0 ppp0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         *               0.0.0.0         U     0      0        0 ppp0

и route print в винде
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         10.8.0.5        10.8.0.6       1
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.4     192.168.0.4       30
      192.168.0.4  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.0.255  255.255.255.255      192.168.0.4     192.168.0.4       30
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0      192.168.0.4     192.168.0.4       30
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255      192.168.0.4     192.168.0.4       1
Default Gateway:          10.8.0.5


вот ведь вроде уже всё должно работать. По tcpdump видно что пакеты приходят на сервер центос, но все равно не перекидываются они на интерфейс ppp0, что также видно из tcpdump.
где-то что-то еще не хватает


"openvpn показывает реальный IP "
Отправлено centosuser , 24-Мрт-09 15:05 
очень хочется не заставить работать "костылями", понять почему же не работает. И как должно быть.

"openvpn показывает реальный IP "
Отправлено Berlin , 24-Мрт-09 15:34 
> Default Gateway:          10.8.0.5

А почему шлюз по умолчанию 10.8.0.5 на виндовс машине?

Если на центосе tun0  inet addr:10.8.0.1

И добейтесь пингов между сервером и клиентом со включенным openVPN


"openvpn показывает реальный IP "
Отправлено centosuser , 24-Мрт-09 15:42 
>> Default Gateway:          10.8.0.5
>
>А почему шлюз по умолчанию 10.8.0.5 на виндовс машине?
>
>Если на центосе tun0  inet addr:10.8.0.1
>
>И добейтесь пингов между сервером и клиентом со включенным openVPN

во всех мануалах так и пишут что надо добавлять 0.5

C:\Documents and Settings\admin>route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.1
The route addition failed: Either the interface index is wrong or the gateway do
es not lie on the same network as the interface. Check the IP Address Table for
the machine.


C:\Documents and Settings\admin>ping 10.8.0.1

Pinging 10.8.0.1 with 32 bytes of data:

Reply from 10.8.0.1: bytes=32 time=6ms TTL=64
Reply from 10.8.0.1: bytes=32 time=1ms TTL=64

Ping statistics for 10.8.0.1:
    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 6ms, Average = 3ms
Control-C
^C
C:\Documents and Settings\admin>route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5

C:\Documents and Settings\admin>

Пинг идет нормально даже до добавления основного маршрута 0.5. Что маршрут 0.5 верен говорит и то что после его добавления пинг до любого инет адреса попадает на tun0 и приходит на центос


"openvpn показывает реальный IP "
Отправлено centosuser , 24-Мрт-09 15:49 
вот на данный момент еще iptables -t nat -nvL

Chain POSTROUTING (policy ACCEPT 13 packets, 1052 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  *      ppp0    10.8.0.0/24          0.0.0.0/0           to:10.34.17.155


"openvpn показывает реальный IP "
Отправлено Berlin , 24-Мрт-09 16:05 
>во всех мануалах так и пишут что надо добавлять 0.5

Хех, это что же за сакральные мануалы такие.

Если опенвпн сервер имеет ip 10.8.0.1 то с какой стати, пакеты будут передаваться через
10.8.0.5 ?


"openvpn показывает реальный IP "
Отправлено centosuser , 24-Мрт-09 16:25 
немного не так: не мануалы написаны, а сам сервер опенвпн добавляет такие маршруты. вот конфиг сервера:
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
push "dhcp-option DNS 10.8.0.1"


вот эта строка push "redirect-gateway def1"
и добавляет такие маршруты сама.
прописал её только что чтобы понять почему я ставил 0.5, и теперь таблица маршрутов в винде претепела изменения:
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0        128.0.0.0         10.8.0.5        10.8.0.6       1
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
        128.0.0.0        128.0.0.0         10.8.0.5        10.8.0.6       1
      192.168.0.0    255.255.255.0      192.168.0.4     192.168.0.4       30
      192.168.0.4  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.0.255  255.255.255.255      192.168.0.4     192.168.0.4       30
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0      192.168.0.4     192.168.0.4       30
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255      192.168.0.4     192.168.0.4       1
Default Gateway:          10.8.0.5


"openvpn показывает реальный IP "
Отправлено Berlin , 24-Мрт-09 16:59 
Это не правильно.

push "route 10.8.0.1"

Вот такую строку надо добавить в конфиг сервера.



"openvpn показывает реальный IP "
Отправлено Berlin , 24-Мрт-09 17:35 
ifconfig-pool-persist ipp.txt

А что у вас в этом файле ipp.txt?

И какие логи выдает сервер и клиент?


"openvpn показывает реальный IP "
Отправлено centosuser , 24-Мрт-09 21:02 
>Это не правильно.
>
>push "route 10.8.0.1"
>
>Вот такую строку надо добавить в конфиг сервера.

добавил такую строку. предыдушую удалил.
теперь смотрим таблицу маршрутов в винде:
Network Destination        Netmask          Gateway       Interface  Metric
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.4     192.168.0.4       30
      192.168.0.4  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.0.255  255.255.255.255      192.168.0.4     192.168.0.4       30
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0      192.168.0.4     192.168.0.4       30
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255      192.168.0.4     192.168.0.4       1
===========================================================================

нет маршрута по умолчанию, который со старыми настройками был.

вот логи от клиента:
Tue Mar 24 12:58:20 2009 [local] Peer Connection Initiated with 192.168.0.9:1194
Tue Mar 24 12:58:21 2009 SENT CONTROL [local]: 'PUSH_REQUEST' (status=1)
Tue Mar 24 12:58:21 2009 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: timers and/or timeouts modified
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: --ifconfig/up options modified
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: route options modified
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Mar 24 12:58:21 2009 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{48E3CA6A-AF9C-4F72-BFC3-CA1B65C186B9}.tap
Tue Mar 24 12:58:21 2009 TAP-Win32 Driver Version 8.4
Tue Mar 24 12:58:21 2009 TAP-Win32 MTU=1500
Tue Mar 24 12:58:21 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {48E3CA6A-AF9C-4F72-BFC3-CA1B65C186B9} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Mar 24 12:58:21 2009 Successful ARP Flush on interface [3] {48E3CA6A-AF9C-4F72-BFC3-CA1B65C186B9}
Tue Mar 24 12:58:21 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Mar 24 12:58:21 2009 Route: Waiting for TUN/TAP interface to come up...
Tue Mar 24 12:58:22 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Mar 24 12:58:22 2009 Route: Waiting for TUN/TAP interface to come up...
Tue Mar 24 12:58:23 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Mar 24 12:58:23 2009 Route: Waiting for TUN/TAP interface to come up...
Tue Mar 24 12:58:24 2009 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Mar 24 12:58:24 2009 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Tue Mar 24 12:58:24 2009 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Mar 24 12:58:24 2009 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Mar 24 12:58:24 2009 Initialization Sequence Completed

вот ipp.txt
~]# cat /etc/openvpn/ipp.txt
local,10.8.0.4

а вот лог openvpn-status.log
~]# cat /etc/openvpn/openvpn-status.log
OpenVPN CLIENT LIST
Updated,Tue Mar 24 10:00:09 2009
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
local,192.168.0.4:1138,4266,4440,Tue Mar 24 09:58:39 2009
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,local,192.168.0.4:1138,Tue Mar 24 09:58:43 2009
GLOBAL STATS
Max bcast/mcast queue length,0
END



"openvpn показывает реальный IP "
Отправлено centosuser , 25-Мрт-09 01:04 
тут нарыл такой линк в сети, видимо вопрос пока закрыт :)

http://www.secure-computing.net/wiki/index.php/Durrrr


"openvpn показывает реальный IP "
Отправлено centosuser , 25-Мрт-09 03:03 
на дедике всё настроил.
Спасибо за помощь