URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96197
[ Назад ]

Исходное сообщение
"vpn не видит удаленную сеть"
Отправлено школяр , 30-Июн-15 18:02

Добрый день.
Люди добрые, помогите пожалуйста.
Есть настроенный openvpn сервер, к нему подключаются клиенты, у клиентов которые работают под linux все нормально(видны все впн узлы, и видна удаленная сеть 192.168.0.0/24), но клиенты которые работают под windows, не видят удаленную сеть а видят только впн узлы.
схема такая
192.168.0.0/24 --- шлюз (openvpn сервер) --- Интернет --- Удаленные пользователи
вот конфиг сервера
port 1194
# TCP or UDP server?
proto tcp
#proto udp
;dev tap
dev tun
;dev-node MyTap
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push "route 192.168.0.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway"
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
;max-clients 100
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append  openvpn.log
verb 3
;mute 20

Вот конфиг клиента (linux)
client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote X.X.X.X 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
;ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
;mute 20

Вот конфиг клиента (windows)
client
;dev tap
dev tun
;dev-node MyTap
proto tcp
#proto udp
remote X.X.X.X 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert user6.crt
key user6.key
ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
log ../log/openvpn.log
verb 3
;mute 20
route-method exe
route-delay 2
Брандмауэр на windows отключен, антивирусов никаких не установлено
маршрут до удаленной сети есть
192.168.0.0    255.255.255.0         10.8.0.17        10.8.0.18     21
но если сделать пинг, то получаю
C:\Users\Администратор>ping 192.168.0.55
Обмен пакетами с 192.168.0.55 по с 32 байтами данных:
Ответ от 10.8.0.18: Заданный узел недоступен.
Ответ от 10.8.0.18: Заданный узел недоступен.
Ответ от 10.8.0.18: Заданный узел недоступен.
Ответ от 10.8.0.18: Заданный узел недоступен.
Статистика Ping для 192.168.0.55:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
я понимаю что тема изъезженная, но все равно прощу подсказки/совета или ссылку на документ/мануал
подчеркну что на linux все ок, после подключения удаленная сеть видна.

Содержание

vpn не видит удаленную сеть,PavelR, 19:52 , 30-Июн-15
vpn не видит удаленную сеть,Павел Самсонов, 20:22 , 30-Июн-15
- vpn не видит удаленную сеть,PavelR, 20:29 , 30-Июн-15
vpn не видит удаленную сеть,fail, 20:33 , 30-Июн-15
vpn не видит удаленную сеть,eRIC, 21:19 , 30-Июн-15
- vpn не видит удаленную сеть,PavelR, 22:05 , 30-Июн-15
  - vpn не видит удаленную сеть,eRIC, 06:22 , 01-Июл-15
    - vpn не видит удаленную сеть,школяр, 10:03 , 01-Июл-15
      - vpn не видит удаленную сеть,PavelR, 11:05 , 01-Июл-15
      - vpn не видит удаленную сеть,reader, 23:29 , 01-Июл-15

Сообщения в этом обсуждении

"vpn не видит удаленную сеть"
Отправлено PavelR , 30-Июн-15 19:52

Под виндой openvpn клиент должен быть запущен с правами администратора.
UPD: а, есть какая-то строчка "маршрут до удаленной сети есть"...
ну тогда сами разбирайтесь. У меня ваша портянка конфигов, полных закомментированных строк, вызывает сильнейшее отторжение. Вам надо, а вы не стремитесь, чтобы вас было понятно....

1) tcpdump.
2) Используйте dev tap, ибо оно проще.

"vpn не видит удаленную сеть"
Отправлено Павел Самсонов , 30-Июн-15 20:22

>[оверквотинг удален]
> log ../log/openvpn.log
> Обмен пакетами с 192.168.0.55 по с 32 байтами данных:
> Ответ от 10.8.0.18: Заданный узел недоступен.
> Ответ от 10.8.0.18: Заданный узел недоступен.
> Ответ от 10.8.0.18: Заданный узел недоступен.
> Ответ от 10.8.0.18: Заданный узел недоступен.
> Статистика Ping для 192.168.0.55:
> Пакетов: отправлено = 4, получено = 4, потеряно
> = 0
> (0% потерь)
Это как это, 0% потерь при этом узел недоступен?

"vpn не видит удаленную сеть"
Отправлено PavelR , 30-Июн-15 20:29

>[оверквотинг удален]
>> Обмен пакетами с 192.168.0.55 по с 32 байтами данных:
>> Ответ от 10.8.0.18: Заданный узел недоступен.
>> Ответ от 10.8.0.18: Заданный узел недоступен.
>> Ответ от 10.8.0.18: Заданный узел недоступен.
>> Ответ от 10.8.0.18: Заданный узел недоступен.
>> Статистика Ping для 192.168.0.55:
>> Пакетов: отправлено = 4, получено = 4, потеряно
>> = 0
>> (0% потерь)
> Это как это, 0% потерь при этом узел недоступен?
пришло 4 ответа от 10.8.0.18 о недоступности узла.

"vpn не видит удаленную сеть"
Отправлено fail , 30-Июн-15 20:33

> Добрый день.
> Люди добрые, помогите пожалуйста.
> Есть настроенный openvpn сервер, к нему подключаются клиенты, у клиентов которые работают
> под linux все нормально(видны все впн узлы, и видна удаленная сеть
> 192.168.0.0/24), но клиенты которые работают под windows, не видят удаленную сеть
> а видят только впн узлы.
> схема такая
> 192.168.0.0/24 --- шлюз (openvpn сервер) --- Интернет --- Удаленные пользователи
Надобно на винде смотреть...
И еще, компетентные лица говорятъ, что в случае (планирования) использования VoIP(подобного), крайне желательно udp задействовать.

"vpn не видит удаленную сеть"
Отправлено eRIC , 30-Июн-15 21:19

> push "route 192.168.0.0 255.255.255.0"
тут вы указываете VPN клиентам, что за OpenVPN сервером есть такая локальная сеть. (Направление трафика: VPN клиенты ---> Локальная сеть за OpenVPN сервером)
теперь нужно чтобы эта локальная сеть знала о VPN клиентах, они об этом знают? (Направление трафика: VPN клиенты <--- Локальная сеть за OpenVPN сервером):
для 192.168.0.0 сети нужно прописать статичный маршрут route add 10.8.0.0 mask 255.255.255.0 Локальный_IP_OpenVPN_сервера(не 10.8.0.1)

"vpn не видит удаленную сеть"
Отправлено PavelR , 30-Июн-15 22:05

>> push "route 192.168.0.0 255.255.255.0"
> тут вы указываете VPN клиентам, что за OpenVPN сервером есть такая локальная
> сеть. (Направление трафика: VPN клиенты ---> Локальная сеть за OpenVPN сервером)
> теперь нужно чтобы эта локальная сеть знала о VPN клиентах, они об
> этом знают? (Направление трафика: VPN клиенты <--- Локальная сеть за OpenVPN
> сервером):
> для 192.168.0.0 сети нужно прописать статичный маршрут route add 10.8.0.0 mask 255.255.255.0
> Локальный_IP_OpenVPN_сервера(не 10.8.0.1)
Телепатию тренируешь?
Он же указал:
>схема такая
>192.168.0.0/24 --- шлюз (openvpn сервер) --- Интернет --- Удаленные пользователи
Если схема не соответствует реальности, или у ТС-а альтернативное понимание слова "шлюз", то оно кому-то надо разжевывать ТС-у букварь?
Кроме того, указано же, что:
>у клиентов которые работают под linux все нормально(видны все впн узлы,
>и видна удаленная сеть 192.168.0.0/24)

"vpn не видит удаленную сеть"
Отправлено eRIC , 01-Июл-15 06:22

> Он же указал:
>>схема такая
>>192.168.0.0/24 --- шлюз (openvpn сервер) --- Интернет --- Удаленные пользователи
> Если схема не соответствует реальности, или у ТС-а альтернативное понимание слова "шлюз",
> то оно кому-то надо разжевывать ТС-у букварь?
все они могут писать, а на самом деле в итоге совсем наоборот и находятся косяки :)
если были бы результаты:
1- пинга с локальной сети до впн клиентов
2- маршруты локальной сети
3- маршруты впн клиентов после подключения
то тогда телепатией не занимался бы :)))

"vpn не видит удаленную сеть"
Отправлено школяр , 01-Июл-15 10:03

>>У меня ваша портянка конфигов, полных закомментированных строк, вызывает сильнейшее отторжение.
Я специально оставил все закоменнентированные строки, думал может кто скажет "раскомментируй эту строчку и будет тебе счастье"
Вот конфиг сервера
port 1194
proto tcp
;dev tap
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

Вот конфиг клиента (Windows)
client
;dev tap
dev tun
proto tcp
remote X.X.X.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user6.crt
key user6.key
ns-cert-type server
comp-lzo
log ../log/openvpn.log
verb 3
route-method exe
route-delay 2
> если были бы результаты:
> 1- пинга с локальной сети до впн клиентов
> 2- маршруты локальной сети
> 3- маршруты впн клиентов после подключения
1 компьютер с ip 192.168.0.55, находится в локальной сети (вот его фаервол, и пинги с него)
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
---------------------------------------------------------
пинг до самого впн сервера

root@FS:~# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=0.252 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=0.158 ms
^C
--- 10.8.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1011ms
rtt min/avg/max/mdev = 0.158/0.205/0.252/0.047 ms
вывод tcpdump на впн сервере
09:31:28.540609 IP 192.168.0.55 > 10.8.0.1: ICMP echo request, id 46619, seq 1, length 64
09:31:28.540654 IP 10.8.0.1 > 192.168.0.55: ICMP echo reply, id 46619, seq 1, length 64
09:31:29.551915 IP 192.168.0.55 > 10.8.0.1: ICMP echo request, id 46619, seq 2, length 64
09:31:29.551950 IP 10.8.0.1 > 192.168.0.55: ICMP echo reply, id 46619, seq 2, length 64
-------------------------------------------------------
пинг до линуксового впн клиента
root@FS:~# ping 10.8.0.14
PING 10.8.0.14 (10.8.0.14) 56(84) bytes of data.
64 bytes from 10.8.0.14: icmp_seq=1 ttl=63 time=2.21 ms
64 bytes from 10.8.0.14: icmp_seq=2 ttl=63 time=2.04 ms
^C
--- 10.8.0.14 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 2.048/2.129/2.211/0.093 ms

вывод tcpdump на впн сервере
09:33:34.955572 IP 192.168.0.55 > 10.8.0.14: ICMP echo request, id 49179, seq 1, length 64
09:33:34.957670 IP 10.8.0.14 > 192.168.0.55: ICMP echo reply, id 49179, seq 1, length 64
09:33:35.957662 IP 192.168.0.55 > 10.8.0.14: ICMP echo request, id 49179, seq 2, length 64
09:33:35.959582 IP 10.8.0.14 > 192.168.0.55: ICMP echo reply, id 49179, seq 2, length 64
-----------------------------------------------------------
пинг до виндового впн клиента
root@FS:~# ping 10.8.0.18
PING 10.8.0.18 (10.8.0.18) 56(84) bytes of data.
^C
--- 10.8.0.18 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3030ms
вывод tcpdump на впн сервере
09:34:48.916881 IP 192.168.0.55 > 10.8.0.18: ICMP echo request, id 50459, seq 1, length 64
09:34:49.927554 IP 192.168.0.55 > 10.8.0.18: ICMP echo request, id 50459, seq 2, length 64
09:34:50.936880 IP 192.168.0.55 > 10.8.0.18: ICMP echo request, id 50459, seq 3, length 64
09:34:51.947286 IP 192.168.0.55 > 10.8.0.18: ICMP echo request, id 50459, seq 4, length 64
---------------------------------------------------------------------------

2 маршруты локальной сети
2.1 маршруты на компьютере 192.168.0.55
root@FS:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.0.1     0.0.0.0         UG    1      0        0 eth1
2.2 маршруты на впн сервере
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
X.X.X.0         0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         X.X.X.Y         0.0.0.0         UG    1      0        0 eth0
3- маршруты впн клиентов после подключения
Виндовый клиент
До подключения к впн
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.50.1    192.168.50.77     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.50.0    255.255.255.0         On-link     192.168.50.77    266
    192.168.50.77  255.255.255.255         On-link     192.168.50.77    266
   192.168.50.255  255.255.255.255         On-link     192.168.50.77    266
    192.168.100.0    255.255.255.0         On-link   192.168.100.150    266
  192.168.100.150  255.255.255.255         On-link   192.168.100.150    266
  192.168.100.255  255.255.255.255         On-link   192.168.100.150    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   192.168.100.150    266
        224.0.0.0        240.0.0.0         On-link     192.168.50.77    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   192.168.100.150    266
  255.255.255.255  255.255.255.255         On-link     192.168.50.77    266
===========================================================================
Постоянные маршруты:
  Отсутствует

После подключения к впн
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.50.1    192.168.50.77     10
         10.8.0.0    255.255.255.0        10.8.0.17        10.8.0.18     21
        10.8.0.16  255.255.255.252         On-link         10.8.0.18    276
        10.8.0.18  255.255.255.255         On-link         10.8.0.18    276
        10.8.0.19  255.255.255.255         On-link         10.8.0.18    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link         10.8.0.18     21
      192.168.0.0    255.255.255.0        10.8.0.17        10.8.0.18     21
    192.168.0.255  255.255.255.255         On-link         10.8.0.18    276
     192.168.50.0    255.255.255.0         On-link     192.168.50.77    266
    192.168.50.77  255.255.255.255         On-link     192.168.50.77    266
   192.168.50.255  255.255.255.255         On-link     192.168.50.77    266
    192.168.100.0    255.255.255.0         On-link   192.168.100.150    266
  192.168.100.150  255.255.255.255         On-link   192.168.100.150    266
  192.168.100.255  255.255.255.255         On-link   192.168.100.150    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   192.168.100.150    266
        224.0.0.0        240.0.0.0         On-link     192.168.50.77    266
        224.0.0.0        240.0.0.0         On-link         10.8.0.18    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   192.168.100.150    266
  255.255.255.255  255.255.255.255         On-link     192.168.50.77    266
  255.255.255.255  255.255.255.255         On-link         10.8.0.18    276
===========================================================================
Постоянные маршруты:
  Отсутствует

Линуксовый клиент
До подключения
root@ubuntu:/etc/openvpn# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.106.2   0.0.0.0         UG    0      0        0 eth0
192.168.106.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0

После подключения
root@ubuntu:/etc/openvpn# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.106.2   0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.13       255.255.255.0   UG    0      0        0 tun0
10.8.0.13       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.0.0     10.8.0.13       255.255.255.0   UG    0      0        0 tun0
192.168.106.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0

на всякий случай вот
пинг с линуксового клиента до компьютера в локальной сети
root@ubuntu:/etc/openvpn# ping 192.168.0.55
PING 192.168.0.55 (192.168.0.55) 56(84) bytes of data.
64 bytes from 192.168.0.55: icmp_seq=1 ttl=63 time=1.85 ms
64 bytes from 192.168.0.55: icmp_seq=2 ttl=63 time=2.08 ms
^C
--- 192.168.0.55 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 1.855/1.971/2.087/0.116 ms

До виндового впн клиента
root@ubuntu:/etc/openvpn# ping 10.8.0.18
PING 10.8.0.18 (10.8.0.18) 56(84) bytes of data.
64 bytes from 10.8.0.18: icmp_seq=1 ttl=128 time=5.37 ms
64 bytes from 10.8.0.18: icmp_seq=2 ttl=128 time=3.55 ms
64 bytes from 10.8.0.18: icmp_seq=3 ttl=128 time=5.40 ms
^C
--- 10.8.0.18 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
--------------------------------------------------------------------------
пинг с виндового клиента до линуксового клиента
C:\Users\Администратор>ping 10.8.0.14
Обмен пакетами с 10.8.0.14 по с 32 байтами данных:
Ответ от 10.8.0.14: число байт=32 время=3мс TTL=64
Ответ от 10.8.0.14: число байт=32 время=3мс TTL=64
Ответ от 10.8.0.14: число байт=32 время=3мс TTL=64
Ответ от 10.8.0.14: число байт=32 время=9мс TTL=64
Статистика Ping для 10.8.0.14:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 3мсек, Максимальное = 9 мсек, Среднее = 4 мсек

до компьютера в локальной сети
C:\Users\Администратор>ping 192.168.0.55
Обмен пакетами с 192.168.0.55 по с 32 байтами данных:
Ответ от 10.8.0.18: Заданный узел недоступен.
Ответ от 10.8.0.18: Заданный узел недоступен.
Ответ от 10.8.0.18: Заданный узел недоступен.
Ответ от 10.8.0.18: Заданный узел недоступен.
Статистика Ping для 192.168.0.55:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)

"vpn не видит удаленную сеть"
Отправлено PavelR , 01-Июл-15 11:05

Таки я не понял, что вас не устраивает?
Нужен tcpdump на интерфейсах впн-а, локальной сети опенвпн-сервера в моменты, когда вас что-то не устраивает.
Вам также нужно чтение книг по пакетной передаче данных (по передаче данных в IP-сетях).

"vpn не видит удаленную сеть"
Отправлено reader , 01-Июл-15 23:29

10.8.0.14 - линукс клиент, работает с 10.8.0.0/24 и с 192.168.0.55
10.8.0.18 - win клиент, работает с 10.8.0.0/24 , с 192.168.0.55 - не работает, смотрим firewall на win, тем более что сам говорит : Ответ от 10.8.0.18: Заданный узел недоступен.