URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96150
[ Назад ]
Исходное сообщение
"OpenVPN на Windows. Не видит сеть"
Отправлено wesst , 26-Май-15 09:20 
На Windows 7 установлен сервер Open VPN.

Конфигурация:

dev tap
dev-node "vpn"
proto tcp-server
port 1194
server-bridge 10.8.0.0 255.255.255.0 10.8.0.1 10.8.0.50
push "route 172.16.0.254 255.255.0.0"
push "dhcp-option DNS 172.16.0.1"
push "dhcp-option DNS 172.16.0.2"
route 172.16.0.0 255.255.0.0
push "redirect-gateway def1 bypass-dhcp"
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
comp-lzo
cipher AES-128-CBC
tls-server
server-bridge
max-clients 50
client-to-client
persist-key
persist-tun
duplicate-cn
keepalive 10 120

интерфейсы на сервере следующие:
WAN (смотрим в интернет)
192.168.1.25/255.255.255.0 192.168.1.1
LAN (смотрит в локальную доменную сеть)
172.16.24.50/255.255.0.0 172.16.0.254
VPN (собственно интерфейс сервера VPN)
Включен DHCP.

Клиент под windows подключается, получает IP, но в корпоративную сеть не попадает. Подскажите где ошибка.
Брадмауэры выключены. Ошибок со стороны сертификатов нет (подключается же ))))

Содержание
Сообщения в этом обсуждении
"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 26-Май-15 09:50 
> Клиент под windows подключается, получает IP, но в корпоративную сеть не попадает.
> Подскажите где ошибка.

Корпоративная сеть не знает маршрута к подсетить опенвпн-клиентов.


"OpenVPN на Windows. Не видит сеть"
Отправлено wesst , 26-Май-15 10:43 
>> Клиент под windows подключается, получает IP, но в корпоративную сеть не попадает.
>> Подскажите где ошибка.
> Корпоративная сеть не знает маршрута к подсетить опенвпн-клиентов.

Не понял ))) зачем внутренней сети видеть опенклиентов? Задача пускать в доменнную сеть клиентов. И как реализовать то что вы предложили?

"OpenVPN на Windows. Не видит сеть"
Отправлено цц , 26-Май-15 10:51 
>>> Клиент под windows подключается, получает IP, но в корпоративную сеть не попадает.
>>> Подскажите где ошибка.
>> Корпоративная сеть не знает маршрута к подсетить опенвпн-клиентов.
> Не понял ))) зачем внутренней сети видеть опенклиентов? Задача пускать в доменнную
> сеть клиентов. И как реализовать то что вы предложили?

Тоесть как это "зачем"?
Чтоб пакет туда послать. Если корпоративная сеть не знает куда посылать пакет впн клиенту, как клиент сможет установить соединение?
Либо они оба видят друг друга, либо никак.

"OpenVPN на Windows. Не видит сеть"
Отправлено wesst , 26-Май-15 11:14 
>>>> Клиент под windows подключается, получает IP, но в корпоративную сеть не попадает.
>>>> Подскажите где ошибка.
>>> Корпоративная сеть не знает маршрута к подсетить опенвпн-клиентов.
>> Не понял ))) зачем внутренней сети видеть опенклиентов? Задача пускать в доменнную
>> сеть клиентов. И как реализовать то что вы предложили?
> Тоесть как это "зачем"?
> Чтоб пакет туда послать. Если корпоративная сеть не знает куда посылать пакет
> впн клиенту, как клиент сможет установить соединение?
> Либо они оба видят друг друга, либо никак.

А можете подсказать в рамках указанной конфигурации - что и куда прописать?

"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 26-Май-15 12:46 
> А можете подсказать в рамках указанной конфигурации - что и куда прописать?

В рамках указанной конфигурации - никто ничего не подскажет.
Прописывать надо за её пределами.

Нарисуйте полную схему вашей сети.


"OpenVPN на Windows. Не видит сеть"
Отправлено wesst , 26-Май-15 13:23 
>> А можете подсказать в рамках указанной конфигурации - что и куда прописать?
> В рамках указанной конфигурации - никто ничего не подскажет.
> Прописывать надо за её пределами.
> Нарисуйте полную схему вашей сети.

ADSL модем (192.168.1.1) ---- > Unix (Шлюз предприятия 172.16.0.254) -----> Сеть предприятия (172.16.х.х/255.255.0.0)

Сервер VPN вынес в ДМЗ.

ADSL модем (192.168.1.1) ---- > VPN сервер (WAN 192.168.1.1 LAN 172.16.24.50 VPN 172.16.100.1) -----> Сеть предприятия (172.16.х.х/255.255.0.0)

"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 26-Май-15 20:50 
>>> А можете подсказать в рамках указанной конфигурации - что и куда прописать?
>> В рамках указанной конфигурации - никто ничего не подскажет.
>> Прописывать надо за её пределами.
>> Нарисуйте полную схему вашей сети.
> ADSL модем (192.168.1.1) ---- > Unix (Шлюз предприятия 172.16.0.254) -----> Сеть предприятия
> (172.16.х.х/255.255.0.0)
> Сервер VPN вынес в ДМЗ.
> ADSL модем (192.168.1.1) ---- > VPN сервер (WAN 192.168.1.1 LAN 172.16.24.50 VPN
> 172.16.100.1) -----> Сеть предприятия (172.16.х.х/255.255.0.0)

Мне не хочется ломать голову над этой подробной и понятной схемой.

PS> не заработает, т.к. 192.168.1.1 и на ADSL-модеме и на VPN-сервере.

PPS кто такой ДМЗ ... савсем его не знаю....

"OpenVPN на Windows. Не видит сеть"
Отправлено Square , 26-Май-15 21:46 
>>> А можете подсказать в рамках указанной конфигурации - что и куда прописать?
>> В рамках указанной конфигурации - никто ничего не подскажет.
>> Прописывать надо за её пределами.
>> Нарисуйте полную схему вашей сети.
> ADSL модем (192.168.1.1) ---- > Unix (Шлюз предприятия 172.16.0.254) -----> Сеть предприятия
> (172.16.х.х/255.255.0.0)
> Сервер VPN вынес в ДМЗ.
> ADSL модем (192.168.1.1) ---- > VPN сервер (WAN 192.168.1.1 LAN 172.16.24.50 VPN
> 172.16.100.1) -----> Сеть предприятия (172.16.х.х/255.255.0.0)

Вы нечто подобное, когда настраивали сервер делали?
http://www.pavelec.net/adam/openvpn/bridge/

Вы назначили на vpn сеть часть адресов из своей локальной сети (маска /16),
это значит, что ваша vpn сеть не роутиться, а хосты обнаруживают адрес назначения путем широковещательных рассылок. для того чтобы это работало - надо чтобы интерфейс vpn находился в бридже с физическим адаптером сети подключенным к вашей локальной сети.

"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 27-Май-15 06:15 
> Вы назначили на vpn сеть часть адресов из своей локальной сети (маска
> /16),
> это значит, что ваша vpn сеть не роутиться, а хосты обнаруживают адрес
> назначения путем широковещательных рассылок.

ТС не определился еще с тем, какие у него адреса.

В конфиге, приведенном в первом сообщении темы, вообще указано:

server-bridge 10.8.0.0 255.255.255.0 10.8.0.1 10.8.0.50

>для того чтобы это работало - надо чтобы интерфейс vpn находился в бридже
> с физическим адаптером сети подключенным к вашей локальной сети.

У него "шлюз предприятия" с одним айпишником, "ДМЗ", в которой VPN-сервер подключен к локалке напрямую, а еще имеет WAN .... Абсолютная жесть.

------------

ТС, определись с тем, какие адреса впнщикам выдавать будешь.

"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 27-Май-15 06:22 
Я вообще думаю, что ТС занимается чем-то "официально не разрешенным".
Нормальный админ настроил бы это всё на имеющемся *никсе, а не собирал бы себе приключений от десктопной оси. Бридж на вин 7 .... Мне такое в голову еще ни разу не приходило.
"OpenVPN на Windows. Не видит сеть"
Отправлено wesst , 29-Май-15 09:59 
> Я вообще думаю, что ТС занимается чем-то "официально не разрешенным".
> Нормальный админ настроил бы это всё на имеющемся *никсе, а не собирал
> бы себе приключений от десктопной оси. Бридж на вин 7 ....
> Мне такое в голову еще ни разу не приходило.

Я понимаю стеб, ну ошибся когда адреса писал тут...

Убрал я лишнее подключение, пробросил порт 1194 на unix'е...

Конфигурация в данный момент следующая:

ADSL (192.168.1.1) - > Unix (192.168.1.254 / 172.16.0.254) - > сеть предприятия

VPN сделал так:

vpn (192.168.137.1)
lan (172.16.0.50)


конфига сервера

dev tap
dev-node "vpn"
proto tcp-server
port 1194
ifconfig 192.168.137.1 255.255.255.0
server-bridge 192.168.137.1 255.255.255.0 192.168.137.2 192.168.137.254
push "route 172.16.0.0 255.255.0.0"
push "dhcp-option DNS 172.16.0.1"
push "dhcp-option DNS 172.16.0.2"
route 172.16.0.0 255.255.0.0
push "redirect-gateway def1 bypass-dhcp"
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
comp-lzo
cipher AES-128-CBC
tls-server
server-bridge
max-clients 50
client-to-client
persist-key
persist-tun
duplicate-cn
keepalive 10 120
duplicate-cn

Пробовал объединять в мост, пробовал ставить "общедоступное"...
Подключается, но сеть за vpn не видит.

"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 29-Май-15 10:09 
>ну ошибся когда адреса писал тут...

А откуда нам знать, где вы ошиблись? В конфиге или "тут"?

>Убрал я лишнее подключение, пробросил порт 1194 на unix'е...

А зачем это было сделано - можете объяснить?

Принципов маршрутизации вы не понимаете совсем.

Еще в первом комментарии написали, в чем у вас проблема.

У неё есть два решения:

1) прописать правильную маршрутизацию

или

2) убрать маршрутизацию совсем - т.е.  сделать бридж _без_ маршрутизации

Перечитайте тему полностью, а также ссылки, которые в ней дали.
Возьмите листик и карандашик, и нарисуйте, как какие пакеты будут бегать, туда и обратно, и задумайтесь _почему_ они _должны_ так бежать, как вы думаете.

"OpenVPN на Windows. Не видит сеть"
Отправлено Анонс , 30-Май-15 07:00 
ПУСК ->  Выполнить -> regedit.exe

Заходишь в ветку -> HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

Находишь параметр и меняешь его значение:

IpEnableRouter типа REG_DWORD значение 1

"OpenVPN на Windows. Не видит сеть"
Отправлено Анонс , 30-Май-15 07:32 
> ПУСК ->  Выполнить -> regedit.exe
> Заходишь в ветку -> HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
> Находишь параметр и меняешь его значение:
> IpEnableRouter типа REG_DWORD значение 1

Сори, не то написал)

"OpenVPN на Windows. Не видит сеть"
Отправлено PavelR , 30-Май-15 10:16 
>> ПУСК ->  Выполнить -> regedit.exe
>> Заходишь в ветку -> HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
>> Находишь параметр и меняешь его значение:
>> IpEnableRouter типа REG_DWORD значение 1
> Сори, не то написал)

то-не то, но мысль  как бы верная, однако не поможет, т.к. впн-сервер не является маршрутизатором для подсети.