Привет Всем!
Начну с конфигов:
CentOS 5.4
[root@CentOS_5_4 openvpn]# cat openvpn.conf
dev tap0
mode server
comp-lzo
daemon
log-append /var/log/openvpn.log
ifconfig-pool 192.168.240.2 192.168.240.7
ifconfig 192.168.240.1 255.255.255.0
ifconfig-pool-persist ipp.txt
status /var/log/openvpn-status.log
tls-server
dh keys/dh1024.pem
ca keys/ca.crt
cert keys/xxx.crt
key keys/yyy.key
port 8080
proto tcp-server
persist-tun
persist-key
verb 0
push "route 0.0.0.0 0.0.0.0 192.168.240.1"
push "redirect-gateway def1"Конфиг клиента (Windows 7):
dev tap
proto tcp
remote 94.127.67.148 8080
client
nobind
tls-client
comp-lzo
ns-cert-type server
ca ca.crt
cert xxx.crt
key yyy.key
verb 1
persist-key
persist-tun
redirect-gateway def1До подключения OPENVPN у клиента:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 10.0.150.1 10.0.150.60 25
10.0.150.0 255.255.255.0 On-link 10.0.150.60 281
10.0.150.60 255.255.255.255 On-link 10.0.150.60 281
10.0.150.255 255.255.255.255 On-link 10.0.150.60 281
169.254.0.0 255.255.0.0 On-link 192.168.11.2 30
169.254.253.27 255.255.255.255 On-link 169.254.253.27 276
169.254.255.255 255.255.255.255 On-link 192.168.11.2 276
192.168.11.0 255.255.255.0 On-link 192.168.11.2 276
192.168.11.2 255.255.255.255 On-link 192.168.11.2 276
192.168.11.255 255.255.255.255 On-link 192.168.11.2 276
224.0.0.0 240.0.0.0 On-link 169.254.253.27 276
224.0.0.0 240.0.0.0 On-link 10.0.150.60 281
224.0.0.0 240.0.0.0 On-link 192.168.11.2 276
255.255.255.255 255.255.255.255 On-link 169.254.253.27 276
255.255.255.255 255.255.255.255 On-link 10.0.150.60 281
255.255.255.255 255.255.255.255 On-link 192.168.11.2 276
===========================================================================
Постоянные маршруты:
ОтсутствуетПосле подключения:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 10.0.150.1 10.0.150.60 25
0.0.0.0 0.0.0.0 192.168.240.1 192.168.240.2 31
10.0.150.0 255.255.255.0 On-link 10.0.150.60 281
10.0.150.60 255.255.255.255 On-link 10.0.150.60 281
10.0.150.255 255.255.255.255 On-link 10.0.150.60 281
169.254.0.0 255.255.0.0 On-link 192.168.11.2 30
169.254.0.0 255.255.0.0 On-link 192.168.240.2 30
169.254.253.27 255.255.255.255 On-link 169.254.253.27 276
169.254.255.255 255.255.255.255 On-link 192.168.11.2 276
169.254.255.255 255.255.255.255 On-link 192.168.240.2 286
192.168.11.0 255.255.255.0 On-link 192.168.11.2 276
192.168.11.2 255.255.255.255 On-link 192.168.11.2 276
192.168.11.255 255.255.255.255 On-link 192.168.11.2 276
192.168.240.0 255.255.255.0 On-link 192.168.240.2 286
192.168.240.2 255.255.255.255 On-link 192.168.240.2 286
192.168.240.255 255.255.255.255 On-link 192.168.240.2 286
224.0.0.0 240.0.0.0 On-link 192.168.240.2 286
224.0.0.0 240.0.0.0 On-link 169.254.253.27 276
224.0.0.0 240.0.0.0 On-link 10.0.150.60 281
224.0.0.0 240.0.0.0 On-link 192.168.11.2 276
255.255.255.255 255.255.255.255 On-link 192.168.240.2 286
255.255.255.255 255.255.255.255 On-link 169.254.253.27 276
255.255.255.255 255.255.255.255 On-link 10.0.150.60 281
255.255.255.255 255.255.255.255 On-link 192.168.11.2 276
===========================================================================Трассировка маршрута к 192.168.240.1 с максим
1 770 ms 774 ms 769 ms 192.168.240.1
Отчёт в OPENVPN:
выделяю самое интересное:
Thu Jan 07 09:55:23 2010 TAP-WIN32 device [TAP] opened: \\.\Global\{AD2481C8-4271-4CD9-86D1-07149CF3605C}.tap
Thu Jan 07 09:55:23 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.240.2/255.255.255.0 on interface {AD2481C8-4271-4CD9-86D1-07149CF3605C} [DHCP-serv: 192.168.240.0, lease-time: 31536000]
Thu Jan 07 09:55:23 2010 Successful ARP Flush on interface [28] {AD2481C8-4271-4CD9-86D1-07149CF3605C}
Thu Jan 07 09:55:25 2010 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing
Thu Jan 07 09:55:25 2010 WARNING: potential route subnet conflict between local LAN [10.0.150.0/255.255.255.0] and remote VPN [0.0.0.0/0.0.0.0]
Thu Jan 07 09:55:25 2010 Initialization Sequence CompletedТ.е. как вы видите из route print новый роут назначается но имеет большую метрику, даже если метрику изменить на более "мелкий" трафик через него всё равно не идёт.
Где ошибся подскажите плиз.Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : temnyi
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ALPHAEthernet adapter TAP:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
Физический адрес. . . . . . . . . : 00-FF-AD-24-81-C8
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.240.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 7 января 2010 г. 9:55:23
Срок аренды истекает. . . . . . . . . . : 7 января 2011 г. 9:55:23
Основной шлюз. . . . . . . . . : 192.168.240.1
DHCP-сервер. . . . . . . . . . . : 192.168.240.0
NetBios через TCP/IP. . . . . . . . : ВключенАдаптер беспроводной локальной сети Беспроводное сетевое соединение:
DNS-суффикс подключения . . . . . : ALPHA
Описание. . . . . . . . . . . . . : Intel(R) Wireless WiFi Link 4965AGN
Физический адрес. . . . . . . . . : 00-13-E8-75-C2-1F
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.150.60(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 7 января 2010 г. 9:26:47
Срок аренды истекает. . . . . . . . . . : 13 февраля 2146 г. 16:33:48
Основной шлюз. . . . . . . . . : 10.0.150.1
DHCP-сервер. . . . . . . . . . . : 10.0.150.50
DNS-серверы. . . . . . . . . . . : 10.0.150.1
NetBios через TCP/IP. . . . . . . . : Включен
>Thu Jan 07 09:55:25 2010 NOTE: unable to redirect default gateway --
>VPN gateway parameter (--route-gateway or --ifconfig) is missingвроде ясно написано какого параметра ему не хватает
>Thu Jan 07 09:55:25 2010 WARNING: potential route subnet conflict between local
>LAN [10.0.150.0/255.255.255.0] and remote VPN [0.0.0.0/0.0.0.0]ну и как следствие
>Thu Jan 07 09:55:25 2010 Initialization Sequence Completedпробуйте --route-gateway
>[оверквотинг удален]
>>VPN gateway parameter (--route-gateway or --ifconfig) is missing
>
>вроде ясно написано какого параметра ему не хватает
>>Thu Jan 07 09:55:25 2010 WARNING: potential route subnet conflict between local
>>LAN [10.0.150.0/255.255.255.0] and remote VPN [0.0.0.0/0.0.0.0]
>
>ну и как следствие
>>Thu Jan 07 09:55:25 2010 Initialization Sequence Completed
>
>пробуйте --route-gatewayCпасибо!
На самом деле до того как писать на форум думал прописать строчку, но все данный были на лицо и думал что не поможет а помогло, даже исходя из того что в клиенте у роута меньшая метрика всё равно работает.
кто может обьяснить почему так где собака зарыта :)
И всё равно спасибо.
>[оверквотинг удален]
>>
>>пробуйте --route-gateway
>
>Cпасибо!
>На самом деле до того как писать на форум думал прописать строчку,
>но все данный были на лицо и думал что не поможет
>а помогло, даже исходя из того что в клиенте у роута
>меньшая метрика всё равно работает.
>кто может обьяснить почему так где собака зарыта :)
>И всё равно спасибо.Если вы про то что трассировка до одного из шлюзов по умолчанию при двух шлюзах по умолчанию ведёт сразу на этот шлюз, то как бы причём здесь метрики вообще вы главу с теорией до конца дочитайте, там и собаку найдёте.
>[оверквотинг удален]
>>но все данный были на лицо и думал что не поможет
>>а помогло, даже исходя из того что в клиенте у роута
>>меньшая метрика всё равно работает.
>>кто может обьяснить почему так где собака зарыта :)
>>И всё равно спасибо.
>
>Если вы про то что трассировка до одного из шлюзов по умолчанию
> при двух шлюзах по умолчанию ведёт сразу на этот шлюз,
>то как бы причём здесь метрики вообще вы главу с теорией
>до конца дочитайте, там и собаку найдёте.Подождите....(для примера)
Если по команде route print
У нас есть два шлюза по умолчанию 0.0.0.0/24 192.168.0.1 метрика 2 (локальный инет) и подключаем 0.0.0.0/24 10.10.10.1 метрика 1 (OPEVPN) как система определяет какому из дефолтных шлюзов бежать?
Насколько я знаю если два дефолтных бежит по тому у кого метрика меньше верно или в чем то не прав?
>[оверквотинг удален]
>>то как бы причём здесь метрики вообще вы главу с теорией
>>до конца дочитайте, там и собаку найдёте.
>
>Подождите....(для примера)
>Если по команде route print
>У нас есть два шлюза по умолчанию 0.0.0.0/24 192.168.0.1 метрика 2 (локальный
>инет) и подключаем 0.0.0.0/24 10.10.10.1 метрика 1 (OPEVPN) как система определяет
>какому из дефолтных шлюзов бежать?
>Насколько я знаю если два дефолтных бежит по тому у кого метрика
>меньше верно или в чем то не прав?Всё так.
Осталось прочитать зачем нужен default route и когда он применяется при маршрутизации пакета.
>[оверквотинг удален]
>>У нас есть два шлюза по умолчанию 0.0.0.0/24 192.168.0.1 метрика 2 (локальный
>>инет) и подключаем 0.0.0.0/24 10.10.10.1 метрика 1 (OPEVPN) как система определяет
>>какому из дефолтных шлюзов бежать?
>>Насколько я знаю если два дефолтных бежит по тому у кого метрика
>>меньше верно или в чем то не прав?
>
>Всё так.
>Осталось прочитать зачем нужен default route и когда он применяется при маршрутизации
>пакета.
>Чем нравится этот форум так это задачностью :)
Может вы мне подскажите тогда, когда он применяется :) (в двух словах без ссылок на многотомную документацию.
>[оверквотинг удален]
>>>меньше верно или в чем то не прав?
>>
>>Всё так.
>>Осталось прочитать зачем нужен default route и когда он применяется при маршрутизации
>>пакета.
>>
>
>Чем нравится этот форум так это задачностью :)
>Может вы мне подскажите тогда, когда он применяется :) (в двух словах
>без ссылок на многотомную документацию.Во первых, дефолтный шлюз используется когда не удалось найти ни одного подходящего маршрута, вот только тогда метрики и решают по какому из них отправить. Отсюда непонятно зачем приводить traceroute до шлюза как-будто вы ожидали что-то другое.
Во вторых, при нормальной настройке VPN (задействовании redirect-gateway с route-gateway или server) шлюз будет всётаки один и он будет через VPN.