Прошу прощения, за новую тему, но перерыл всё возможное.
Ситуация такая:
Сервер OpenVPN, он же шлюз.
За OVPN локалка предприятия, к которой нужно подключиться из филиала.
OVPN соединение от клиента до сервера проходит на ура, но дальше начинается непонятка.Без проблем пингуется внешний, внутренний и tun0 интерфейсы сервера, но в локалку не пролезает.
server openvpn.conf
##################################################################################
port 1194
proto tcp-server
dev tun0
ca keys/websrv/ca.crt
cert keys/websrv/server.crt
key keys/websrv/server.key
dh keys/websrv/dh1024.pem
server 10.8.0.0 255.255.255.0
crl-verify keys/websrv/crl.pem############### My adds ###############
push "dhcp-option DNS 192.168.1.110"
push "dhcp-option DNS 192.168.1.10"
push "dhcp-option WINS 192.168.1.10"
push "route 192.168.0.0 255.255.255.0" # сеть филиала
push "route 192.168.1.0 255.255.255.0" # сеть предприятияroute 10.8.0.0 255.255.255.252
route 192.168.1.0 255.255.255.0
route 192.168.0.0 255.255.255.0
push "redirect-gateway def1"
#######################################ifconfig-pool-persist servers/websrv.local/logs/ipp.txt
cipher AES-128-CBC
user nobody
group nogroup
status servers/websrv.local/logs/openvpn-status.log
log-append servers/websrv.local/logs/openvpn.log
verb 3
mute 20
max-clients 100
keepalive 10 120
client-config-dir /usr/local/etc/openvpn/servers/websrv.local/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
log /var/log/openvpn/openvpn.log
##################################################################################Client1.conf
#################################################################################
client
proto tcp-client
dev tun
ca ca.crt
dh dh1024.pem
cert Client1.crt
key Client1.key
remote 95.47.183.196 1194
cipher AES-128-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
#################################################################################ccd Client1
#################################################################################
iroute 192.168.0.0 255.255.255.0
#################################################################################Грешу на ipfw
#################################################################################
FwCMD="/sbin/ipfw -q"
LanOut="re0"
LanIn="rl0"
vif="tun0"
IpOut="90.40.100.100"
IpIn="192.168.1.110"
NetIn="192.168.1.0/24"
vnet="10.8.0.0/24"
zavod="192.168.0.0/24"${FwCMD} -f flush
${FwCMD} add 1 check-state
${FwCMD} add 2 allow ip from any to any via lo0
${FwCMD} add 3 deny ip from any to 127.0.0.0/8
${FwCMD} add 4 deny ip from 127.0.0.0/8 to any${FwCMD} add 6 pass tcp from any to ${IpOut} 1194 in via ${LanOut}
${FwCMD} add 7 pass ip from ${vnet} to ${NetIn} out via ${LanOut}
${FwCMD} add 8 pass ip from ${NetIn} to ${vnet} in via ${LanOut}
${FwCMD} add 9 pass ip from ${vnet} to ${NetIn} via any${FwCMD} nat 123 config ip ${IpOut} log
${FwCMD} add 10 nat 123 all from 10.8.0.0/24 to any out via ${LanIn}
${FwCMD} add 20 nat 123 all from any to any in via ${LanIn}
#################################################################################Помогите разобраться в чём проблема.
netstat -r
> netstat -rInternet:
Destination Gateway Flags Netif Expire
default 90.40.100.1 UGS re0
10.8.0.0 10.8.0.2 UGS tun0
10.8.0.1 link#6 UHS lo0
10.8.0.2 link#6 UH tun0
90.40.100.0 link#1 U re0
90.40.100.100 link#1 UHS lo0
localhost link#5 UH lo0
192.168.1.0 link#2 U rl0
192.168.1.110 link#2 UHS lo0
Вот и ответ.
> Вот и ответ.Развёрнуто ))
Прошу же помочь.
> Развёрнуто ))
> Прошу же помочь.где маршруты из 10. подсети в 192. и обратно?
> где маршруты из 10. подсети в 192. и обратно?Понятно, что где-то надо указать, но где!? В ipfw вроде всё указано, в OVPN тоже прописал.
> Понятно, что где-то надо указать, но где!? В ipfw вроде всё указано,
> в OVPN тоже прописал.https://www.freebsd.org/doc/ru/books/handbook/network-routin...
> Развёрнуто ))
> Прошу же помочь.http://just-networks.ru/seti-tcp-ip/marshrutizatsiya
> http://just-networks.ru/seti-tcp-ip/marshrutizatsiyaСпасибо - сейчас покопаю.
>> Развёрнуто ))
>> Прошу же помочь.
> http://just-networks.ru/seti-tcp-ip/marshrutizatsiyaДобавил в конфиг openvpn.conf строку
push "route 10.8.0.0 255.255.255.0"
вывод netstat изменился:
Internet:
Destination Gateway Flags Netif Expire
default 90.40.100.1 UGS re0
10.8.0.0 10.8.0.2 UGS tun0
10.8.0.1 link#6 UHS lo0
10.8.0.2 link#6 UH tun0
90.40.100.0 link#1 U re0
90.40.100.100 link#1 UHS lo0
localhost link#5 UH lo0
192.168.0.0 10.8.0.2 UGS tun0
192.168.1.0 link#2 U rl0
192.168.1.110 link#2 UHS lo0но связи с локалкой всё равно нет.
>>> Развёрнуто ))
>>> Прошу же помочь.
>> http://just-networks.ru/seti-tcp-ip/marshrutizatsiya
> но связи с локалкой всё равно нет.:-(
>>> Развёрнуто ))
>>> Прошу же помочь.
>> http://just-networks.ru/seti-tcp-ip/marshrutizatsiya
> Добавил в конфиг openvpn.conf строкуфигней страдаете. Хотя бы пытались бы понять, что надо добавлять, а что не надо, и зачем оно надо.
> но связи с локалкой всё равно нет.
Не надеюсь, что поймете, но:
1) Таблица маршрутизации важна на каждом из узлов, в том числе на "начальном" и "конечном", хотя они симметричны, см п.2.
2) Маршрутизируются пакеты не только "туда", но и "оттуда". Нужно в голове понимать, как должны ходить пакеты и почему они должны пойти именно так, а не иначе.
3) Файрволл важен на каждом из узлов, в том числе и на "начальном" и "конечном".
4) Откройте для себя tcpdump.