URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93859
[ Назад ]

Исходное сообщение
"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено captd , 02-Окт-12 12:42

Добрый день!
Есть 2 Openvpn сервера, OpenVPN1 - сервер, за которым находится подсеть 192.168.0.0.24, OpenVPN2 - сервер за которым находится подключаемый клиент с подсетью 10.1.20.0/24
OpenVPN2 связывается с OpenVPN1 посредством впн туннеля (клиент-сервер) конфг файл клиента расположен на OpenVPN2, который подключается к OpenVPN1 серверу. Оба друг друга видят и подсети. При подключении клиента к OpenVPN2, он видит подсеть только OpenVPN2, а подсеть 192.168.0.0.24, которая находится за OpenVPN1, он не видит, подскажите куда копать, фаервал на сервере OpenVPN2 ?

Содержание

OpenVPN не видит подсеть на другом OpenVPN сервере,PavelR, 12:52 , 02-Окт-12
- OpenVPN не видит подсеть на другом OpenVPN сервере,captd, 14:37 , 02-Окт-12
  - OpenVPN не видит подсеть на другом OpenVPN сервере,ДорогойДрук, 15:26 , 02-Окт-12
  - OpenVPN не видит подсеть на другом OpenVPN сервере,PavelR, 16:34 , 02-Окт-12
OpenVPN не видит подсеть на другом OpenVPN сервере,mr_gfd, 14:20 , 02-Окт-12
- OpenVPN не видит подсеть на другом OpenVPN сервере,captd, 14:46 , 02-Окт-12
  - OpenVPN не видит подсеть на другом OpenVPN сервере,PavelR, 16:33 , 02-Окт-12
    - OpenVPN не видит подсеть на другом OpenVPN сервере,captd, 09:21 , 04-Окт-12
      - OpenVPN не видит подсеть на другом OpenVPN сервере,PavelR, 10:41 , 04-Окт-12
        
        OpenVPN не видит подсеть на другом OpenVPN сервере,captd, 12:14 , 04-Окт-12
        
        OpenVPN не видит подсеть на другом OpenVPN сервере,PavelR, 13:02 , 04-Окт-12
        
        OpenVPN не видит подсеть на другом OpenVPN сервере,captd, 13:33 , 04-Окт-12
        
        OpenVPN не видит подсеть на другом OpenVPN сервере,PavelR, 13:36 , 04-Окт-12

Сообщения в этом обсуждении

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено PavelR , 02-Окт-12 12:52

> Добрый день!
> Есть 2 Openvpn сервера, OpenVPN1 - сервер, за которым находится подсеть 192.168.0.0.24,
> OpenVPN2 - сервер за которым находится подключаемый клиент с подсетью 10.1.20.0/24
> OpenVPN2 связывается с OpenVPN1 посредством впн туннеля (клиент-сервер) конфг файл клиента
> расположен на OpenVPN2, который подключается к OpenVPN1 серверу. Оба друг друга
> видят и подсети. При подключении клиента к OpenVPN2, он видит подсеть
> только OpenVPN2, а подсеть 192.168.0.0.24, которая находится за OpenVPN1, он не
> видит, подскажите куда копать, фаервал на сервере OpenVPN2 ?
телепаты в отпуске, приходите через недельку.

Это я к тому, что конфигурации опенвпн-а могут быть сильно разными.
Воспользуйтесь tcpdump для диагностики.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено captd , 02-Окт-12 14:37

Спасибо за подсказку использовал tcpdump
он выводит следующие:
14:26:30.016847 IP 10.1.20.53 > 192.168.0.142: ICMP echo request, id 1, seq 235, length 40
14:26:30.017151 IP 192.168.0.142 > 10.1.20.53: ICMP echo reply, id 1, seq 235, length 40
14:26:35.017308 IP 10.1.20.53 > 192.168.0.142: ICMP echo request, id 1, seq 236, length 40
14:26:35.017656 IP 192.168.0.142 > 10.1.20.53: ICMP echo reply, id 1, seq 236, length 40
где 10.1.20.53 ip адрес клиента который находится за сервером OpenVPN2,
192.168.0.142 ip адрес который находится за сервером OpenVPN2.
Как я понял пинги проходят? Но на стороне клиента пишет превышен интервал ожидания, то есть получается iptables необходимо добавить правило?

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено ДорогойДрук , 02-Окт-12 15:26

А маршрут на клиентах прописан до нужных сетей?
Или шлюзом настроен default gw?
Если пакеты возвращаются не через маршрутизатор, котрый для данного dst настроен как шлюз, то tcpdump их поймает, а rp_filter зарежет.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено PavelR , 02-Окт-12 16:34

> Спасибо за подсказку использовал tcpdump
вы таки не поверите, но tcpdump можно использовать :
а) - на разных серверах
б) - на разных интерфейсах сервера.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено mr_gfd , 02-Окт-12 14:20

IMHO you're should to use 'push route <net_addr>' directive @server config

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено captd , 02-Окт-12 14:46

> IMHO you're should to use 'push route <net_addr>' directive @server config
push route заданы:
ifconfig-push 10.1.20.53 10.1.20.54
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.7.0 255.255.255.224"
push "dhcp-option DNS 192.168.78.250"
маршруты Openvpn1:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
77.72.143.117   192.168.78.10   255.255.255.255 UGH   0      0        0 vlan6
172.31.252.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun1
172.31.254.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
77.72.143.117   192.168.78.10   255.255.255.255 UGH   0      0        0 vlan6
77.72.142.117    192.168.78.10   255.255.255.255 UGH   0      0        0 vlan6
192.168.78.12   0.0.0.0         255.255.255.252 U     0      0        0 vlan112
172.16.54.115   0.0.0.0         255.255.255.252 U     0      0        0 eth1
192.168.78.8    0.0.0.0         255.255.255.248 U     0      0        0 vlan6
192.168.78.0    192.168.78.10   255.255.255.248 UG    0      0        0 vlan6
192.168.78.16   0.0.0.0         255.255.255.240 U     0      0        0 vlan4
192.168.78.240  0.0.0.0         255.255.255.240 U     0      0        0 eth0
192.168.52.0    0.0.0.0         255.255.255.0   U     0      0        0 vlan52
192.168.3.0     172.31.252.2    255.255.255.0   UG    0      0        0 tun1
192.168.1.0     172.31.254.2    255.255.255.0   UG    0      0        0 tun0
192.168.0.0     192.168.78.252  255.255.255.0   UG    0      0        0 eth0
192.168.9.0     172.31.252.2    255.255.255.0   UG    0      0        0 tun1
192.168.2.0     172.31.254.2    255.255.254.0   UG    0      0        0 tun0
192.168.76.0    172.31.254.2    255.255.254.0   UG    0      0        0 tun0
172.31.254.0    172.31.254.2    255.255.254.0   UG    0      0        0 tun0
172.31.252.0    172.31.252.2    255.255.254.0   UG    0      0        0 tun1
192.168.4.0     172.31.254.2    255.255.252.0   UG    0      0        0 tun0
192.168.72.0    172.31.254.2    255.255.252.0   UG    0      0        0 tun0
192.168.64.0    172.31.254.2    255.255.248.0   UG    0      0        0 tun0
192.168.8.0     172.31.254.2    255.255.248.0   UG    0      0        0 tun0
192.168.16.0    172.31.254.2    255.255.240.0   UG    0      0        0 tun0
85.94.32.0      172.16.52.114   255.255.224.0   UG    0      0        0 eth1
192.168.32.0    172.31.254.2    255.255.224.0   UG    0      0        0 tun0
178.44.0.0      172.16.52.114   255.255.192.0   UG    0      0        0 eth1
94.243.194.0    172.16.52.114   255.255.192.0   UG    0      0        0 eth1
89.254.195.0    172.16.52.114   255.255.192.0   UG    0      0        0 eth1
172.20.0.0      172.16.52.114   255.255.0.0     UG    0      0        0 eth1
172.16.0.0      172.16.52.114   255.240.0.0     UG    0      0        0 eth1
0.0.0.0         192.168.78.17   0.0.0.0         UG    0      0        0 vlan4

маршруты OpenVpn2:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.20.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
172.31.254.33   0.0.0.0         255.255.255.255 UH    0      0        0 tun1
192.168.78.19   172.31.254.33   255.255.255.255 UGH   0      0        0 tun1
192.168.78.21   172.31.254.33   255.255.255.255 UGH   0      0        0 tun1
192.168.7.224   0.0.0.0         255.255.255.252 U     0      0        0 eth2
192.168.78.240  172.31.254.33   255.255.255.240 UG    0      0        0 tun1
192.168.7.0     0.0.0.0         255.255.255.224 U     0      0        0 eth0
192.168.4.0     172.31.254.33   255.255.255.0   UG    0      0        0 tun1
192.168.0.0     172.31.254.33   255.255.255.0   UG    0      0        0 tun1
10.1.20.0       10.1.20.2       255.255.255.0   UG    0      0        0 tun0
172.31.254.0    172.31.254.33   255.255.254.0   UG    0      0        0 tun1
0.0.0.0         192.168.7.226   0.0.0.0         UG    0      0        0 eth2

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено PavelR , 02-Окт-12 16:33

>> IMHO you're should to use 'push route <net_addr>' directive @server config
> push route заданы:
push route не обязателен, если используется tap.
еще есть iroute.
Но это все к телепатам, они и конфиги и схему сети видят, глядя в хрустальные шары.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено captd , 04-Окт-12 09:21

Всё разобрался, добавил нужный маршрут route на впн сервере 1 и пинги пошли.
Теперь другая проблема, не пингуется сеть за клиентом, причем если клиент подключен через XP, то сеть пингуется, а если через Win7?, пинги не идут, брандмауэр отключил, все равно не помогло, кто-нибудь сталкивался с такой проблемой?
В 7-ке сеть опенвпн определяется как "неопозанная" может причина в этом?

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено PavelR , 04-Окт-12 10:41

> Всё разобрался, добавил нужный маршрут route на впн сервере 1 и пинги
> пошли.
> Теперь другая проблема, не пингуется сеть за клиентом, причем если клиент подключен
> через XP, то сеть пингуется, а если через Win7?, пинги не
> идут, брандмауэр отключил, все равно не помогло, кто-нибудь сталкивался с такой
> проблемой?
> В 7-ке сеть опенвпн определяется как "неопозанная" может причина в этом?
Я еще в первом ответе написал http://www.opennet.me/openforum/vsluhforumID1/93859.html#1 написал:
"Воспользуйтесь tcpdump для диагностики".
А у вас всё еще шаманство, "неопознанная сеть", win-7, win-XP...
Ждете телепатов? Ну ждите.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено captd , 04-Окт-12 12:14

Сейчас ситуация такая: На клиенте Win7 2 сетевых адаптера
1-  подсеть 192.168.56.0.24(адрес клиента: 192.168.56.2)
2-опенвпн 10.1.20.0/24 (адрес клиента: 10.1.20.53)
IP адрес: 10.1.20.53 пингуется, проблемы с 192.168.56.2 пинг не идет
Вывод tcpdump на клиенте:
Protocol             ip Source    IP Destination
ICMP->Echo request   10.1.20.53    192.168.56.2
ICMP->Echo request   10.1.20.53    192.168.56.2
ICMP->Echo request   10.1.20.53    192.168.56.2
Вывод route на клиентской машине:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0     192.168.56.1     192.168.56.2   4245
          0.0.0.0          0.0.0.0        10.1.20.1     192.168.56.2   4501
          0.0.0.0          0.0.0.0         On-link      10.11.210.38     41
        10.1.20.0    255.255.255.0       10.1.20.54       10.1.20.53   4256
       10.1.20.52  255.255.255.252         On-link        10.1.20.53   4511
       10.1.20.53  255.255.255.255         On-link        10.1.20.53   4511
       10.1.20.55  255.255.255.255         On-link        10.1.20.53   4511
     10.11.210.38  255.255.255.255         On-link      10.11.210.38    296
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
     172.31.254.0    255.255.254.0       10.1.20.54       10.1.20.53   4256
      192.168.0.0    255.255.255.0       10.1.20.54       10.1.20.53   4256
      192.168.7.0  255.255.255.224       10.1.20.54       10.1.20.53   4256
     192.168.56.0    255.255.255.0         On-link      192.168.56.2   4501
     192.168.56.2  255.255.255.255         On-link      192.168.56.2   4501
   192.168.56.255  255.255.255.255         On-link      192.168.56.2   4501
     192.168.78.0  255.255.255.255       10.1.20.54       10.1.20.53   4256
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link      192.168.56.2   4502
        224.0.0.0        240.0.0.0         On-link        10.1.20.53   4511
        224.0.0.0        240.0.0.0         On-link      10.11.210.38     41
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link      192.168.56.2   4501
  255.255.255.255  255.255.255.255         On-link        10.1.20.53   4511
  255.255.255.255  255.255.255.255         On-link      10.11.210.38    296

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено PavelR , 04-Окт-12 13:02

> Сейчас ситуация такая: На клиенте Win7 2 сетевых адаптера
> Вывод tcpdump на клиенте:
> Вывод route на клиентской машине:
клиент, клиентская машина, непонятно на каком интерфейсе снимающийся tcpdump, кому, кроме вас, надо в этом разбираться?

>IP адрес: 10.1.20.53 пингуется, проблемы с 192.168.56.2 пинг не идет
особенно в несвязанном тексте на непонятном языке с непонятными правилами пунктуации.
Попробуйте начать читать. Надо много читать.
Начните читать себя. Если не получится понять, что вы написали, попробуйте переписать, а затем снова прочитать и понять.
До просветления.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено captd , 04-Окт-12 13:33

Спасибо, сам разберусь тема закрыта.

"OpenVPN не видит подсеть на другом OpenVPN сервере"
Отправлено PavelR , 04-Окт-12 13:36

> Спасибо, сам разберусь тема закрыта.
кто, кроме тебя?