Форум программистов, компьютерный форум, киберфорум
Наши страницы
Сети и средства коммуникаций
Войти
Регистрация
Восстановить пароль
 
Рейтинг: Рейтинг темы: голосов - 12, средняя оценка - 4.83
New0ne
23 / 3 / 1
Регистрация: 14.08.2013
Сообщений: 10
#1

OpenVpn за шлюзом? - Сети

09.10.2013, 20:31. Просмотров 1977. Ответов 4
Метки нет (Все метки)

Добрый ночь.

Перегуглил. Переписал раз 10 конфиг. Маршруты на роутере. Не работает.

Опишу как что устроенно.
Есть внешний ip(поднят на роутере, он же nat, он же форвардит, dhcp)

Есть машина на windows(в роли сервера) где куча всего крутиться. Там же решил поднять vpn. Ip получает фиксированный от роутера(на него же пробрасываеться порт и ip с внешки для vpn)
конфиг сервака


dev tap



# Собственно протокол
proto tcp

#Порт
port ------

#Проверка отозванных сертефикатов
#crl-verify C:\\OpenVPN\\ssl\\crl.pem

# Пул адресов dhcp для клиентов x.1 всегда будет сервак
server 10.10.10.0 255.255.255.0

#Пишем розданные ip
ifconfig-pool-persist C:\\OpenVPN\\ipp\\ipp.txt

#Разрешить сжатие пакетов:
comp-lzo

# Максимальное число одновременных клиентских подключений.
max-clients 5


# маршрут для сервера, чтобы видеть сети за клиентом
route 192.168.1.0 255.255.255.0
route 192.168.0.0 255.255.255.0
route 192.168.130.0 255.255.255.0

# маршрут добавляемый в таблицу маршрутизации каждого клиента, чтобы видеть сеть за сервером

push "route 192.168.40.0 255.255.255.0"

# разрешает vpn-клиентам видеть друг-друга, в противном случае все vpn-клиенты будут видеть только сервер
client-to-client

# файл с описанием сетей между клиентом и сервером
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt

# пути для ключей и сертификатов сервера
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\-----.crt
key C:\\OpenVPN\\ssl\\----.key

#persist-key
#tls-auth C:\\OpenVPN\\ssl\\ta.key 0
#tun-mtu 1500
#tun-mtu-extra 32
#mssfix 1450

# Пинговать каждые 10 секунд, если хост не отвечает в течении 120 секунд, считать его в недоступным:
keepalive 10 120

status C:\\OpenVPN\\log\\openvpn-status.log

log C:\\OpenVPN\\log\\openvpn.log

#Не писать в логи повторяющиеся сообщения:
mute 20

#Уровень подробности логов (от 0 до 9)
verb 3
__________________________________________
192.168.40.0/24 - сама локалка за сервером vpn


Запускаю сервер. Запускаю клиента. Пингую в обе стороны по ip'шникам из пула, выданные openvpn'om. Все здорово.

Но не идет пинг на локальные ip этих компов. У всех у них шлюзом идут роутеры.
Это понятно что если бы я стучался до других ip за vpn'om то они слали бы пакеты на шлюз по умолчанию, в таком случае нужно было бы прописать маршрут на роутере. Но я пингую те карточки, где подняты vpn адаптеры.

В таблице маршрутизации клиента. Есть маршрут ссылающийся на шлюз впн'а до моей локалки за сервером. Но пинга все равно нет. Брэндмауэры и подобную хрень полностью вырубил.

_______________________
В инете много инфы, да. Но не совсем то что нужно. Вот похожая статья тык тестил по ней. Но безуспешно.

Кто нибудь сталкивался?

Добавлено через 22 часа 58 минут
Ребят, неужели никто не настраивал vpn, за шлюзом?
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.10.2013, 20:31
Я подобрал для вас темы с готовыми решениями и ответами на вопрос OpenVpn за шлюзом? (Сети):

Непонятные вещи со шлюзом
Здравствуйте, с недавних пор на Windows 7 появилась проблема, отваливается...

Конфликт с основным шлюзом
Доброго времени суток!!! У меня в офисе сеть из нескольких компьтеров, сервер...

Дайте совет, что использовать шлюзом?
Офис - 30 компов. Требуется машина, которая будет считать трафик, ограничивать...

OpenVPN форвардинг
Подскажите пожалуйста, можно ли в OpenVPN настроить маршрут: В локальной сети...

Инкапсуляция в OpenVPN
Добрый день! Прошу помощи в разъяснении. Поднят сервер, настроен клиент....

OpenVPN на Win2003
Привет ребята! Я тут с проблемой столкнулся.. Есть сервер Win2003. На нем...

4
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
10.10.2013, 18:33 #2
Блин, уже которую тем читаю и не врубаюсь чего хотят.. а нарисуйте картинку как все устроено?))
На картинке подпишите IP на интерфейсах и что-куда пинговать собираетесь..
0
New0ne
23 / 3 / 1
Регистрация: 14.08.2013
Сообщений: 10
10.10.2013, 23:17  [ТС] #3
http://forum.ixbt.com/post.cgi?id=attach:14:49976:64:1
Ну ситуация примерно та же.
Ставил снифер смотрел что происходит. А происходит вот что. (Кстати, сервак работает на 2 уровне)
Роуты прописаны в обе стороны. Что доказывает снифер - далее.
Запускаю снифер. Пингую с клиента сервер по vpn'овским ip'шникам.
На сервере вижу. Возьмем ip с картинки:
Кто знает 10.8.0.1(бродкаст) спрашивает 10.8.0.2
Идет ответ. 10.8.0.1 на таком то маке.
Пинг идет, все здорово.
Напоминаю 3му уровню по большей степени важны маки.
Что же происходит когда я пингую с клиента 192.168.10.2
Орять бродкаст, смотрю на серваке.
Кто знает 192.168.10.2 спрашивает 10.8.0.2
и продолжает спрашивать - молчок.
Чешу собственно репу.

Добавлено через 1 час 11 минут
Все. Разобрался
Суть в том что dev tap - канальный уровень. И снифер меня натолкнул на мысль.
Когда клиент пингует один из локальных адресов за впн сервером. Он спрашивает шлюз 10.8.0.1 по протоколу arp, а знаешь ли ты такой то такой то адрес? От куда ему знать, если он не локальный шлюз. А маршруты я прописал сразу на vpn шлюз, для подсетей за роутером. Так как в arp таблице ничего нет, и ответа нет.
Я поубирал маршруты и при обращении за arp все запросы идут на роутер, а уже там я прописал маршрут до vpn шлюза.

Победа черт возьми.
1
-Nikolas-
0 / 0 / 0
Регистрация: 11.10.2013
Сообщений: 7
15.10.2013, 03:06 #4
Решение, которое вы нашли интересное! Вы прописывали маршруты вручную или с помощью ПО?
0
New0ne
23 / 3 / 1
Регистрация: 14.08.2013
Сообщений: 10
16.10.2013, 14:51  [ТС] #5
В конфиге сервера. Убрал маршруты. Чтобы он их на роутер пулял. И обязательно должна быть включена служба remoteaccess на машине где впн поднят. Собственно на роутере уже маршруты.

Но есть одно "но"

если пинговать машины за впн. Смотря по сниферам приходя запросы, уходят ответы. Но на другом конце я их не наблюдаю, ровно до того как пропишу маршрут на той машине что пингую, руками.
Но по сниферам пакеты одинаковые. Единственное отличие, когда прописан маршрут на машине а не на роутере идет редирект.
Пока загадка как побороть.
0
16.10.2013, 14:51
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.10.2013, 14:51
Привет! Вот еще темы с решениями:

OpenVPN объединение 3х сетей
Здравствуйте. Необходимо объединить 3 сети с помощью OpenVPN. Что имеется: ...

Периодически отваливается OpenVPN
Здравствуйте форумчане! Помогите решить наболевшую проблему и головную боль...

Шанс спалится с openVPN
всем привет, сижу в инете через прокси сервер который блочит нужные мне сайты....

IP, который выдает провайдер и OpenVPN
Всем привет! Помогите разобраться, имею несколько вопросов. Во-первых, имеется...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru