Здравствуйте
Так и должно быть ?
Поднял на дедике(CENTOS5) openvpn. Создал все ключи, короче установил по мануалу официальному.
ВинХР соединяется к серверу openvpn, коннект есть, но вот IP почему-то показывается реальный от моего провайдера. Так и должно быть?
>Здравствуйте
>Так и должно быть ?
>Поднял на дедике(CENTOS5) openvpn. Создал все ключи, короче установил по мануалу официальному.
>
>ВинХР соединяется к серверу openvpn, коннект есть, но вот IP почему-то показывается
>реальный от моего провайдера. Так и должно быть?Нутк это пользователь задает при настройке openvpn как "должно быть". А уж что из его потуг получается, то считается результатом. Если результат такой как есть, то кто кроме пользователя знает как "должно быть"?
>>Здравствуйте
>>Так и должно быть ?
>>Поднял на дедике(CENTOS5) openvpn. Создал все ключи, короче установил по мануалу официальному.
>>
>>ВинХР соединяется к серверу openvpn, коннект есть, но вот IP почему-то показывается
>>реальный от моего провайдера. Так и должно быть?
>
>Нутк это пользователь задает при настройке openvpn как "должно быть". А уж
>что из его потуг получается, то считается результатом. Если результат такой
>как есть, то кто кроме пользователя знает как "должно быть"?конфиг для клиента:
client
dev tun
proto tcp
remote 201.218.228.74 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
В конфиге сервера надо добавить несколько строк, чтобы весь траффик перенаправить через него. И нат для openVPN прописать в правилах iptables.В этом случае уже будет определятся ip удаленного сервера.
>В конфиге сервера надо добавить несколько строк, чтобы весь траффик перенаправить через
>него. И нат для openVPN прописать в правилах iptables.
>
>В этом случае уже будет определятся ip удаленного сервера.ок. разберусь
>>В конфиге сервера надо добавить несколько строк, чтобы весь траффик перенаправить через
>>него. И нат для openVPN прописать в правилах iptables.
>>
>>В этом случае уже будет определятся ip удаленного сервера.
>
>ок. разберусьНа сервере можно сделать мост из реального и tap интерфейса. При внешнем dhcp openvpn будет только создавать туннель до этого tap интерфейса, а настройки пользователю будет отдавать dhcp. Оптимальный вариант зависит от желаемой архитектуры сети с участием клиентов openvpn. Поэтому лучше все-таки с конфигом разобраться и сделать как нужно.
Hi everybody.
Я установил на дедик openvpn
Пытаюсь правильно сконфигурировать.
[root@ds99 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:14:85:F8:20:57
inet addr:**.**.**.** Bcast:**.**.**.** Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1153569 errors:0 dropped:0 overruns:0 frame:0
TX packets:356157 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:84268886 (80.3 MiB) TX bytes:58190830 (55.4 MiB)lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:268 errors:0 dropped:0 overruns:0 frame:0
TX packets:268 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:664479 (648.9 KiB) TX bytes:664479 (648.9 KiB)tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:18 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1015 (1015.0 b) TX bytes:443 (443.0 b)
server conf:port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
push "redirect-gateway def1"client conf:
client
dev tun
proto udp
remote my-server-2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
Соединяется успешно, но ничего не работает с клиента при включенном впн. Пытаюсь открыть google.comtcpdump -i tun0:
09:11:37.929414 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain
unreachable, length 59
09:12:41.675341 IP 10.8.0.6.acp-policy > 10.8.0.1.domain: 1+ PTR?
1.0.8.10.in-addr.arpa. (39)
09:12:41.675370 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain
unreachable, length 75
09:12:41.882199 IP 10.8.0.6.3825 > dns.sea1.speakeasy.net.domain: 2+ PTR?
2.87.93.66.in-addr.arpa. (41)
09:12:43.902579 IP 10.8.0.6.3826 > ns2.sprintlink.net.domain: 3+ PTR?
10.252.2.199.in-addr.arpa. (43)
09:12:45.894026 IP 10.8.0.6.3827 > 10.8.0.1.domain: 4+ A? google.com. (28)
09:12:45.894057 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain
unreachable, length 64
09:13:18.252368 IP 10.8.0.6.3828 > ****
.http: S 2068916632:2068916632(0) win 16384 <mss 1368,nop,nop,sackOK>
09:13:21.269434 IP 10.8.0.6.3828 > ****.http: S 2068916632:2068916632(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:25.163777 IP 10.8.0.6.3829 >
adsl-66-142-66-136.dsl.snantx.swbell.net.23629: S 2070594693:2070594693(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:27.243484 IP 10.8.0.6.3828 > ****.http: S 2068916632:2068916632(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:28.120364 IP 10.8.0.6.3829 >
adsl-66-142-66-136.dsl.snantx.swbell.net.23629: S 2070594693:2070594693(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:34.171543 IP 10.8.0.6.3829 >
adsl-66-142-66-136.dsl.snantx.swbell.net.23629: S 2070594693:2070594693(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:39.223822 IP 10.8.0.6.3830 > ****.http: S 2073874396:2073874396(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:42.231250 IP 10.8.0.6.3830 > ****.http: S 2073874396:2073874396(0) win
16384 <mss 1368,nop,nop,sackOK>
09:13:48.576091 IP 10.8.0.6.3830 > ****.http: S 2073874396:2073874396(0) win
16384 <mss 1368,nop,nop,sackOK>
можете помочь ? я выключил iptables
>можете помочь ? я выключил iptablesпоздравляем, включи обратно. Помочь не можем, ибо нечем.
Либо - за деньги с предоставлением доступа к серверу.
Очень грубо а по существу нечего сказать ?
По поводу доступа к первенц то невозможно. Скажите хотябы что читать до просветления
Надо настроить нат для переброса траффика:iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source *.*.*.*
Звездочки - ip вашего дедика
Как правильно написать эту строку?> iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source *.*.*.*
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source *.*.*.*
где ppp0 - интрефейс моего инета (сейчас настраиваю локально)
???
помогите правильно настроить iptables для работы с openvpn
Сейчас задача упростилась, я установил centos в wmvare и теперь серв можно крутить как захочешь (хорошо что не набрал iptables -F на дедике, а локально набрал, вот был бы ппц :))ну ладно. попытаюсь поставить и описать задачу сейчас более корректно:
дано сервак, eth0 локальный интерфейс,также есть ифейс eth1(как бы виртуальный IP) который на данный момент просто дублирует настройки eth0(ip адрес в eth0 и eth1 одинаковый), ppp0 адсл соединение с провом.
собрал, установил, настроил конфиги в openvpn:
server:
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
для клиента не буду приводить, он соединяется, значит всё ок. Клиент находится сейчас в локальной сети сервера. Пытаюсь настроить iptables чтобы был переброс трафика и работал интернет на клиенте. Нашел в дистре openvpn типовой скрипт firewall.sh теперь после старта опенвпн сервера, подгружаю его (хотя может он подргружается автоматом хз, опенвпн так-то стартую тоже типовым скриптом)здесь мой ifconfig:
eth0 Link encap:Ethernet HWaddr 00:0C:29:52:1D:5A
inet addr:192.168.0.9 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe52:1d5a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4563 errors:0 dropped:0 overruns:0 frame:0
TX packets:3505 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:406664 (397.1 KiB) TX bytes:452625 (442.0 KiB)
Interrupt:177 Base address:0x1080lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:21 errors:0 dropped:0 overruns:0 frame:0
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1408 (1.3 KiB) TX bytes:1408 (1.3 KiB)ppp0 Link encap:Point-to-Point Protocol
inet addr:10.34.17.155 P-t-P:10.10.10.6 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:11 errors:0 dropped:0 overruns:0 frame:0
TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:576 (576.0 b) TX bytes:576 (576.0 b)tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
привожу iptables-save после отработки этого скрипта вам:cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Sun Mar 22 20:13:58 2009
*filter
-A INPUT -s 127.0.0.1 -i ppp0 -j DROP
-A INPUT -d 127.0.0.1 -i ppp0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 127.0.0.1 -i ppp0 -j DROP
-A FORWARD -d 127.0.0.1 -i ppp0 -j DROP
-A FORWARD -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A FORWARD -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A FORWARD -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --sport 137:139 -j DROP
-A FORWARD -o ppp0 -p udp -m udp --sport 137:139 -j DROP
-A FORWARD -s ! 192.168.0.0/255.255.255.0 -i eth1 -j DROP
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 137:139 -j DROP
-A OUTPUT -o ppp0 -p udp -m udp --sport 137:139 -j DROP
-A OUTPUT -o ppp0 -m state --state NEW -j ACCEPT
COMMIT
*nat
-A POSTROUTING -o ppp+ -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 22 20:13:58 2009делаю на клиенте пигн до ИП яндекса
C:\Documents and Settings\admin>ping 213.180.204.8Pinging 213.180.204.8 with 32 bytes of data:
Destination host unreachable.
Destination host unreachable.
Destination host unreachable.
Destination host unreachable.нужна ваша помощь. iptables только начал изучать, поэтому сложности. да и вообще юзер полный в никсах
Тогда и винду тоже поставь внутрь еще одного wmvare контейнера. Запусти виндовс и центос, на обоих контейнерах и потом уже пытайся перебросить весть трафик с помощью openVPN с виндовс-контейнера через контейнер центос.
Если машина тестовая внутри wmvare, то нет никакого смысла в таком колличестве правил iptables. Можешь на самом деле все сбросить командой iptables -F и затем прописать
одно правило для nat.iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.0.9
Этим правилом все пакеты от сети 10.8.0.0/24 переправляются на интерфейс eth0 с ip 192.168.0.9, а wmavare дальше сама разберется как пробросить это дело в инет.
Удачи.
>Тогда и винду тоже поставь внутрь еще одного wmvare контейнера. Можешь на самом деле все >сбросить командой iptables -F и затем прописать одно правило для nat.
>
>iptables -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.0.9
>iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.0.9
сделал так как вы и сказали, но всё равно Destination unreachable из винды пинг до яндекса например.
Можно как-то отследить полученный пакет от винды к центосу через туннель и где он пропадает ?
Надо добится сначала, чтобы ходили пинги между сервером и клиентом.И надо посмотреть, что с таблицей маршрутов в винде командой:
route print
И в центос командой routeЗа трафиком между клиентом и сервером openvpn можно наблюдать командой:
tcpdump -i tun0
>Надо добится сначала, чтобы ходили пинги между сервером и клиентом.
>И надо посмотреть, что с таблицей маршрутов в винде командой:
>route printActive Routes:
Network Destination Netmask Gateway Interface Metric
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.4 192.168.0.4 30
192.168.0.4 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.4 192.168.0.4 30
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.0.4 192.168.0.4 30
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.0.4 192.168.0.4 1>И в центос командой route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.6 * 255.255.255.255 UH 0 0 0 ppp0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0>За трафиком между клиентом и сервером openvpn можно наблюдать командой:
>tcpdump -i tun0ping 213.180.204.8
в винде, не дает ничего опять. смотрю tcpdump -i tun0
там тишина на этот пинг, значит пакеты даже не идут в туннель
еще в винде в openvpnclient при соединении такой варнинг
Mon Mar 23 09:12:58 2009 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
добавил в винде
>route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5теперь
C:\Documents and Settings\admin>tracert 213.180.204.8Tracing route to 213.180.204.8 over a maximum of 30 hops
1 1 ms 1 ms <1 ms 10.8.0.1
2 * * * Request timed out.
3 * ^Clog tcpdump -i tun0
08:22:09.333786 IP 10.8.0.6.netbios-ns > ya.ru.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
08:22:10.226027 IP 10.8.0.6.netbios-ns > ya.ru.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:11.193302 IP 10.8.0.6.netbios-ns > ya.ru.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:12.110733 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 35840, length 72
08:22:12.110929 IP 10.8.0.1 > 10.8.0.6: ICMP time exceeded in-transit, length 100
08:22:12.114036 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36096, length 72
08:22:12.114741 IP 10.8.0.1 > 10.8.0.6: ICMP time exceeded in-transit, length 100
08:22:12.117093 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36352, length 72
08:22:12.117812 IP 10.8.0.1 > 10.8.0.6: ICMP time exceeded in-transit, length 100
08:22:12.121067 IP 10.8.0.6.hpvmmdata > 10.8.0.1.domain: 13+ PTR? 1.0.8.10.in-addr.arpa. (39)
08:22:12.121127 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port domain unreachable, length 75
08:22:12.124183 IP 10.8.0.6.netbios-ns > 10.8.0.1.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
08:22:12.124935 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port netbios-ns unreachable, length 86
08:22:13.024266 IP 10.8.0.6.netbios-ns > 10.8.0.1.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:13.024846 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port netbios-ns unreachable, length 86
08:22:13.932964 IP 10.8.0.6.netbios-ns > 10.8.0.1.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:22:13.933456 IP 10.8.0.1 > 10.8.0.6: ICMP 10.8.0.1 udp port netbios-ns unreachable, length 86
08:22:15.381826 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36608, length 72
08:22:18.100002 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 36864, length 72
08:22:20.858658 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 37120, length 72
08:22:23.617666 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 37376, length 72
08:22:26.307522 IP 10.8.0.6 > ya.ru: ICMP echo request, id 768, seq 37632, length 72
А что показывает команда iptables -t nat -nvL ?
>А что показывает команда iptables -t nat -nvL ?
>[root@localhost ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 384 packets, 60917 bytes)
pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 12 packets, 1037 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ppp+ 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy ACCEPT 17 packets, 1380 bytes)
pkts bytes target prot opt in out source destination
centosuser, в приведенных тобой правилах ната для iptalbes я не вижу команды которую я тут писал. Ты ее так и не ввел.И если центос уже находится внутри wmvare зачем ему ppp0? Когда можно в настройках vmvare указать сетевое соединение NAT и все на этом, интернет в центосовском контейнере будет работать.
да действительно чистил таблицы. сейчас добавил
Chain POSTROUTING (policy ACCEPT 12 packets, 1037 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * eth0 10.8.0.0/24 0.0.0.0/0 to:192.168.0.9Chain OUTPUT (policy ACCEPT 21 packets, 1664 bytes)
pkts bytes target prot opt in out source destination
пробую, всё равно тот же результат. ppp0 нужен для того чтобы центос в варьке был как дедик все-таки поближе с собственным интернет каналом.
>пробую, всё равно тот же результат. ppp0 нужен для того чтобы центос
>в варьке был как дедик все-таки поближе с собственным интернет каналом.
>Если исходящий интерфейс ppp0, то тогда правило nat надо соответственно переписать по аналогии.
>Если исходящий интерфейс ppp0, то тогда правило nat надо соответственно переписать по
>аналогии.И еще разок пишу всё что есть по порядку. Сделал:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 10.34.17.155
теперь таблица такая:
~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationChain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 10.8.0.0/24 anywhere to:10.34.17.155Chain OUTPUT (policy ACCEPT)
target prot opt source destination~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:52:1D:5A
inet addr:192.168.0.9 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe52:1d5a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:773 errors:0 dropped:0 overruns:0 frame:0
TX packets:560 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:77074 (75.2 KiB) TX bytes:63123 (61.6 KiB)
Interrupt:177 Base address:0x1080lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:21 errors:0 dropped:0 overruns:0 frame:0
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1408 (1.3 KiB) TX bytes:1408 (1.3 KiB)ppp0 Link encap:Point-to-Point Protocol
inet addr:10.34.17.155 P-t-P:10.10.10.6 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:13 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1363 (1.3 KiB) TX bytes:1245 (1.2 KiB)tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:9 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:542 (542.0 b) TX bytes:90 (90.0 b)~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.6 * 255.255.255.255 UH 0 0 0 ppp0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0и route print в винде
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.8.0.5 10.8.0.6 1
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.4 192.168.0.4 30
192.168.0.4 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.4 192.168.0.4 30
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.0.4 192.168.0.4 30
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.0.4 192.168.0.4 1
Default Gateway: 10.8.0.5
вот ведь вроде уже всё должно работать. По tcpdump видно что пакеты приходят на сервер центос, но все равно не перекидываются они на интерфейс ppp0, что также видно из tcpdump.
где-то что-то еще не хватает
очень хочется не заставить работать "костылями", понять почему же не работает. И как должно быть.
> Default Gateway: 10.8.0.5А почему шлюз по умолчанию 10.8.0.5 на виндовс машине?
Если на центосе tun0 inet addr:10.8.0.1
И добейтесь пингов между сервером и клиентом со включенным openVPN
>> Default Gateway: 10.8.0.5
>
>А почему шлюз по умолчанию 10.8.0.5 на виндовс машине?
>
>Если на центосе tun0 inet addr:10.8.0.1
>
>И добейтесь пингов между сервером и клиентом со включенным openVPNво всех мануалах так и пишут что надо добавлять 0.5
C:\Documents and Settings\admin>route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.1
The route addition failed: Either the interface index is wrong or the gateway do
es not lie on the same network as the interface. Check the IP Address Table for
the machine.
C:\Documents and Settings\admin>ping 10.8.0.1Pinging 10.8.0.1 with 32 bytes of data:
Reply from 10.8.0.1: bytes=32 time=6ms TTL=64
Reply from 10.8.0.1: bytes=32 time=1ms TTL=64Ping statistics for 10.8.0.1:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 6ms, Average = 3ms
Control-C
^C
C:\Documents and Settings\admin>route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5C:\Documents and Settings\admin>
Пинг идет нормально даже до добавления основного маршрута 0.5. Что маршрут 0.5 верен говорит и то что после его добавления пинг до любого инет адреса попадает на tun0 и приходит на центос
вот на данный момент еще iptables -t nat -nvLChain POSTROUTING (policy ACCEPT 13 packets, 1052 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * ppp0 10.8.0.0/24 0.0.0.0/0 to:10.34.17.155
>во всех мануалах так и пишут что надо добавлять 0.5Хех, это что же за сакральные мануалы такие.
Если опенвпн сервер имеет ip 10.8.0.1 то с какой стати, пакеты будут передаваться через
10.8.0.5 ?
немного не так: не мануалы написаны, а сам сервер опенвпн добавляет такие маршруты. вот конфиг сервера:
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
push "dhcp-option DNS 10.8.0.1"
вот эта строка push "redirect-gateway def1"
и добавляет такие маршруты сама.
прописал её только что чтобы понять почему я ставил 0.5, и теперь таблица маршрутов в винде претепела изменения:
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
192.168.0.0 255.255.255.0 192.168.0.4 192.168.0.4 30
192.168.0.4 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.4 192.168.0.4 30
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.0.4 192.168.0.4 30
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.0.4 192.168.0.4 1
Default Gateway: 10.8.0.5
Это не правильно.push "route 10.8.0.1"
Вот такую строку надо добавить в конфиг сервера.
ifconfig-pool-persist ipp.txtА что у вас в этом файле ipp.txt?
И какие логи выдает сервер и клиент?
>Это не правильно.
>
>push "route 10.8.0.1"
>
>Вот такую строку надо добавить в конфиг сервера.добавил такую строку. предыдушую удалил.
теперь смотрим таблицу маршрутов в винде:
Network Destination Netmask Gateway Interface Metric
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.4 192.168.0.4 30
192.168.0.4 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.4 192.168.0.4 30
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.0.4 192.168.0.4 30
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.0.4 192.168.0.4 1
===========================================================================нет маршрута по умолчанию, который со старыми настройками был.
вот логи от клиента:
Tue Mar 24 12:58:20 2009 [local] Peer Connection Initiated with 192.168.0.9:1194
Tue Mar 24 12:58:21 2009 SENT CONTROL [local]: 'PUSH_REQUEST' (status=1)
Tue Mar 24 12:58:21 2009 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: timers and/or timeouts modified
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: --ifconfig/up options modified
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: route options modified
Tue Mar 24 12:58:21 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Mar 24 12:58:21 2009 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{48E3CA6A-AF9C-4F72-BFC3-CA1B65C186B9}.tap
Tue Mar 24 12:58:21 2009 TAP-Win32 Driver Version 8.4
Tue Mar 24 12:58:21 2009 TAP-Win32 MTU=1500
Tue Mar 24 12:58:21 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {48E3CA6A-AF9C-4F72-BFC3-CA1B65C186B9} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Mar 24 12:58:21 2009 Successful ARP Flush on interface [3] {48E3CA6A-AF9C-4F72-BFC3-CA1B65C186B9}
Tue Mar 24 12:58:21 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Mar 24 12:58:21 2009 Route: Waiting for TUN/TAP interface to come up...
Tue Mar 24 12:58:22 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Mar 24 12:58:22 2009 Route: Waiting for TUN/TAP interface to come up...
Tue Mar 24 12:58:23 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Mar 24 12:58:23 2009 Route: Waiting for TUN/TAP interface to come up...
Tue Mar 24 12:58:24 2009 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Mar 24 12:58:24 2009 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Tue Mar 24 12:58:24 2009 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Mar 24 12:58:24 2009 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Mar 24 12:58:24 2009 Initialization Sequence Completedвот ipp.txt
~]# cat /etc/openvpn/ipp.txt
local,10.8.0.4а вот лог openvpn-status.log
~]# cat /etc/openvpn/openvpn-status.log
OpenVPN CLIENT LIST
Updated,Tue Mar 24 10:00:09 2009
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
local,192.168.0.4:1138,4266,4440,Tue Mar 24 09:58:39 2009
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,local,192.168.0.4:1138,Tue Mar 24 09:58:43 2009
GLOBAL STATS
Max bcast/mcast queue length,0
END
тут нарыл такой линк в сети, видимо вопрос пока закрыт :)
на дедике всё настроил.
Спасибо за помощь