forum.opennet.ru - "OpenVPN и нестандартная маршрутизация" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenVPN и нестандартная маршрутизация"

Форумы Открытые системы на сервере (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenVPN и нестандартная маршрутизация"		+/–
Сообщение от WinZ (ok) on 14-Апр-08, 18:56
Здравствуйте! Есть отдельный OpenVPN сервер с внешним IP в стране А. Есть офисная сеть в стране B (192.168.3.0), один из компьютеров которой коннектится к этому серверу. Есть я, находящийся в стране C, который хочет получить доступ ко всем компьютерам офисной сети (192.168.3.0). Подскажите, пожалуйста, можно ли обойтись обычным роутингом? Если нет, то подскажите правило для SNAT'а (если я не ошибаюсь), которое выполнит задачу. Прилагаю конфиги: 1) Сервер (vpn-ip - 10.0.7.1). port 1234 proto udp dev tun0 ca keys/atatat.com/ca.crt cert keys/atatat.com/atatat.com.crt key keys/atatat.com/atatat.com.key dh keys/atatat.com/dh2048.pem server 10.0.7.0 255.255.255.0 crl-verify keys/atatat.com/crl.pem ifconfig-pool-persist servers/atatat.com/logs/ipp.txt cipher DES-EDE3-CBC user nobody group nogroup status servers/atatat.com/logs/openvpn-status.log log-append servers/atatat.com/logs/openvpn.log verb 2 mute 20 max-clients 100 keepalive 10 3600 client-config-dir /etc/openvpn/servers/atatat.com/ccd client-to-client comp-lzo persist-key persist-tun ccd-exclusive push "dhcp-option DNS 10.0.7.1" 2) Клиент в офисной сети (vpn-ip - 10.0.7.22): client proto udp dev tun ca ca.crt dh dh2048.pem cert smru.crt key smru.key remote atatat.com 1234 cipher DES-EDE3-CBC verb 2 mute 20 keepalive 10 120 comp-lzo persist-key persist-tun float resolv-retry infinite nobind содержимое ccd-файла для него: iroute 192.168.3.0 255.255.255.0 3) Я (vpn-ip - 10.0.7.6). Конфиг такой же, как и у клиента из офисной сети. Содержимое ccd-файла: redirect-gateway route 192.168.3.0 255.255.255.0 ===== Спасибо!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

OpenVPN и нестандартная маршрутизация, Serge, 23:33 , 14-Апр-08, (1)

OpenVPN и нестандартная маршрутизация, WinZ, 11:19 , 15-Апр-08, (2)

OpenVPN и нестандартная маршрутизация, Serge, 14:11 , 15-Апр-08, (6)

OpenVPN и нестандартная маршрутизация, rain87, 11:31 , 15-Апр-08, (3)

OpenVPN и нестандартная маршрутизация, rain87, 11:56 , 15-Апр-08, (4)

OpenVPN и нестандартная маршрутизация, WinZ, 12:15 , 15-Апр-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "OpenVPN и нестандартная маршрутизация" +/–

Сообщение от Serge (??) on 14-Апр-08, 23:33

iroute со стороны Куда надо подключиться и push "адрес маска" со своей стороны в полне должно хватать для расшаривания сети.
Допустим связка:
1. Сети 172.30.4.х и 172.30.5.х с одной стороны и 1 подключенный клиент, обозревающий обе сетки, с одной стороны.
2. 192.168.1.32 с другой.
ccd для 1:
iroute "172.25.1.0 255.255.255.0"
iroute "172.25.2.0 255.255.255.0"
push "192.168.1.0 255.255.255.0"
ccd для 2:
push "172.25.1.0 255.255.255.0"
push "172.25.2.0 255.255.255.0"
можно еще дописать в оба файла ifconfig-push (см. мануал и таблицу разрешенных адресов) для нормального учета подключенных клиентов и нормального поиска их в сети.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "OpenVPN и нестандартная маршрутизация" +/–

Сообщение от WinZ (ok) on 15-Апр-08, 11:19

>[оверквотинг удален]
>iroute "172.25.2.0 255.255.255.0"
>push "192.168.1.0 255.255.255.0"
>
>ccd для 2:
>push "172.25.1.0 255.255.255.0"
>push "172.25.2.0 255.255.255.0"
>
>можно еще дописать в оба файла ifconfig-push (см. мануал и таблицу разрешенных
>адресов) для нормального учета подключенных клиентов и нормального поиска их в
>сети.
Здравствуйте,
по-моему Вы что-то намудрили с "push" :) Может push route? Просто push выдает ошибку, когда клиент подключается, мол, unrecognized options. Да, я и не ожидал, что оно заработает.
Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "OpenVPN и нестандартная маршрутизация" +/–

Сообщение от Serge (??) on 15-Апр-08, 14:11

>[оверквотинг удален]
>>адресов) для нормального учета подключенных клиентов и нормального поиска их в
>>сети.
>
>Здравствуйте,
>
>по-моему Вы что-то намудрили с "push" :) Может push route? Просто push
>выдает ошибку, когда клиент подключается, мол, unrecognized options. Да, я и
>не ожидал, что оно заработает.
>
>Спасибо.
н-да, за пуш роуте сор, пропустил дериктиву. А вот система рабочая это факт. Не знаю что и куда у вас не туда пересылает, но при таких настройках как я указал + фервол:
        # OpenVPN
        iptables -A INPUT -p udp --dport 1194 -j ACCEPT
        iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
        iptables -A INPUT -p udp --dport 1195 -j ACCEPT
        iptables -A INPUT -p tcp --dport 1195 -j ACCEPT
        iptables -A INPUT -i tun+ -j ACCEPT
        iptables -A FORWARD -i tun+ -j ACCEPT
        iptables -A INPUT -i tap+ -j ACCEPT
        iptables -A FORWARD -i tap+ -j ACCEPT
        iptables -t nat -A POSTROUTING -s 10.х.0.0/24 -o eth0 -j MASQUERADE
я прекрасно сижу в удаленной сетке. Эти настройки описаны достаточно подробно в родном мане.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "OpenVPN и нестандартная маршрутизация" +/–

Сообщение от rain87 on 15-Апр-08, 11:31

у меня такая же ситуация, есть сервер в инете с белым адресом, есть серая сеть в глубинах инета (10.1.1.0/24, выходит в инет через 10.1.1.1), есть я который хочу её видеть
на сервере с белым адресом такой конфиг:
cd /files/openvpn
mode server
tls-server
ifconfig 10.4.1.1 255.255.255.0
client-to-client
tls-server
dh p2pkeys/dh1024.pem
ca p2pkeys/ca.crt
cert p2pkeys/openvpn_server.crt
key p2pkeys/openvpn_server.key
lport 8945
proto udp
dev tap1
verb 3
comp-lzo yes
log /var/log/p2popenvpn.log
у меня
cd "D:\\Program Files\\Openvpn"
client
ca "keys\\ca.crt"
cert "keys\\home.crt"
key "keys\\home.key"
ifconfig 10.4.1.2 255.255.255.0
route-delay 5
route 10.1.1.0 255.255.255.0 10.4.1.3
remote *.*.*.*
rport 8945
proto udp
dev tap
verb 4
comp-lzo yes
ping 100
ping-restart 200
на сервере в серой сети
cd /etc/openvpn
client
ca keys/ca.crt
cert keys/erudit_lyceum.crt
key keys/erudit_lyceum.key
ifconfig 10.4.1.3 255.255.255.0
remote *.*.*.*
rport 8945
proto udp
dev tap
verb 4
comp-lzo yes
log /var/log/openvpn.log
ping 100
ping-restart 200

закругляюсь, ибо вырубили свет :( если ещё появлюсь, то поясню, хотя и так всё ясно вроде

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "OpenVPN и нестандартная маршрутизация" +/–

Сообщение от rain87 on 15-Апр-08, 11:56

>закругляюсь, ибо вырубили свет :( если ещё появлюсь, то поясню, хотя и
>так всё ясно вроде
так вот. из конфигов видно что овпн образует виртуальную сеть 10.4.1.0/24
10.4.1.1 - сервер с белым адресом
10.4.1.2 - я дома
10.4.1.3 - сервер в серой сети
после поднятия туннеля я пишу себе роут, что 10.1.1.0/24 доступно через 10.4.1.3. посему когда я обращаюсь к 10.1.1.0/24 пакеты дружно идут к 10.4.1.3, который в свою очередь роутит их в 10.1.1.0/24. оттуда мне пишут ответ, который посылают мне (10.4.1.2), но т.к. дефолтным гейтом на тех машинах написан 10.1.1.1, этот пакет попадает к нему, а он роутит на меня. всё просто и понятно
если же на клиентах 10.1.1.1 не дефолтный гейт, то на нём надо написать
iptables -t nat -A POSTROUTING -s 10.4.1.2 -d 10.1.1.0/24 -j SNAT --to-source 10.1.1.1
тогда клиенты будут видеть меня как 10.1.1.1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "OpenVPN и нестандартная маршрутизация" +/–

Сообщение от WinZ (ok) on 15-Апр-08, 12:15

>[оверквотинг удален]
>который в свою очередь роутит их в 10.1.1.0/24. оттуда мне пишут
>ответ, который посылают мне (10.4.1.2), но т.к. дефолтным гейтом на тех
>машинах написан 10.1.1.1, этот пакет попадает к нему, а он роутит
>на меня. всё просто и понятно
>
>если же на клиентах 10.1.1.1 не дефолтный гейт, то на нём надо
>написать
>iptables -t nat -A POSTROUTING -s 10.4.1.2 -d 10.1.1.0/24 -j SNAT --to-source
>10.1.1.1
>тогда клиенты будут видеть меня как 10.1.1.1
На этой веселой ноте... )) В общем, это действительно действенный способ! Только в моей (не сказать бы плохого слова) офисной сети в качестве gateway стоит железяка-роутер 192.168.3.1, а на клиенте, коннектящемся к впн, стоит винда. (wipfw? ;))
На самом деле, мы уже по аське больше обсудили с тобой, чем я тут напишу. Но, может у кого возникнут еще какие идеи, кроме поднятия сната на винде? (Если это вообще возможно).
UPD: на самом деле, чисто логически без сната никак наверное не обойтись. Ведь сервер, на котором поднят опенвпн не является гейтом для офисной сети - он вообще черти-где. Делитесь соображениями :)
Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenVPN и нестандартная маршрутизация"		+/–
Сообщение от Serge (??) on 14-Апр-08, 23:33
iroute со стороны Куда надо подключиться и push "адрес маска" со своей стороны в полне должно хватать для расшаривания сети. Допустим связка: 1. Сети 172.30.4.х и 172.30.5.х с одной стороны и 1 подключенный клиент, обозревающий обе сетки, с одной стороны. 2. 192.168.1.32 с другой. ccd для 1: iroute "172.25.1.0 255.255.255.0" iroute "172.25.2.0 255.255.255.0" push "192.168.1.0 255.255.255.0" ccd для 2: push "172.25.1.0 255.255.255.0" push "172.25.2.0 255.255.255.0" можно еще дописать в оба файла ifconfig-push (см. мануал и таблицу разрешенных адресов) для нормального учета подключенных клиентов и нормального поиска их в сети.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "OpenVPN и нестандартная маршрутизация"		+/–
	Сообщение от WinZ (ok) on 15-Апр-08, 11:19
	>[оверквотинг удален] >iroute "172.25.2.0 255.255.255.0" >push "192.168.1.0 255.255.255.0" > >ccd для 2: >push "172.25.1.0 255.255.255.0" >push "172.25.2.0 255.255.255.0" > >можно еще дописать в оба файла ifconfig-push (см. мануал и таблицу разрешенных >адресов) для нормального учета подключенных клиентов и нормального поиска их в >сети. Здравствуйте, по-моему Вы что-то намудрили с "push" :) Может push route? Просто push выдает ошибку, когда клиент подключается, мол, unrecognized options. Да, я и не ожидал, что оно заработает. Спасибо.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "OpenVPN и нестандартная маршрутизация"		+/–
	Сообщение от Serge (??) on 15-Апр-08, 14:11
	>[оверквотинг удален] >>адресов) для нормального учета подключенных клиентов и нормального поиска их в >>сети. > >Здравствуйте, > >по-моему Вы что-то намудрили с "push" :) Может push route? Просто push >выдает ошибку, когда клиент подключается, мол, unrecognized options. Да, я и >не ожидал, что оно заработает. > >Спасибо. н-да, за пуш роуте сор, пропустил дериктиву. А вот система рабочая это факт. Не знаю что и куда у вас не туда пересылает, но при таких настройках как я указал + фервол: # OpenVPN iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A INPUT -p tcp --dport 1194 -j ACCEPT iptables -A INPUT -p udp --dport 1195 -j ACCEPT iptables -A INPUT -p tcp --dport 1195 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT iptables -t nat -A POSTROUTING -s 10.х.0.0/24 -o eth0 -j MASQUERADE я прекрасно сижу в удаленной сетке. Эти настройки описаны достаточно подробно в родном мане.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

3. "OpenVPN и нестандартная маршрутизация"		+/–
Сообщение от rain87 on 15-Апр-08, 11:31
у меня такая же ситуация, есть сервер в инете с белым адресом, есть серая сеть в глубинах инета (10.1.1.0/24, выходит в инет через 10.1.1.1), есть я который хочу её видеть на сервере с белым адресом такой конфиг: cd /files/openvpn mode server tls-server ifconfig 10.4.1.1 255.255.255.0 client-to-client tls-server dh p2pkeys/dh1024.pem ca p2pkeys/ca.crt cert p2pkeys/openvpn_server.crt key p2pkeys/openvpn_server.key lport 8945 proto udp dev tap1 verb 3 comp-lzo yes log /var/log/p2popenvpn.log у меня cd "D:\\Program Files\\Openvpn" client ca "keys\\ca.crt" cert "keys\\home.crt" key "keys\\home.key" ifconfig 10.4.1.2 255.255.255.0 route-delay 5 route 10.1.1.0 255.255.255.0 10.4.1.3 remote ... rport 8945 proto udp dev tap verb 4 comp-lzo yes ping 100 ping-restart 200 на сервере в серой сети cd /etc/openvpn client ca keys/ca.crt cert keys/erudit_lyceum.crt key keys/erudit_lyceum.key ifconfig 10.4.1.3 255.255.255.0 remote ... rport 8945 proto udp dev tap verb 4 comp-lzo yes log /var/log/openvpn.log ping 100 ping-restart 200 закругляюсь, ибо вырубили свет :( если ещё появлюсь, то поясню, хотя и так всё ясно вроде
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "OpenVPN и нестандартная маршрутизация"		+/–
	Сообщение от rain87 on 15-Апр-08, 11:56
	>закругляюсь, ибо вырубили свет :( если ещё появлюсь, то поясню, хотя и >так всё ясно вроде так вот. из конфигов видно что овпн образует виртуальную сеть 10.4.1.0/24 10.4.1.1 - сервер с белым адресом 10.4.1.2 - я дома 10.4.1.3 - сервер в серой сети после поднятия туннеля я пишу себе роут, что 10.1.1.0/24 доступно через 10.4.1.3. посему когда я обращаюсь к 10.1.1.0/24 пакеты дружно идут к 10.4.1.3, который в свою очередь роутит их в 10.1.1.0/24. оттуда мне пишут ответ, который посылают мне (10.4.1.2), но т.к. дефолтным гейтом на тех машинах написан 10.1.1.1, этот пакет попадает к нему, а он роутит на меня. всё просто и понятно если же на клиентах 10.1.1.1 не дефолтный гейт, то на нём надо написать iptables -t nat -A POSTROUTING -s 10.4.1.2 -d 10.1.1.0/24 -j SNAT --to-source 10.1.1.1 тогда клиенты будут видеть меня как 10.1.1.1
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "OpenVPN и нестандартная маршрутизация"		+/–
	Сообщение от WinZ (ok) on 15-Апр-08, 12:15
	>[оверквотинг удален] >который в свою очередь роутит их в 10.1.1.0/24. оттуда мне пишут >ответ, который посылают мне (10.4.1.2), но т.к. дефолтным гейтом на тех >машинах написан 10.1.1.1, этот пакет попадает к нему, а он роутит >на меня. всё просто и понятно > >если же на клиентах 10.1.1.1 не дефолтный гейт, то на нём надо >написать >iptables -t nat -A POSTROUTING -s 10.4.1.2 -d 10.1.1.0/24 -j SNAT --to-source >10.1.1.1 >тогда клиенты будут видеть меня как 10.1.1.1 На этой веселой ноте... )) В общем, это действительно действенный способ! Только в моей (не сказать бы плохого слова) офисной сети в качестве gateway стоит железяка-роутер 192.168.3.1, а на клиенте, коннектящемся к впн, стоит винда. (wipfw? ;)) На самом деле, мы уже по аське больше обсудили с тобой, чем я тут напишу. Но, может у кого возникнут еще какие идеи, кроме поднятия сната на винде? (Если это вообще возможно). UPD: на самом деле, чисто логически без сната никак наверное не обойтись. Ведь сервер, на котором поднят опенвпн не является гейтом для офисной сети - он вообще черти-где. Делитесь соображениями :) Спасибо.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору