как установить VPN

 
+
-
edit
 

HolyBoy

аксакал

Понадобилось сделать vpn для работы с некоей серой подсетью.
Сейчас пытаюсь понять, как же это добро заставить заработать правильно.

Есть некая локальная сеть с диапазоном 192.168.1.0/24.
Есть сервер, который может натить эту сеть в интернет. Естественно, у него 2 интерфейса

code text
  1. # ifconfig
  2. eth0      Link encap:Ethernet  HWaddr 00:50:DA:BD:B8:40
  3.           inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
  4.           inet6 addr: fe80::250:daff:febd:b840/64 Scope:Link
  5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  6.           RX packets:438 errors:0 dropped:0 overruns:0 frame:0
  7.           TX packets:168 errors:0 dropped:0 overruns:0 carrier:0
  8.           collisions:0 txqueuelen:1000
  9.           RX bytes:55026 (53.7 Kb)  TX bytes:18781 (18.3 Kb)
  10.           Interrupt:17 Base address:0x4000
  11.  
  12. eth1      Link encap:Ethernet  HWaddr 00:04:76:96:63:A2
  13.           inet addr:172.16.0.1  Bcast:172.16.0.255  Mask:255.255.255.0
  14.           inet6 addr: fe80::204:76ff:fe96:63a2/64 Scope:Link
  15.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  16.           RX packets:1460621 errors:0 dropped:0 overruns:1 frame:0
  17.           TX packets:91773 errors:0 dropped:0 overruns:0 carrier:0
  18.           collisions:0 txqueuelen:1000
  19.           RX bytes:109055409 (104.0 Mb)  TX bytes:8066985 (7.6 Mb)
  20.           Interrupt:18 Base address:0x2000


Также, в той сети есть компьютер 192.168.1.12, который можно, например, попинговать с сервера.

Есть некий компьютер-клиент (К) с произвольным адресом в сети (172.16.0.3).
В качестве vpn-сети использую 10.10.0.0/24

Поскольку аутенфикация проходит нормально, то я выложу только кусок конфига сервера, который отвечает за сетевые настройки VPN (/etc/openvpn/openvpn.conf):

code text
  1. mode server
  2. server 10.10.0.0 255.255.255.0
  3. client-to-client
  4. ifconfig-pool-persist ipp.txt
  5. keepalive 10 120


До включения vpn-сервера таблица маршуртов на нем выглядит так:

code text
  1. # route
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. 192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
  5. 172.16.0.0      *               255.255.255.0   U     0      0        0 eth1
  6. loopback        *               255.0.0.0       U     0      0        0 lo


После включения сервера, пытаюсь законнектиться специальным клиентом. Коннект проходит, локальная машина получает ip 10.10.0.6.
С сервера проходят пинги на 192.168.1.12, таблица маршрутов выглядит уже вот так:

code text
  1. route -n
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. 10.10.0.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
  5. 10.10.0.0       10.10.0.2       255.255.255.0   UG    0      0        0 tun0
  6. 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
  7. 172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
  8. 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo




Теперь хочу попробовать с клиентской машины потестировать сеть. Сетевые параметры клиентского компа:

code text
  1. >ipconfig /all
  2.  
  3. Настройка протокола IP для Windows
  4.  
  5.         Имя компьютера  . . . . . . . . . : WST016
  6.         Основной DNS-суффикс  . . . . . . : ph.com
  7.         Тип узла. . . . . . . . . . . . . : гибридный
  8.         IP-маршрутизация включена . . . . : нет
  9.         WINS-прокси включен . . . . . . . : нет
  10.  
  11. ph - Ethernet адаптер:
  12.  
  13.         Состояние сети  . . . . . . . . . : сеть отключена
  14.         Описание  . . . . . . . . . . . . : VIA VT6105 Rhine III Fast Ethernet A
  15. dapter
  16.         Физический адрес. . . . . . . . . : 00-50-70-13-00-4F
  17.  
  18. {13E59BDC-09E6-4ACA-B1F5-B82F98F65338} - Ethernet адаптер:
  19.  
  20.         DNS-суффикс этого подключения . . :
  21.         Описание  . . . . . . . . . . . . : TAP-Win32 Adapter V8 - Минипорт план
  22. ировщика пакетов
  23.         Физический адрес. . . . . . . . . : 00-FF-13-E5-9B-DC
  24.         Dhcp включен. . . . . . . . . . . : да
  25.         Автонастройка включена  . . . . . : да
  26.         IP-адрес  . . . . . . . . . . . . : 10.10.0.6
  27.         Маска подсети . . . . . . . . . . : 255.255.255.252
  28.         Основной шлюз . . . . . . . . . . :
  29.         DHCP-сервер . . . . . . . . . . . : 10.10.0.5
  30.         Аренда получена . . . . . . . . . : 25 декабря 2007 г. 17:33:26
  31.         Аренда истекает . . . . . . . . . : 24 декабря 2008 г. 17:33:26
  32.  
  33. linux - Ethernet адаптер:
  34.  
  35.         DNS-суффикс этого подключения . . :
  36.         Описание  . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI For Com
  37. plete PC Management NIC (3C905C-TX)
  38.         Физический адрес. . . . . . . . . : 00-04-76-18-7F-21
  39.         Dhcp включен. . . . . . . . . . . : нет
  40.         IP-адрес  . . . . . . . . . . . . : 172.16.0.3
  41.         Маска подсети . . . . . . . . . . : 255.255.255.0
  42.         Основной шлюз . . . . . . . . . . :


и я не пингую 192.168.1.12 и 192.168.1.1.
Таблица маршрутов на клиентской машинке после подключения к впн такая:

code text
  1. >route print
  2. ===========================================================================
  3. Список интерфейсов
  4. 0x1 ........................... MS TCP Loopback interface
  5. 0x2 ...00 50 70 13 00 4f ...... VIA VT6105 Rhine III Fast Ethernet Adapter - ╠шэ
  6. шяюЁЄ яырэшЁют∙шър яръхЄют
  7. 0x10004 ...00 ff 13 e5 9b dc ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър
  8.  яръхЄют
  9. 0x10005 ...00 04 76 18 7f 21 ...... 3Com EtherLink XL 10/100 PCI For Complete PC
  10.  Management NIC (3C905C-TX) - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
  11. ===========================================================================
  12. ===========================================================================
  13. Активные маршруты:
  14. Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
  15.         10.10.0.4  255.255.255.252        10.10.0.6       10.10.0.6       30
  16.         10.10.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
  17.    10.255.255.255  255.255.255.255        10.10.0.6       10.10.0.6       30
  18.         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
  19.        172.16.0.0    255.255.255.0       172.16.0.3      172.16.0.3       20
  20.        172.16.0.3  255.255.255.255        127.0.0.1       127.0.0.1       20
  21.    172.16.255.255  255.255.255.255       172.16.0.3      172.16.0.3       20
  22.         224.0.0.0        240.0.0.0        10.10.0.6       10.10.0.6       30
  23.         224.0.0.0        240.0.0.0       172.16.0.3      172.16.0.3       20
  24.   255.255.255.255  255.255.255.255        10.10.0.6       10.10.0.6       1
  25.   255.255.255.255  255.255.255.255        10.10.0.6               2       1
  26.   255.255.255.255  255.255.255.255       172.16.0.3      172.16.0.3       1
  27. ===========================================================================
  28. Постоянные маршруты:
  29.   Отсутствует


Как я понимаю, надо каким-то образом заставить увидеть сеть 192.168.1.0/24 из 10.10.0.0/24. Как это сделать и где? На локальном компьютере или на сервере?
 
Это сообщение редактировалось 25.12.2007 в 18:06
+
-
edit
 

Mishka

модератор
★★★
Ну, давай, поехали потихоньку.
Правильно ли я понимаю, что есть задача по подсоединению произвольного клиента из локальной подсети 192.168.1.0/24 (назовём его ЛК1) подсоединить к инетному хосту из 172.16.0.0/24 (172.16.0.3 — назовём его ИК1) через тунель 10.10.0.0/24, при этом ИК1 должен установить соединение с сервером (192.168.1.1/24 и 172.16.0.1/24 — назовём С1), а вот ЛК1 не должен такого устанавливать? Потому как, если ЛК1 установит такое соединение, то у него появится в мартшрутной таблице соответствующая запись и проблем не будет — все адреса 10.10.0.0/24 ему будут доступны.

Поэтому я буду рассуждать при предположении, что ЛК1 не устанавливает такого соединения.

До поднятия VPN на С1 я не вижу у тебя Default gateway. Значит ли это, что доступ в инет у тебя жёстко ограничен? И судя по этой же таблице, у тебя forwarding разрешён, правильно?

После поднятия тунеля на С1 у тебя он должен взять адрес 10.10.0.1 для себя (тут неплохо бы было посмотреть на ifconfig после поднятия). Но тут есть непонятки — локальная машина, которая получила адрес 10.10.0.6 — это ЛК1 или ИК1? Если это ЛК1, то она доступна сразу из ИК1, но не подсеть. Т.е. её можно пинговать как 10.10.0.6. И всё.

Сетевые параметры клиентской машины, если я правильно понимаю, то это ИК1 — в них мне кое-что не нравится:
10.10.0.6 — т.е. это адрес не локальной машины ЛК1, а клиентской ИК1? Это ладно. Но почему DHCP сервер 10.10.0.5? Он, вроде, должен быть таким же, Как и сервер, т.е. 10.10.0.1. А первая строка таблицы маршрутов на ИК1 вообще говорит, что эта машинка видит основной адрес 10.10.0.4 — есть у сервера такой адрес?

На сервере, вроде всё есть. Посмотри, чтобы никто пакеты не дропал. На ЛК1 либо должен быть добавлен default gateway, либо запись куда и как пересылать пакеты с SrcIP 10.10.0.0/24.
 
+
-
edit
 

HolyBoy

аксакал

Не совсем так. Смотри, есть рисунок.

Локальная сеть (ЛС) 192.168.1.0/24 - та, к которой надо получить доступ. Соответственно, в ней компьютеры ЛК1, ЛК2,... ЛКn. Произвольный компьютер из этой сети ЛКn имеет адрес 192.168.1.12.

Внешняя клиентская сеть (КС), на период испытаний 172.16.0.0/24, когда будет работать, то будет произвольной, как и IP адрес клиентского компьютера КК1.

VPN сеть (ВПНС) 10.10.0.0/24 связывает произвольный клиентский компьютер из КС с ЛС.

Сервер С1, могущий связать ЛС и КС. На нем же установлен ВПН-сервер.

Решил все настройки задавать собственноручно, чтобы разобраться, соответственно, в конфиге на С1 та часть, что относится к сетевым настройкам ВПН изменена, осталось только:



code text
  1. ifconfig 10.10.0.1 10.10.0.2
  2. keepalive 10 120
  3. push "route 192.168.1.0 255.255.255.0"


Последний параметр передает КК1 сведения о маршруте из ВПНС в ЛС.

Соответственно, до включения ВПН-сервера, маршруты на С1 выглядят так:

code text
  1. route -n
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
  5. 172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
  6. 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo


а все интерфейсы С1 вот такие:

code text
  1. ifconfig
  2. eth0      Link encap:Ethernet  HWaddr 00:50:DA:BD:B8:40
  3.           inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
  4.           inet6 addr: fe80::250:daff:febd:b840/64 Scope:Link
  5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  6.           RX packets:1454 errors:0 dropped:0 overruns:0 frame:0
  7.           TX packets:8533 errors:0 dropped:0 overruns:0 carrier:0
  8.           collisions:0 txqueuelen:1000
  9.           RX bytes:169300 (165.3 Kb)  TX bytes:573464 (560.0 Kb)
  10.           Interrupt:17 Base address:0x4000
  11.  
  12. eth1      Link encap:Ethernet  HWaddr 00:04:76:96:63:A2
  13.           inet addr:172.16.0.1  Bcast:172.16.0.255  Mask:255.255.255.0
  14.           inet6 addr: fe80::204:76ff:fe96:63a2/64 Scope:Link
  15.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  16.           RX packets:1686422 errors:0 dropped:0 overruns:1 frame:0
  17.           TX packets:121912 errors:0 dropped:0 overruns:0 carrier:0
  18.           collisions:0 txqueuelen:1000
  19.           RX bytes:124559775 (118.7 Mb)  TX bytes:10676221 (10.1 Mb)
  20.           Interrupt:18 Base address:0x2000
  21.  
  22. lo        Link encap:Local Loopback
  23.           inet addr:127.0.0.1  Mask:255.0.0.0
  24.           inet6 addr: ::1/128 Scope:Host
  25.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
  26.           RX packets:3061 errors:0 dropped:0 overruns:0 frame:0
  27.           TX packets:3061 errors:0 dropped:0 overruns:0 carrier:0
  28.           collisions:0 txqueuelen:0
  29.           RX bytes:284553 (277.8 Kb)  TX bytes:284553 (277.8 Kb)


После включения ВПН-сервера, маршруты выглядят уже вот так:
code text
  1.  route -n
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. 10.10.0.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
  5. 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
  6. 172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
  7. 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
и интерфейсы уже такие:

code text
  1. ifconfig
  2. eth0      Link encap:Ethernet  HWaddr 00:50:DA:BD:B8:40
  3.           inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
  4.           inet6 addr: fe80::250:daff:febd:b840/64 Scope:Link
  5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  6.           RX packets:1455 errors:0 dropped:0 overruns:0 frame:0
  7.           TX packets:8544 errors:0 dropped:0 overruns:0 carrier:0
  8.           collisions:0 txqueuelen:1000
  9.           RX bytes:169404 (165.4 Kb)  TX bytes:574366 (560.9 Kb)
  10.           Interrupt:17 Base address:0x4000
  11.  
  12. eth1      Link encap:Ethernet  HWaddr 00:04:76:96:63:A2
  13.           inet addr:172.16.0.1  Bcast:172.16.0.255  Mask:255.255.255.0
  14.           inet6 addr: fe80::204:76ff:fe96:63a2/64 Scope:Link
  15.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  16.           RX packets:1686806 errors:0 dropped:0 overruns:1 frame:0
  17.           TX packets:121935 errors:0 dropped:0 overruns:0 carrier:0
  18.           collisions:0 txqueuelen:1000
  19.           RX bytes:124586741 (118.8 Mb)  TX bytes:10679817 (10.1 Mb)
  20.           Interrupt:18 Base address:0x2000
  21.  
  22. lo        Link encap:Local Loopback
  23.           inet addr:127.0.0.1  Mask:255.0.0.0
  24.           inet6 addr: ::1/128 Scope:Host
  25.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
  26.           RX packets:3065 errors:0 dropped:0 overruns:0 frame:0
  27.           TX packets:3065 errors:0 dropped:0 overruns:0 carrier:0
  28.           collisions:0 txqueuelen:0
  29.           RX bytes:284907 (278.2 Kb)  TX bytes:284907 (278.2 Kb)
  30.  
  31. tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00                       -00
  32.           inet addr:10.10.0.1  P-t-P:10.10.0.2  Mask:255.255.255.255
  33.           UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
  34.           RX packets:0 errors:0 dropped:0 overruns:0 frame:0
  35.           TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
  36.           collisions:0 txqueuelen:100
  37.           RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)


На КК1 в конфиге openVPN клиента сделана запись вида

code text
  1. ifconfig 10.10.0.2 10.10.0.1
, соответственно, до подключения интерфейсы выглядят так:

code text
  1. ipconfig /all
  2.  
  3. Настройка протокола IP для Windows
  4.  
  5.         Имя компьютера  . . . . . . . . . : WST016
  6.         Основной DNS-суффикс  . . . . . . : ph.com
  7.         Тип узла. . . . . . . . . . . . . : гибридный
  8.         IP-маршрутизация включена . . . . : нет
  9.         WINS-прокси включен . . . . . . . : нет
  10.  
  11. ph - Ethernet адаптер:
  12.  
  13.         Состояние сети  . . . . . . . . . : сеть отключена
  14.         Описание  . . . . . . . . . . . . : VIA VT6105 Rhine III Fast Ethernet A
  15. dapter
  16.         Физический адрес. . . . . . . . . : 00-50-70-13-00-4F
  17.  
  18. {13E59BDC-09E6-4ACA-B1F5-B82F98F65338} - Ethernet адаптер:
  19.  
  20.         Состояние сети  . . . . . . . . . : сеть отключена
  21.         Описание  . . . . . . . . . . . . : TAP-Win32 Adapter V8 - Минипорт план
  22. ировщика пакетов
  23.         Физический адрес. . . . . . . . . : 00-FF-13-E5-9B-DC
  24.  
  25. linux - Ethernet адаптер:
  26.  
  27.         DNS-суффикс этого подключения . . :
  28.         Описание  . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI For Com
  29. plete PC Management NIC (3C905C-TX)
  30.         Физический адрес. . . . . . . . . : 00-04-76-18-7F-21
  31.         Dhcp включен. . . . . . . . . . . : нет
  32.         IP-адрес  . . . . . . . . . . . . : 172.16.0.3
  33.         Маска подсети . . . . . . . . . . : 255.255.255.0
  34.         Основной шлюз . . . . . . . . . . :
, а таблица маршрутов вот так:

code text
  1. route print
  2. ===========================================================================
  3. Список интерфейсов
  4. 0x1 ........................... MS TCP Loopback interface
  5. 0x2 ...00 50 70 13 00 4f ...... VIA VT6105 Rhine III Fast Ethernet Adapter - ╠шэ
  6. шяюЁЄ яырэшЁют∙шър яръхЄют
  7. 0x10004 ...00 ff 13 e5 9b dc ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър
  8.  яръхЄют
  9. 0x10005 ...00 04 76 18 7f 21 ...... 3Com EtherLink XL 10/100 PCI For Complete PC
  10.  Management NIC (3C905C-TX) - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
  11. ===========================================================================
  12. ===========================================================================
  13. Активные маршруты:
  14. Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
  15.         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
  16.        172.16.0.0    255.255.255.0       172.16.0.3      172.16.0.3       20
  17.        172.16.0.3  255.255.255.255        127.0.0.1       127.0.0.1       20
  18.    172.16.255.255  255.255.255.255       172.16.0.3      172.16.0.3       20
  19.         224.0.0.0        240.0.0.0       172.16.0.3      172.16.0.3       20
  20.   255.255.255.255  255.255.255.255       172.16.0.3      172.16.0.3       1
  21.   255.255.255.255  255.255.255.255       172.16.0.3           10004       1
  22.   255.255.255.255  255.255.255.255       172.16.0.3               2       1
  23. ===========================================================================
  24. Постоянные маршруты:
  25.   Отсутствует


После включения, соответственно, вот так:

code text
  1. ipconfig /all
  2.  
  3. Настройка протокола IP для Windows
  4.  
  5.         Имя компьютера  . . . . . . . . . : WST016
  6.         Основной DNS-суффикс  . . . . . . : ph.com
  7.         Тип узла. . . . . . . . . . . . . : гибридный
  8.         IP-маршрутизация включена . . . . : нет
  9.         WINS-прокси включен . . . . . . . : нет
  10.  
  11. ph - Ethernet адаптер:
  12.  
  13.         Состояние сети  . . . . . . . . . : сеть отключена
  14.         Описание  . . . . . . . . . . . . : VIA VT6105 Rhine III Fast Ethernet A
  15. dapter
  16.         Физический адрес. . . . . . . . . : 00-50-70-13-00-4F
  17.  
  18. {13E59BDC-09E6-4ACA-B1F5-B82F98F65338} - Ethernet адаптер:
  19.  
  20.         DNS-суффикс этого подключения . . :
  21.         Описание  . . . . . . . . . . . . : TAP-Win32 Adapter V8 - Минипорт план
  22. ировщика пакетов
  23.         Физический адрес. . . . . . . . . : 00-FF-13-E5-9B-DC
  24.         Dhcp включен. . . . . . . . . . . : да
  25.         Автонастройка включена  . . . . . : да
  26.         IP-адрес  . . . . . . . . . . . . : 10.10.0.2
  27.         Маска подсети . . . . . . . . . . : 255.255.255.252
  28.         Основной шлюз . . . . . . . . . . :
  29.         DHCP-сервер . . . . . . . . . . . : 10.10.0.1
  30.         Аренда получена . . . . . . . . . : 26 декабря 2007 г. 11:45:34
  31.         Аренда истекает . . . . . . . . . : 25 декабря 2008 г. 11:45:34
  32.  
  33. linux - Ethernet адаптер:
  34.  
  35.         DNS-суффикс этого подключения . . :
  36.         Описание  . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI For Com
  37. plete PC Management NIC (3C905C-TX)
  38.         Физический адрес. . . . . . . . . : 00-04-76-18-7F-21
  39.         Dhcp включен. . . . . . . . . . . : нет
  40.         IP-адрес  . . . . . . . . . . . . : 172.16.0.3
  41.         Маска подсети . . . . . . . . . . : 255.255.255.0
  42.         Основной шлюз . . . . . . . . . . :


и

code text
  1. route print
  2. ===========================================================================
  3. Список интерфейсов
  4. 0x1 ........................... MS TCP Loopback interface
  5. 0x2 ...00 50 70 13 00 4f ...... VIA VT6105 Rhine III Fast Ethernet Adapter - ╠шэ
  6. шяюЁЄ яырэшЁют∙шър яръхЄют
  7. 0x10004 ...00 ff 13 e5 9b dc ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър
  8.  яръхЄют
  9. 0x10005 ...00 04 76 18 7f 21 ...... 3Com EtherLink XL 10/100 PCI For Complete PC
  10.  Management NIC (3C905C-TX) - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
  11. ===========================================================================
  12. ===========================================================================
  13. Активные маршруты:
  14. Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
  15.         10.10.0.0  255.255.255.252        10.10.0.2       10.10.0.2       30
  16.         10.10.0.2  255.255.255.255        127.0.0.1       127.0.0.1       30
  17.    10.255.255.255  255.255.255.255        10.10.0.2       10.10.0.2       30
  18.         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
  19.        172.16.0.0    255.255.255.0       172.16.0.3      172.16.0.3       20
  20.        172.16.0.3  255.255.255.255        127.0.0.1       127.0.0.1       20
  21.    172.16.255.255  255.255.255.255       172.16.0.3      172.16.0.3       20
  22.       192.168.1.0    255.255.255.0        10.10.0.1       10.10.0.2       1
  23.         224.0.0.0        240.0.0.0        10.10.0.2       10.10.0.2       30
  24.         224.0.0.0        240.0.0.0       172.16.0.3      172.16.0.3       20
  25.   255.255.255.255  255.255.255.255        10.10.0.2       10.10.0.2       1
  26.   255.255.255.255  255.255.255.255        10.10.0.2               2       1
  27.   255.255.255.255  255.255.255.255       172.16.0.3      172.16.0.3       1
  28. ===========================================================================
  29. Постоянные маршруты:
  30.   Отсутствует


Соответственно, я могу пинговать с КК1: 10.10.0.1..2, 192.168.1.1, но компьютер ЛКn не пингуется. Более того, со включеным ВПН сервером я не вижу С1 с ЛКn. Попытка добавить в таблицу маршрутов на С1

code text
  1. route add -net 10.10.0.0/24 gw 192.168.1.1
  2. route add -net 192.168.1.0/24 gw 10.10.0.1
к успеху не привела. Получается, что на компьютерах из ЛС, к которым я хочу дать доступ из КС надо еще маршруты прописывать до 10.10.0.1 или еще что-то требуется? Указание на ЛКn в качестве шлюза 192.168.1.1 к успеху не привело.
Прикреплённые файлы:
 
 
Это сообщение редактировалось 26.12.2007 в 12:42
UA Zebottendorf #26.12.2007 14:43
+
-
edit
 

Zebottendorf

втянувшийся

Когда я у себя настраивал ВПН, я тоже сначала с клиента мог пинговать только сервер OpenVPN (все его интерфейсы). Тоже думал что-то крутить с маршрутами, но потом решил проверить, включен ли у меня на сервере ip_forward. Оказалось, выключен. Включил - все стало пинговаться.
 
+
-
edit
 

HolyBoy

аксакал

Я сразу включил форвардинг, ибо до того сервер этот давал мне доступ в интернет через нат.

code text
  1.  cat /proc/sys/net/ipv4/ip_forward
  2. 1


Файл /etc/sysctl.conf

code text
  1. ....
  2. net.ipv4.ip_forward = 1
  3. ....
 
+
-
edit
 

Mishka

модератор
★★★
В такой конфигураци у тебя доступ не сеть-сеть, и не клиент-сеть, а клиент-клиент. Соответсвтенно, подсетей они видеть не должны. А вот, если клиентский комп только до сервера и там всё как есть уже у тебя (только форвардинг добавить), то клиентский получит доступ ко всей сети.
 
+
-
edit
 
+
-
edit
 

Mishka

модератор
★★★
Дык он его по адресу 10.10.0.х должен видеть. А по адресу 192.168.1.12 его должен видеть, если:
1. На сервере есть запись в route table — она есть, согласно показаниям.
2. Форвардинг включён — он включён согласно показаниям.
3. iptables настроены так, что не рубят трафик между 192.168.1.0/24 и 10.10.0.0/24.
4. На локальном компе (192.168.1.12) есть default gateway 192.168.1.1
5. На локальном компе нет firewall, который рубит весь трафик, который не 192.168.1.0/24.
 
+
-
edit
 

Mishka

модератор
★★★
192.168.1.0 255.255.255.0 10.10.0.1 10.10.0.2 1
Откуда на КК1 взялся?

У тебя явно не проходит форвардинг на сервере в одну из сторон.
Попробуй добавить dg на ЛК на 192.168.1.1 и поставь WireShark на него и полови ICMP пакеты. Если пинги доходят, то на сервере от 10.10.0.0/24 в сторону 192.168.1.0/24 форвардятся и надо искать на ЛК1 почему ICMP echo исчезает. Если не доходят, то надо смотреть при помощи tcpdump или wireshark на сервере на интерфейсе 192.168.1.1 — приходят ли. Я думаю, что приходят, т.к. ты можешь пинговать этот интерфейс.
 
+
-
edit
 

Mishka

модератор
★★★
Да, у тебя же там NAT стоит наверняка. Надо сказать ему, чтобы не натил ничего между 192.168.1.0/24 и 10.10.0.0/24.
 
+
-
edit
 

HolyBoy

аксакал

Фаервол на С1 был отключен. Заработало сейчас только тогда, когда

1. Добавил у КЛn дефолтный шлюз С1.
2. Указал, что для сети 192.168.1.0/24 есть шлюз на 10.10.0.2 т.е. у С1 добавил строку в роутах

route add -net 192.168.1.0/24 gw 10.10.0.2

Сейчас надо будет настроить фаерволл и можно будет работать.

Не очень нравится то, что компьютерам из ЛС надо указывать в качестве шлюза С1.
 
+
-
edit
 

Mishka

модератор
★★★
Можешь не указывать, но тогда добавить на ЛКn строчку у всех надо:
code text
  1. route add -net 10.10.0.0 mask 255.255.255.0 192.168.1.1


А строчка в route у С1 показывает, что с форвардингом у тебя что-то не то. У тебя с С1 обе подсети достижимы и записи об этом уже есть.

В принципе в
code text
  1. route -n
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. 10.10.0.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
  5. 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
  6. 172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
  7. 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo

не хватает одного входа (чтобы на подсеть выходило, а не на хост):
code text
  1. 10.10.0.2       0.0.0.0         255.255.255.0   U     0      0        0 tun0

Для этого надо добавить
code text
  1. route add -net 10.10.0.0 mask 255.255.255.0 10.10.0.1


Но, в принципе, это излишек — того, что указано в
code text
  1. ifconfig
  2. eth0
  3.           inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
  4.           inet6 addr: fe80::250:daff:febd:b840/64 Scope:Link
  5.           UP
  6.  
  7. eth1
  8.           inet addr:172.16.0.1  Bcast:172.16.0.255  Mask:255.255.255.0
  9.           inet6 addr: fe80::204:76ff:fe96:63a2/64 Scope:Link
  10.           UP
  11.  
  12.  
  13. tun0
  14.           inet addr:10.10.0.1  P-t-P:10.10.0.2  Mask:255.255.255.255
  15.           UP


Они все UP, у всех специфицирована маска и адреса из этой подсети и броадкаст есть. Т.е. должно хватать. Но добавить можно на всякий случай.
 
+
-
edit
 

HolyBoy

аксакал

Спасибо за помощь. :)
Работает!
 
+
-
edit
 

Android

старожил
★★☆
В продолжение темы.
Поставил себе kvpnc (с зависимостями), произвел настройку. Туннель поднимается, пинги на белые адреса проходят. Но в логах kvpnc после установки соединения говорится, что идет отладка первичного днс. Опуская ppp0, доступа по локальным адресам не имею. Пинги жалуются на неразрешенные имена хостов. Заглядываю в resolv.conf, там закомментирована строка, что resolv.conf динамический и генерируется kvpnc, редактировать его не могу. Серверы имен не прописаны. При запущенном kvpnc и после перезагрузки компа в resolv.conf все нормально.
Что делать? Нах kvpnc и ручками прописывать?
 3.0.33.0.3
RU Barbarossa #16.04.2018 20:54
+
-
edit
 

Barbarossa

Любитель тунисских тётков
★★★★

Opera VPN закрывается с 30 апреля

Приложение Opera VPN будет закрыто с 30 апреля 2018 года, говорится в сообщении на сайте сервиса //  www.mk.ru
 

Чего делать?
 65.0.3325.18165.0.3325.181
RU Balancer #05.05.2018 12:39  @Barbarossa#16.04.2018 20:54
+
-
edit
 

Balancer

администратор
★★★★★
Barbarossa> Чего делать?

Ставить свой VPN :)

Хотя у Оперы он до сих пор пашет, но я начал, наконец, ковыряться с поднятием собственного. Экспериментирую с OpenVPN, хотя сейчас есть и более производительные решения. Но по OpenVPN тупо материалов больше. Из под Linux клиентом захожу без проблем, при чём настроил сервер так, что он клиенту сообщает список подсетей, куда надо идти через VPN, а остальное — напрямую. Список пока пополняю вручную. Вот на Авиабазу по-прежнему иду с честного IP, а Флибуста или некоторые заблокированные адреса Google — через VPN.

Надо теперь под Android поднять (почему-то штатно сейчас всё соединяется, но соединение висит) и прямо на домашнем роутере (чтобы из дому все клиенты так ходили без настроек).
 55
RU спокойный тип #05.05.2018 12:40  @Barbarossa#16.04.2018 20:54
+
-
edit
 

спокойный тип
Спокойный_Тип

старожил
★☆
Barbarossa> Opera VPN закрывается с 30 апреля - Наука, Технологии - МК
Barbarossa> Чего делать?

я пока TunnelBear использую
а для OpenVPN нет же клиента под iOS?
эволюционируй или вымри  59.059.0
RU Balancer #05.05.2018 13:28  @спокойный тип#05.05.2018 12:40
+
-
edit
 

Balancer

администратор
★★★★★
с.т.> а для OpenVPN нет же клиента под iOS?

Есть, вроде:

Настройка OpenVPN в iOS

Тихо и незаметно прошел релиз клиента OpenVPN для iOS. Для многих, в том числе и для меня, это может стать последней причиной для отказа от Jailbreak'а. Для тех... //  habr.com
 

с.т.> я пока TunnelBear использую

Я свой ковыряю, поскольку нет никаких гарантий, что сторонние завтра не будут забанены :)

Android и Windows тоже подключил. А вот роутер что-то не хочет. Было бы хорошо, чтобы на телефоне лишней нагрузки от VPN не было. Ну да и так неплохо :D

Уже за эти дни отвык от того, как мгновенно и без глюков могут открываться гуглосервисы. Ну и бонусом — открытие Флибусты или Рутрекера без проксей :)
 55

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru