Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-09-30 01:23:22
hornet - 
Maruda
- hornet
- Maruda
- Zarejestrowany: 2006-12-19
[openvpn] problem z trasą
Witam,
Mam problem z konfiguracją openvpn.
Iptables wygląda tak:
Kod:
$ipt -P INPUT DROP $ipt -P OUTPUT ACCEPT $ipt -P FORWARD ACCEPT $ipt -A INPUT -i tun0 -j ACCEPT $ipt -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0.0.0.0/0 -j SNAT --to x.x.x.x
OpenVPN:
Kod:
push "redirect-gateway def1 bypass-dhcp" push "route 0.0.0.0 0.0.0.0" push "route 10.8.0.0 255.255.255.0"
Powiedzmy, że jest jak zamierzałem. Wychodzę na świat z IP serwera VPN.
Problem.
Systuacja wygląda tak:
SERWER: IP tun0 10.8.0.1
Podłącza się klient, który dostaje IP 10.8.0.6 (znajduje się za NAT).
Pytanie: Jak zrobić, bym mógł pingować klienta z serwera? Ping nie idzie. Z klienta do serwera już tak (10.8.0.1 odpowiada).
Pozdrawiam!
[b]Jestem artystą. Tworzę rzeźbę. Rzeźbę swojego życia - dosłownie i w przenośni.[/b]
Offline
#2 2013-09-30 10:02:11
Usnar - Członek DUG
- Usnar
- Członek DUG
- Zarejestrowany: 2005-02-14
Re: [openvpn] problem z trasą
Czy możesz wkleić konfiguracje z serwera i klienta?
Offline
#3 2013-09-30 17:22:21
hornet - Maruda
- hornet
- Maruda
- Zarejestrowany: 2006-12-19
Re: [openvpn] problem z trasą
Serwer:
Kod:
;local a.b.c.d port 1194 ;proto tcp proto udp ;dev tap dev tun ;dev-node MyTap ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret dh /etc/openvpn/easy-rsa/keys/dh4096.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt ;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 ;server-bridge push "route 0.0.0.0 0.0.0.0" push "route 10.8.0.0 255.255.255.0" ;client-config-dir ccd ;route 192.168.40.128 255.255.255.248 ;client-config-dir ccd ;route 10.9.0.0 255.255.255.252 ;learn-address ./script push "redirect-gateway def1 bypass-dhcp" ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220" ;client-to-client ;duplicate-cn keepalive 10 120 ;tls-auth ta.key 0 # This file is secret ;cipher BF-CBC # Blowfish (default) cipher AES-256-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES comp-lzo ;max-clients 100 user nobody group nobody persist-key persist-tun status openvpn-status.log ;log openvpn.log ;log-append openvpn.log verb 3 ;mute 20
Client:
Kod:
client remote vpnserver 1194 dev tun0 proto udp resolv-retry infinite nobind persist-key persist-tun verb 2 ca ca.crt cert hornet.crt key hornet.key comp-lzo cipher AES-256-CBC
[b]Jestem artystą. Tworzę rzeźbę. Rzeźbę swojego życia - dosłownie i w przenośni.[/b]
Offline
#4 2013-10-02 10:12:31
ba10 - Członek DUG
Re: [openvpn] problem z trasą
Może zamiast tego :
[quote=hornet]
Kod:
$ipt -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0.0.0.0/0 -j SNAT --to x.x.x.x
[/quote]
spróbuj to :
Kod:
iptables -t nat -I POSTROUTING -o tun0 -j SNAT --src 10.8.0.0/24 --to x.x.x.x iptables -A FORWARD -s 10.8.0.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -A FORWARD -s 0.0.0.0/0 -d 10.8.0.0/24 -j ACCEPT
Edytka
A i na samym początku skryptu warto włączyć forwardowanie :
Kod:
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
Edytka 2
I zobacz sobie jakie masz trasy routingu, bo może pakiety docierają ale nie wiedzą jak wrócić :
Kod:
route -n
Ostatnio edytowany przez ba10 (2013-10-02 10:17:29)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#5 2013-10-02 23:48:58
hornet - Maruda
- hornet
- Maruda
- Zarejestrowany: 2006-12-19
Re: [openvpn] problem z trasą
Wygląda na to, że nie działa.
Kod:
# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 37.187.98.254 0.0.0.0 UG 4 0 0 eth0 10.0.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0 10.0.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 br0 10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.8.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 br0 37.187.98.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo 192.168.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 br0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
Taki lekki śmietnik mam.
[b]Jestem artystą. Tworzę rzeźbę. Rzeźbę swojego życia - dosłownie i w przenośni.[/b]
Offline
#6 2013-10-03 06:57:45
Graffi - Użytkownik
#7 2013-10-03 22:28:39
hornet - Maruda
- hornet
- Maruda
- Zarejestrowany: 2006-12-19
Re: [openvpn] problem z trasą
[quote=Graffi]kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję
Kod:
client-to-client
?
od tego może zacznij ;)[/quote]
Po tym przestało działać to co działało. Czyli możliwość dostania się do sieci z klienta...
[b]Jestem artystą. Tworzę rzeźbę. Rzeźbę swojego życia - dosłownie i w przenośni.[/b]
Offline
#8 2013-10-03 22:55:49
ba10 - Członek DUG
Re: [openvpn] problem z trasą
[quote=hornet][quote=Graffi]kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję
Kod:
client-to-client
?
od tego może zacznij ;)[/quote]
Po tym przestało działać to co działało. Czyli możliwość dostania się do sieci z klienta...[/quote]
Opcja client-to-client służy do tego by klienci się widzieli nawzajem. Klient widzi serwer domyślnie, a nie widzi innych klientów.
Ostatnio edytowany przez ba10 (2013-10-03 22:56:43)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#9 2013-10-04 08:35:15
Graffi - Użytkownik
Re: [openvpn] problem z trasą
wiem że to ma pozwolić na widzenie się klientów między sobą, jednak u mnie dopiero po tej opcji serwer widzi klientów (to całkiem logiczne mi się wydaje)
mam obecnie 2.3.2-4
Ostatnio edytowany przez Graffi (2013-10-04 08:37:02)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00010 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00096 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.231.197' WHERE u.id=1 |
| 0.00099 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.219.231.197', 1732226117) |
| 0.00049 | SELECT * FROM punbb_online WHERE logged<1732225817 |
| 0.00058 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24335 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00239 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24335 ORDER BY p.id LIMIT 0,25 |
| 0.00124 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24335 |
| Total query time: 0.00684 s | |