Forum Debian Users Gang

hornet · 2013-09-30 01:23:22

Witam,

Mam problem z konfiguracją openvpn.

Iptables wygląda tak:

Kod:

$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT

$ipt -A INPUT -i tun0 -j ACCEPT
$ipt -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0.0.0.0/0 -j SNAT --to x.x.x.x

OpenVPN:

Kod:

push "redirect-gateway def1 bypass-dhcp"
push "route 0.0.0.0 0.0.0.0"
push "route 10.8.0.0 255.255.255.0"

Powiedzmy, że jest jak zamierzałem. Wychodzę na świat z IP serwera VPN.

Problem.

Systuacja wygląda tak:

SERWER: IP tun0 10.8.0.1

Podłącza się klient, który dostaje IP 10.8.0.6 (znajduje się za NAT).

Pytanie: Jak zrobić, bym mógł pingować klienta z serwera? Ping nie idzie. Z klienta do serwera już tak (10.8.0.1 odpowiada).

Pozdrawiam!

Usnar · 2013-09-30 10:02:11

Czy możesz wkleić konfiguracje z serwera i klienta?

hornet · 2013-09-30 17:22:21

Serwer:

Kod:

;local a.b.c.d

port 1194

;proto tcp
proto udp

;dev tap
dev tun

;dev-node MyTap

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret

dh /etc/openvpn/easy-rsa/keys/dh4096.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

;server-bridge

push "route 0.0.0.0 0.0.0.0"
push "route 10.8.0.0 255.255.255.0"

;client-config-dir ccd
;route 192.168.40.128 255.255.255.248

;client-config-dir ccd
;route 10.9.0.0 255.255.255.252

;learn-address ./script

push "redirect-gateway def1 bypass-dhcp"

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

;client-to-client

;duplicate-cn

keepalive 10 120

;tls-auth ta.key 0 # This file is secret

;cipher BF-CBC        # Blowfish (default)

cipher AES-256-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

comp-lzo

;max-clients 100

user nobody
group nobody

persist-key
persist-tun

status openvpn-status.log

;log         openvpn.log
;log-append  openvpn.log

verb 3

;mute 20

Client:

Kod:

client
remote vpnserver 1194
dev tun0
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
verb 2
ca ca.crt
cert hornet.crt
key hornet.key
comp-lzo
cipher AES-256-CBC

ba10 · 2013-10-02 10:12:31

Może zamiast tego :

hornet napisał(-a):

Kod:

$ipt -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0.0.0.0/0 -j SNAT --to x.x.x.x

spróbuj to :

Kod:

iptables -t nat -I POSTROUTING -o tun0 -j SNAT --src 10.8.0.0/24 --to x.x.x.x
iptables -A FORWARD -s 10.8.0.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -d 10.8.0.0/24 -j ACCEPT

Edytka
A i na samym początku skryptu warto włączyć forwardowanie :

Kod:

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

Edytka 2
I zobacz sobie jakie masz trasy routingu, bo może pakiety docierają ale nie wiedzą jak wrócić :

Kod:

route -n

Ostatnio edytowany przez ba10 (2013-10-02 10:17:29)

hornet · 2013-10-02 23:48:58

Wygląda na to, że nie działa.

Kod:

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         37.187.98.254   0.0.0.0         UG    4      0        0 eth0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
10.0.0.0        192.168.0.1     255.255.255.0   UG    0      0        0 br0
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        192.168.0.1     255.255.255.0   UG    0      0        0 br0
37.187.98.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
192.168.0.0     192.168.0.1     255.255.255.0   UG    0      0        0 br0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 br0

Taki lekki śmietnik mam.

Graffi · 2013-10-03 06:57:45

kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję

Kod:

client-to-client

?
od tego może zacznij ;)

hornet · 2013-10-03 22:28:39

Graffi napisał(-a):
kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję
Kod:
client-to-client
?
od tego może zacznij ;)

Po tym przestało działać to co działało. Czyli możliwość dostania się do sieci z klienta...

ba10 · 2013-10-03 22:55:49

hornet napisał(-a):
Graffi napisał(-a):
kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję
Kod:
client-to-client
?
od tego może zacznij ;)
Po tym przestało działać to co działało. Czyli możliwość dostania się do sieci z klienta...

Opcja client-to-client służy do tego by klienci się widzieli nawzajem. Klient widzi serwer domyślnie, a nie widzi innych klientów.

Ostatnio edytowany przez ba10 (2013-10-03 22:56:43)

Graffi · 2013-10-04 08:35:15

wiem że to ma pozwolić na widzenie się klientów między sobą, jednak u mnie dopiero po tej opcji serwer widzi klientów (to całkiem logiczne mi się wydaje)
mam obecnie 2.3.2-4

Ostatnio edytowany przez Graffi (2013-10-04 08:37:02)

Forum Debian Users Gang

Ogłoszenie

#1 2013-09-30 01:23:22

hornet - Maruda

[openvpn] problem z trasą

Kod:

Kod:

#2 2013-09-30 10:02:11

Usnar - Członek DUG

Re: [openvpn] problem z trasą

#3 2013-09-30 17:22:21

hornet - Maruda

Re: [openvpn] problem z trasą

Kod:

Kod:

#4 2013-10-02 10:12:31

ba10 - Członek DUG

Re: [openvpn] problem z trasą

hornet napisał(-a):

Kod:

Kod:

Kod:

Kod:

#5 2013-10-02 23:48:58

hornet - Maruda

Re: [openvpn] problem z trasą

Kod:

#6 2013-10-03 06:57:45

Graffi - Użytkownik

Re: [openvpn] problem z trasą

Kod:

#7 2013-10-03 22:28:39

hornet - Maruda

Re: [openvpn] problem z trasą

Graffi napisał(-a):

Kod:

#8 2013-10-03 22:55:49

ba10 - Członek DUG

Re: [openvpn] problem z trasą

hornet napisał(-a):

Graffi napisał(-a):

Kod:

#9 2013-10-04 08:35:15

Graffi - Użytkownik

Re: [openvpn] problem z trasą

Stopka forum