форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение		[ Отслеживать ]

"OpenVPN объединение двух офисов"	–1 +/–
Сообщение от IceTony (ok) on 06-Фев-16, 13:48
Требуется объединить два офиса по средствам OpenVPN, что бы компьютеры из локальной сети первого офиса видели компьютеры из локальной сети второго офиса и наоборот. Сервер на debian выступает в роли шлюза, eth0=192.168.1.1 (inet), eth1=192.168.0.1 (loc) Шлюз раздает инет в локалку. Конфиг сервера: push "route 192.168.0.0 255.255.255.0" tls-auth ta.key 0 cipher DES-EDE3-CBC port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log log /var/log/openvpn.log verb 6 Клиент на винде: client port 1194 proto udp dev tun dev-node "VPN" remote 78.85.32.29 1194 remote-cert-tls server ca ca.crt cert user.crt key user.key tls-auth ta.key 1 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ping-restart 60 ping 10 comp-lzo persist-key persist-tun cipher DES-EDE3-CBC status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log" log "C:\\Program Files\\OpenVPN\\log\\openvpn.log" verb 6 mute 20 ifconfig сервера: eth0      Link encap:Ethernet  HWaddr 00:17:31:cd:99:fb           inet addr:192.168.1.11  Bcast:192.168.1.255  Mask:255.255.255.0           inet6 addr: fe80::217:31ff:fecd:99fb/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:259963088 errors:0 dropped:36 overruns:0 frame:0           TX packets:186956166 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:4049605903 (3.7 GiB)  TX bytes:1326144805 (1.2 GiB)           Interrupt:17 Base address:0xd400 eth1      Link encap:Ethernet  HWaddr 00:80:48:23:74:55           inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0           inet6 addr: fe80::280:48ff:fe23:7455/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:191378051 errors:0 dropped:0 overruns:0 frame:0           TX packets:258713916 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:1500161841 (1.3 GiB)  TX bytes:2577524220 (2.4 GiB)           Interrupt:20 Base address:0xd800 tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00           inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255           UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1           RX packets:33 errors:0 dropped:0 overruns:0 frame:0           TX packets:11 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:100           RX bytes:2628 (2.5 KiB)  TX bytes:924 (924.0 B) ipconfig клиента: Ethernet adapter VPN:    DNS-суффикс подключения . . . . . :    Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9    Физический адрес. . . . . . . . . : 00-FF-D2-F6-FC-5E    DHCP включен. . . . . . . . . . . : Да    Автонастройка включена. . . . . . : Да    Локальный IPv6-адрес канала . . . : fe80::bda9:3f26:1555:e3fa%17(Основной)    IPv4-адрес. . . . . . . . . . . . : 10.8.0.6(Основной)    Маска подсети . . . . . . . . . . : 255.255.255.252    Аренда получена. . . . . . . . . . : 6 февраля 2016 г. 12:16:15    Срок аренды истекает. . . . . . . . . . : 5 февраля 2017 г. 12:16:15    Основной шлюз. . . . . . . . . :    DHCP-сервер. . . . . . . . . . . : 10.8.0.5    IAID DHCPv6 . . . . . . . . . . . : 453050322    DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1E-36-26-B7-D4-3D-7E-B9-DF-74    DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1                                        fec0:0:0:ffff::2%1                                        fec0:0:0:ffff::3%1    NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Ethernet:    DNS-суффикс подключения . . . . . :    Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE    Физический адрес. . . . . . . . . : D4-3D-7E-B9-DF-74    DHCP включен. . . . . . . . . . . : Да    Автонастройка включена. . . . . . : Да    Локальный IPv6-адрес канала . . . : fe80::4125:f642:a491:bbc6%4(Основной)    IPv4-адрес. . . . . . . . . . . . : 172.17.10.101(Основной)    Маска подсети . . . . . . . . . . : 255.255.255.0    Аренда получена. . . . . . . . . . : 6 февраля 2016 г. 11:55:31    Срок аренды истекает. . . . . . . . . . : 6 февраля 2016 г. 13:55:41    Основной шлюз. . . . . . . . . : 172.17.10.1    DHCP-сервер. . . . . . . . . . . : 172.17.10.1    IAID DHCPv6 . . . . . . . . . . . : 164904318    DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1E-36-26-B7-D4-3D-7E-B9-DF-74    DNS-серверы. . . . . . . . . . . : 172.17.10.1    NetBios через TCP/IP. . . . . . . . : Включен Сервер пингует клиента только по 10.8.0.6 Клиент не пингует сервер вообще
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "OpenVPN объединение двух офисов"	+/–
Сообщение от asavah (ok) on 06-Фев-16, 18:06
смотреть файерволлы и на сервере и на клиенте
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "OpenVPN объединение двух офисов"	+/–
Сообщение от Andrey (??) on 06-Фев-16, 19:35
>[оверквотинг удален] > . . . . : 164904318 >    DUID клиента DHCPv6 . . . . . . > . : 00-01-00-01-1E-36-26-B7-D4-3D-7E-B9-DF-74 >    DNS-серверы. . . . . . . . . > . . : 172.17.10.1 >    NetBios через TCP/IP. . . . . . . > . : Включен > > Сервер пингует клиента только по 10.8.0.6 > Клиент не пингует сервер вообще А маршруты на всех узлах сети где? Может у вас элементарно нет маршрутов. Из ваших данных никакой информации о маршрутах не видно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "OpenVPN объединение двух офисов"	+/–
	Сообщение от IceTony (ok) on 06-Фев-16, 21:58
	>[оверквотинг удален] >> . : 00-01-00-01-1E-36-26-B7-D4-3D-7E-B9-DF-74 >>    DNS-серверы. . . . . . . . . >> . . : 172.17.10.1 >>    NetBios через TCP/IP. . . . . . . >> . : Включен >> >> Сервер пингует клиента только по 10.8.0.6 >> Клиент не пингует сервер вообще > А маршруты на всех узлах сети где? Может у вас элементарно нет > маршрутов. Из ваших данных никакой информации о маршрутах не видно. ip route сервер: default via 192.168.1.1 dev eth0  proto static 10.8.0.0/24 via 10.8.0.2 dev tun0 10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1 192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1 192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.11 route print клиент IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0      172.17.10.1    172.17.10.101     20          10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     20          10.8.0.4  255.255.255.252         On-link          10.8.0.6    276          10.8.0.6  255.255.255.255         On-link          10.8.0.6    276          10.8.0.7  255.255.255.255         On-link          10.8.0.6    276         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306       172.17.10.0    255.255.255.0         On-link     172.17.10.101    276     172.17.10.101  255.255.255.255         On-link     172.17.10.101    276     172.17.10.255  255.255.255.255         On-link     172.17.10.101    276       192.168.0.0    255.255.255.0      192.168.0.1    172.17.10.101     21         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306         224.0.0.0        240.0.0.0         On-link          10.8.0.6    276         224.0.0.0        240.0.0.0         On-link     172.17.10.101    276   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306   255.255.255.255  255.255.255.255         On-link          10.8.0.6    276   255.255.255.255  255.255.255.255         On-link     172.17.10.101    276 =========================================================================== Постоянные маршруты:   Отсутствует
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "OpenVPN объединение двух офисов"	+/–
	Сообщение от Andrey (??) on 07-Фев-16, 13:13
	>[оверквотинг удален] >  On-link         127.0.0.1 >    306 >   255.255.255.255  255.255.255.255         >  On-link           > 10.8.0.6    276 >   255.255.255.255  255.255.255.255         >  On-link     172.17.10.101    276 > =========================================================================== > Постоянные маршруты: >   Отсутствует Логично. Полный бардак в маршрутах. У вас маршрут на 192.168.0.0/24 привязан к локальному интерфейсу Windows и некст-хопом указан не туннельный IP, а IP сети, куда строится маршрут. Попробуйте не пушить маршруты, а для начала поднять туннель, создать маршруты вручную, разобраться с тем, кто и куда должен маршрутизироваться и только после этого добавить в конфигурацию пушинг маршрутов.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 07-Фев-16, 14:09
	>[оверквотинг удален] >>  On-link     172.17.10.101    276 >> =========================================================================== >> Постоянные маршруты: >>   Отсутствует > Логично. Полный бардак в маршрутах. > У вас маршрут на 192.168.0.0/24 привязан к локальному интерфейсу Windows и некст-хопом > указан не туннельный IP, а IP сети, куда строится маршрут. > Попробуйте не пушить маршруты, а для начала поднять туннель, создать маршруты вручную, > разобраться с тем, кто и куда должен маршрутизироваться и только после > этого добавить в конфигурацию пушинг маршрутов. подскажите пожалуйста что и куда прописывать
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "OpenVPN объединение двух офисов"	+/–
	Сообщение от Andrey (??) on 07-Фев-16, 20:29
	>>[оверквотинг удален] > подскажите пожалуйста что и куда прописывать Что значит "что и куда прописывать"? У вас есть некая машина с 2-мя интерфейсами: физический и туннельный. Маршрут в сеть, которая должна быть доступна через туннельный интерфейс, у вас почему-то висит на физичесом адаптере (интерфейс с IP 172.17.10.101) : >  192.168.0.0    255.255.255.0      192.168.0.1    172.17.10.101     21 А должна указывать на next-hop туннельного интерфейса. Кроме того, некст-хопом указан адрес из той сети, куда вы хотите попасть (192.168.0.1). А должен быть IP с которым должны быть непосредственная связь (наверное 10.8.0.5). Удалите маршруты, которые пушит сервер при подключении и попробуйте создать вручную необходимые маршруты. В винде это команды "route add" и "route delete". И еще, в винде и в линукс есть единая команда, которая выводит одинаковые данные по маршрутам - "netstat -nr". Может так понятнее будет почему в одну сторону ходят пакеты, а в обратную нет. Научитесь пользоваться командой tracert (traceroute в *nix). Тоже много разъясняет по поводу прохождения трафика.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 08-Фев-16, 10:57
	> У вас есть некая машина с 2-мя интерфейсами: физический и туннельный. у меня 3 интерфейса: туннельный, и 2 физических, один смотрит в инет другой в локалку > которая должна быть доступна через туннельный интерфейс, у вас > почему-то висит на физичесом адаптере (интерфейс с IP 172.17.10.101) : >>  192.168.0.0    255.255.255.0      192.168.0.1    172.17.10.101     21 > А должна указывать на next-hop туннельного интерфейса. Как добавить маршрут мне понятно, а как его привязать к конкретному интерфейсу?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "OpenVPN объединение двух офисов"	+/–
	Сообщение от ALex_hha (ok) on 08-Фев-16, 11:42
	> Как добавить маршрут мне понятно, а как его привязать к конкретному интерфейсу? оно само привяжется, хотя можно конечно указать и имя интерфейса # ip ro add 192.168.1.0/24 via 10.0.0.1 dev ethX
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 08-Фев-16, 12:00
	> Как добавить маршрут мне понятно, а как его привязать к конкретному интерфейсу? Разобрался, выполнил команду: route add 192.168.0.0 mask 255.255.255.0 10.8.0.5 if 17 и route add 10.8.0.0 mask 255.255.255.0 10.8.0.2 if 17 но что то пока без изменений. И еще, не могу понять почему у клиента на туннельном интерфейсе стоит маска 255.255.255.252
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "OpenVPN объединение двух офисов"	+1 +/–
	Сообщение от PavelR (??) on 08-Фев-16, 12:06
	> Разобрался, выполнил команду: > но что то пока без изменений. У вас dev tun. Поэтому вкуривайте, зачем нужна и как работает опция iroute. > И еще, не могу понять почему у клиента на туннельном интерфейсе стоит > маска 255.255.255.252 Не могу понять, почему вы это не понимаете. А какая должна быть?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 08-Фев-16, 12:57
	> У вас dev tun. Поэтому вкуривайте, зачем нужна и как работает опция > iroute. iroute у меня прописано в ccd: iroute 172.17.10.0 255.255.255.0 Сервер пингует клиента по 172.17.10.101, но другие адреса в сети не пингует( Клиент вообще не пингует сервер
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "OpenVPN объединение двух офисов"	+1 +/–
	Сообщение от PavelR (??) on 08-Фев-16, 13:32
	>> У вас dev tun. Поэтому вкуривайте, зачем нужна и как работает опция >> iroute. > iroute у меня прописано в ccd: > iroute 172.17.10.0 255.255.255.0 > Сервер пингует клиента по 172.17.10.101, но другие адреса в сети не пингует( Уверяю вас, вы ошибаетесь. Сервер вполне себе пингует клиента, в том числе и по 172.17.10.101. Правда, видимо, не получает от него ответа... > Клиент вообще не пингует сервер А должен? А с чего вы решили, что должен?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "OpenVPN объединение двух офисов"	+/–
	Сообщение от Andrey (??) on 08-Фев-16, 13:51
	>> У вас dev tun. Поэтому вкуривайте, зачем нужна и как работает опция >> iroute. > iroute у меня прописано в ccd: > iroute 172.17.10.0 255.255.255.0 > Сервер пингует клиента по 172.17.10.101, но другие адреса в сети не пингует( > Клиент вообще не пингует сервер Запустите на клиенте пинг на внутреннюю сеть за сервером. Запустите на сервере tcpdump. Проанализируйте что приходит на сервер.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 08-Фев-16, 17:51
	> Запустите на клиенте пинг на внутреннюю сеть за сервером. Запустите на сервере > tcpdump. > Проанализируйте что приходит на сервер. Внес кое какие изменения в конфиг: mode server tls-server topology subnet А так же выполнил команды: iptables -I FORWARD -s 192.168.0.0/24 -d 10.8.0.0/24 -i eth1 -o tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -d 192.168.0.0/24 -i tun0 -o eth1 -j ACCEPT iptables -I FORWARD -s 192.168.1.0/24 -d 10.8.0.0/24 -i eth0 -o tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -d 192.168.1.0/24 -i tun0 -o eth0 -j ACCEPT Не знаю что сработало, но теперь клиент начал пинговать внутренние адреса в офисе (192.168.0.0) НО! пингуются только некоторые адреса! Если адрес не пингутеся tcpdump пишет: ICMP echo request. Вот это для меня загадка, некоторые компы пингуются, некоторые нет... Еще в офисе стоит роутер который раздает wi-fi, он тоже пингутеся и даже в веб морду заходит.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 08-Фев-16, 19:34
	>НО! пингуются только некоторые адреса! Оказывается пингуются все адреса, просто не везде был отключен брандмауэр...
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "OpenVPN объединение двух офисов"	+/–
Сообщение от ALex_hha (ok) on 08-Фев-16, 18:18
Наша песня хороша - начинай сначала. Зачем вы настраиваете сервер-много_клиентов, когда вам нужен обычный тунель?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 08-Фев-16, 21:20
	> Наша песня хороша - начинай сначала. Зачем вы настраиваете сервер-много_клиентов, когда > вам нужен обычный тунель?! Про какой параметр конкретно вы говорите? Вообщем клиент пингует внутреннюю сеть первого офиса (192.168.0.0) с этим кажется разобрались. Сервер пингует клиента по внутреннему адресу (172.17.10.101). Теперь нужно что бы компы из первой сети (192.168.0.0) пинговали все компы из второго офиса (172.17.10.0) и наоборот. Но как это сделать если клиент (172.17.10.101) не является шлюзом для своей локальной сети?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "OpenVPN объединение двух офисов"	–1 +/–
	Сообщение от IceTony (ok) on 09-Фев-16, 08:56
	Итак, клиент пингует сеть сервера (192.168.0.0). На машине которая находится в одной локалке с клиентом добавляю маршрут: route add 10.8.0.0 mask 255.255.255.0 172.17.10.101 Машина пингует клиента по адресу: 10.8.0.2 Затем на этой же машине добавлю маршрут: route add 192.168.0.0 mask 255.255.255.0 10.8.0.2 Далее пингую на этой машине адреса 192.168.0.0 - тишина Что не дописал?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "OpenVPN объединение двух офисов"	+/–
	Сообщение от Andrey (??) on 09-Фев-16, 09:45
	>[оверквотинг удален] > > route add 10.8.0.0 mask 255.255.255.0 172.17.10.101 > > Машина пингует клиента по адресу: 10.8.0.2 > Затем на этой же машине добавлю маршрут: > > route add 192.168.0.0 mask 255.255.255.0 10.8.0.2 > > Далее пингую на этой машине адреса 192.168.0.0 - тишина > Что не дописал? В команде route add после маски идет next-hop. У вас в данном случае next-hop-ом может быть только 172.17.10.101. Идите учить основы IP маршрутизации!
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "OpenVPN объединение двух офисов"	+/–
	Сообщение от IceTony (ok) on 09-Фев-16, 10:01
	> В команде route add после маски идет next-hop. У вас в данном > случае next-hop-ом может быть только 172.17.10.101. > Идите учить основы IP маршрутизации! Изменил на: route add 192.168.0.0 mask 255.255.255.0 172.17.10.101 - так же не пингует адреса 192.168.0.0
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	21. "OpenVPN объединение двух офисов"	+/–
	Сообщение от IceTony (ok) on 09-Фев-16, 11:31
	iptables -I INPUT -i tun0 -s 172.17.10.0/24 -j ACCEPT iptables -I OUTPUT -o tun0 -d 172.17.10.0/24 -j ACCEPT не помогло
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	22. "OpenVPN объединение двух офисов"	+/–
	Сообщение от ALex_hha (ok) on 09-Фев-16, 21:49
	>> Наша песня хороша - начинай сначала. Зачем вы настраиваете сервер-много_клиентов, когда >> вам нужен обычный тунель?! > Про какой параметр конкретно вы говорите? я вам уже приводил пример конфига для простейшего тунеля
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	23. "OpenVPN объединение двух офисов"	+/–
	Сообщение от IceTony (ok) on 09-Фев-16, 23:44
	Короче я психанул: iptables -t nat -F Все заработало, всем спасибо!)
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема