OpenVPN - co robię nie tak?

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

dj_volt
Użytkownik
Posty: 10
Rejestracja: 2007-01-09, 19:50
Lokalizacja: Zielona Góra
Kontakt:

OpenVPN - co robię nie tak?

Post autor: dj_volt » 2009-10-12, 11:05

Witam!

Zabrałem się za konfigurację OpenVPN. Server na Slackware, klient na Windzie. Po uruchomieniu servera i odpaleniu klienta pingi pomiędzy serverem a klientem śmigają ale nie mogę spingować żadnego kompka w sieci za serverem. Oto konfigi:

Server:

Kod: Zaznacz cały

dev tun
ifconfig 192.168.101.1 192.168.101.2
secret /etc/openvpn/shared.key
proto tcp-server
daemon
verb 4
log-append /var/log/openvpn.log
#keepalive 10 900
#inactive 3600
comp-lzo
#route 10.0.0.0 255.255.0.0 192.168.101.1
Client:

Kod: Zaznacz cały

dev tun
remote super.tajny.host 1194
proto tcp-client
ifconfig 192.168.101.2 192.168.101.1
secret tajny.klucz
#keepalive 10 60
#route 10.0.0.0 255.255.0.0
comp-lzo
Wiem, że problem leży w routingu ale nie bardzo wiem po której stronie (klient czy server) dodać wpis. Server ma w lanie adres 10.0.255.2 ale z VPN muszę się dostać do sieci 10.0.0.0/16
Podsieć VPN to 192.168.101.1 dla servera i 192.168.101.2 dla klienta.
Pomóżcie proszę.
Marek B.

Awatar użytkownika
bzyk
Moderator w st. spocz.
Posty: 991
Rejestracja: 2004-06-05, 06:32
Lokalizacja: Pszczyna
Kontakt:

Re: OpenVPN - co robię nie tak?

Post autor: bzyk » 2009-10-12, 12:24

Przeczytaj dokumentacje. gdzie masz push "route...."?
In /dev/null no one can hear you scream.

dj_volt
Użytkownik
Posty: 10
Rejestracja: 2007-01-09, 19:50
Lokalizacja: Zielona Góra
Kontakt:

Re: OpenVPN - co robię nie tak?

Post autor: dj_volt » 2009-10-12, 14:46

bzyk pisze:Przeczytaj dokumentacje. gdzie masz push "route...."?
Dodałem do konfiga servera

Kod: Zaznacz cały

route 192.168.101.0 255.255.255.0
i klienta

Kod: Zaznacz cały

route 10.0.0.0 255.255.0.0 
niestety nie działa.
Z tego co zrozumiałem z dokumentacji na serverze
route ip_klienta_vpn (u mnie 192.168.101.0)
a na kliencie
route ip_sieci_fizycznej (u mnie 10.0.0.0/16).

Czy to się zgadza? Walczę z tym od rana i nic.

Dodałem regułki do firewall'a. Obecnie konfig servera wygląda tak:

Kod: Zaznacz cały

dev tun
ifconfig 192.168.101.1 192.168.101.2
secret /etc/openvpn/shared.key
proto udp
daemon
verb 4
log-append /var/log/openvpn.log
#keepalive 10 900
#inactive 3600
comp-lzo
#route 10.0.0.0 255.255.0.0 192.168.101.1
#route 192.168.101.0 255.255.255.0
push "route 10.0.0.0 255.255.0.0"
#persist-tun
Konfig klienta

Kod: Zaznacz cały

dev tun
remote adres.servera.pl 1194
proto udp
ifconfig 192.168.101.2 192.168.101.1
secret shared.key
#keepalive 10 60
#route 10.0.0.0 255.255.0.0
#route 10.0.0.0 255.255.0.0
push "route 10.0.0.0 255.255.0.0"
comp-lzo
i firewall:

Kod: Zaznacz cały

#!/bin/sh
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t nat -F
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A FORWARD -o lo -j ACCEPT
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT 
/sbin/iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
/sbin/iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

/sbin/iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -s 0/0 -p tcp --dport 5000 -j ACCEPT
/sbin/iptables -A INPUT -s 0/0 -p udp --dport 5000 -j ACCEPT

/sbin/iptables -A INPUT -s 0/0 -p tcp --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -s 10.0.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.101.0/24 -j ACCEPT

/sbin/iptables -A FORWARD -s 10.0.0.0/16 -d 192.168.101.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.101.0/24 -d 10.0.0.0/16 -j ACCEPT
##
#
##
/sbin/iptables -t nat -F
/sbin/iptables -t nat -F PREROUTING
#/sbin/iptables -t filter -F
/sbin/iptables -F FORWARD
#/sbin/iptables -t mangle -F
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -t mangle -A POSTROUTING -o eth0 
/sbin/iptables -A FORWARD -s 10.0.255.1/24 -j ACCEPT
/sbin/iptables -A FORWARD -d 10.0.255.1/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.255.10/24 -j ACCEPT
/sbin/iptables -A FORWARD -d 10.0.255.10/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.255.100/24 -j ACCEPT
/sbin/iptables -A FORWARD -d 10.0.255.100/24 -j ACCEPT
Po dodaniu w Windowsie

Kod: Zaznacz cały

route add 10.0.0.0 mask 255.255.0.0 192.168.101.1
pingi do adresu 10.0.255.2 czyli IP servera w LANie chodzą ale nie mam pinga do 10.0.255.1 czyli Windzianego servera stojącego w tym samym LANie. Ip_forward odpalony.

co nie tak?
Ostatnio zmieniony 2009-10-13, 11:44 przez dj_volt, łącznie zmieniany 1 raz.
Marek B.

ODPOWIEDZ