Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
Mam problem z konfiguracją openvpn.
Iptables wygląda tak:
$ipt -P INPUT DROP $ipt -P OUTPUT ACCEPT $ipt -P FORWARD ACCEPT $ipt -A INPUT -i tun0 -j ACCEPT $ipt -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0.0.0.0/0 -j SNAT --to x.x.x.x
OpenVPN:
push "redirect-gateway def1 bypass-dhcp" push "route 0.0.0.0 0.0.0.0" push "route 10.8.0.0 255.255.255.0"
Powiedzmy, że jest jak zamierzałem. Wychodzę na świat z IP serwera VPN.
Problem.
Systuacja wygląda tak:
SERWER: IP tun0 10.8.0.1
Podłącza się klient, który dostaje IP 10.8.0.6 (znajduje się za NAT).
Pytanie: Jak zrobić, bym mógł pingować klienta z serwera? Ping nie idzie. Z klienta do serwera już tak (10.8.0.1 odpowiada).
Pozdrawiam!
Offline
Czy możesz wkleić konfiguracje z serwera i klienta?
Offline
Serwer:
;local a.b.c.d port 1194 ;proto tcp proto udp ;dev tap dev tun ;dev-node MyTap ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret dh /etc/openvpn/easy-rsa/keys/dh4096.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt ;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 ;server-bridge push "route 0.0.0.0 0.0.0.0" push "route 10.8.0.0 255.255.255.0" ;client-config-dir ccd ;route 192.168.40.128 255.255.255.248 ;client-config-dir ccd ;route 10.9.0.0 255.255.255.252 ;learn-address ./script push "redirect-gateway def1 bypass-dhcp" ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220" ;client-to-client ;duplicate-cn keepalive 10 120 ;tls-auth ta.key 0 # This file is secret ;cipher BF-CBC # Blowfish (default) cipher AES-256-CBC # AES ;cipher DES-EDE3-CBC # Triple-DES comp-lzo ;max-clients 100 user nobody group nobody persist-key persist-tun status openvpn-status.log ;log openvpn.log ;log-append openvpn.log verb 3 ;mute 20
Client:
client remote vpnserver 1194 dev tun0 proto udp resolv-retry infinite nobind persist-key persist-tun verb 2 ca ca.crt cert hornet.crt key hornet.key comp-lzo cipher AES-256-CBC
Offline
Może zamiast tego :
[quote=hornet]
$ipt -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0.0.0.0/0 -j SNAT --to x.x.x.x
[/quote]
spróbuj to :
iptables -t nat -I POSTROUTING -o tun0 -j SNAT --src 10.8.0.0/24 --to x.x.x.x iptables -A FORWARD -s 10.8.0.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -A FORWARD -s 0.0.0.0/0 -d 10.8.0.0/24 -j ACCEPT
Edytka
A i na samym początku skryptu warto włączyć forwardowanie :
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
Edytka 2
I zobacz sobie jakie masz trasy routingu, bo może pakiety docierają ale nie wiedzą jak wrócić :
route -n
Ostatnio edytowany przez ba10 (2013-10-02 10:17:29)
Offline
Wygląda na to, że nie działa.
# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 37.187.98.254 0.0.0.0 UG 4 0 0 eth0 10.0.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0 10.0.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 br0 10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.8.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 br0 37.187.98.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo 192.168.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 br0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
Taki lekki śmietnik mam.
Offline
[quote=Graffi]kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję
client-to-client
?
od tego może zacznij ;)[/quote]
Po tym przestało działać to co działało. Czyli możliwość dostania się do sieci z klienta...
Offline
[quote=hornet][quote=Graffi]kombinujecie jak koń pod górę
m.in. dlaczego masz w konfiguracji serwera zakomentowaną opcję
client-to-client
?
od tego może zacznij ;)[/quote]
Po tym przestało działać to co działało. Czyli możliwość dostania się do sieci z klienta...[/quote]
Opcja client-to-client służy do tego by klienci się widzieli nawzajem. Klient widzi serwer domyślnie, a nie widzi innych klientów.
Ostatnio edytowany przez ba10 (2013-10-03 22:56:43)
Offline
wiem że to ma pozwolić na widzenie się klientów między sobą, jednak u mnie dopiero po tej opcji serwer widzi klientów (to całkiem logiczne mi się wydaje)
mam obecnie 2.3.2-4
Ostatnio edytowany przez Graffi (2013-10-04 08:37:02)
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00095 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.21.206' WHERE u.id=1 |
0.00077 | UPDATE punbb_online SET logged=1732461472 WHERE ident='3.144.21.206' |
0.00048 | SELECT * FROM punbb_online WHERE logged<1732461172 |
0.00059 | SELECT topic_id FROM punbb_posts WHERE id=242282 |
0.00161 | SELECT id FROM punbb_posts WHERE topic_id=24335 ORDER BY posted |
0.00077 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24335 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00079 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24335 ORDER BY p.id LIMIT 0,25 |
0.00087 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24335 |
Total query time: 0.00705 s |