OpenVPN - не видно сетей за сервером и за клиентом, l

rromms

В общем разобрался я…

Идеология iptables ввела в заблуждение.

Чего сделал:
1. Сброс до дефолтных настроек.
2. Обновился до последней версии.
3. Настройка сервера и клиента по новой.
4. NAT исходящий - выставил автоматические правила. (знаю, что не совсем правильно, буду экспериментировать)
5. Интерфейс OpenVPN - разрешено все. (тоже самое).
6. LAN - разрешил трафик из вирт. сети OpenVPN и сетей за сервером и клиентом (соответственно).
7. TLS аутентификацию отключил.

Все заработало.

rromms

Оказалось еще проще - надо разрешить трафик с/на OpenVPN/
Осталось только изучить ман по PF…

NegoroX

Наш человек! Осталось только изучить ман по PF… мы тоже сначала тыкаем потом мануал читаем ;D

rromms

Ну так как же не потыкать… :)

schmel

хотелось бы очень посмотреть на правила, а то такая же проблема

MOCMEK

@schmel:

хотелось бы очень посмотреть на правила, а то такая же проблема

да и мне бы тоже хотелось!

как-то сильно неочевидно реализовано все

канал поднимается ок, но пакеты даже внутри канала не ходят

Shraik

Это как раз правильно сделано.
поднятие канала рассматривайте как втыкание провода в сетевуху.
"провод воткнули", а что у вас там дальше накручено это совершенно другая песня.

1qoot1

Столкнулся с такой же проблемой.
делал все по мануалу.
не выходит =(
проблема в маршрутизации… ступор, вроде везде разрешил подсети(nat, rule,openvpn)
192.168.105.0/24 офис (ovpns4=10.5.0.1)
10.5.0.0/24 туннель
192.168.0.0 филиал (ovpns4=10.5.0.2)

роут с офиса
10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4
10.5.0.1 127.0.0.1 UH 0 0 16384 lo0
10.5.0.2 link#12 UH 0 3 1500 ovpns4

роут с филиала
10.5.0.0/24 10.5.0.1 UGS 0 0 1500 ovpnc5
10.5.0.1 link#9 UH 0 0 1500 ovpnc5
10.5.0.2 link#9 UHS 0 0 16384 lo0

туннель поднялся, все нормально, но в туннеле не пингуются.

dvserg

В роутах не видно маршрутов на 192.168.** сетки.

1qoot1

@dvserg:

В роутах не видно маршрутов на 192.168.** сетки.

Гмм.

Офис
$ netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default х.х.х.х UGS 0 132489229 rl0
10.5.0.0/24 10.5.0.2 UGS 0 0 ovpns4
10.5.0.1 127.0.0.1 UH 0 0 lo0
10.5.0.2 link#12 UH 0 0 ovpns4
10.7.13.0/24 10.7.13.2 UGS 0 24 ovpns1
10.7.13.1 link#8 UHS 0 0 lo0
10.7.13.2 link#8 UH 0 0 ovpns1
х.х.х.х/24 link#2 U 0 2092509 rl0
х.х.х.х link#2 UHS 0 0 lo0
127.0.0.1 link#4 UH 0 571780 lo0
192.168.0.0/24 10.7.13.2 UGS 0 0 ovpns1
192.168.105.0/24 link#1 U 0 109264405 re0
192.168.105.1 link#1 UHS 0 0 lo0

филиал

Internet:
Destination Gateway Flags Refs Use Netif Expire
default х.х.х.х UGS 0 3907023 re0
8.8.8.8 х.х.х.х UGHS 0 5493 re0
10.5.0.0/24 10.5.0.1 UGS 0 0 ovpnc5
10.5.0.1 link#9 UH 0 51 ovpnc5
10.5.0.2 127.0.0.1 UH 0 0 lo0
10.8.0.0/24 10.8.0.2 UGS 0 17149 ovpns1
10.8.0.1 127.0.0.1 UH 0 0 lo0
10.8.0.2 link#8 UH 0 0 ovpns1
х.х.х.х /24 link#2 U 0 10886 re0
х.х.х.х link#2 UHS 0 0 lo0
х.х.х.х х.х.х.х UGHS 0 20099 re0
х.х.х.х х.х.х.х UGHS 0 2244 re0
127.0.0.1 link#4 UH 0 1832 lo0
192.168.0.0/24 link#1 U 0 3903480 alc0
192.168.0.246 link#1 UHS 0 3 lo0
192.168.105.0/24 10.5.0.1 UGS 0 18 ovpnc5

на серверe в advanced
route 192.168.0.0 255.255.255.0;
push "route 192.168.105.0 255.255.255.0";

В Client Specific Override
iroute 192.168.105.0 255.255.255.0;

1qoot1

@dvserg:

В роутах не видно маршрутов на 192.168.** сетки.

Или же вам предоставить полную последовательность того что делал?
т.е. картинки + код

1qoot1

@1qoot1:

@dvserg:

В роутах не видно маршрутов на 192.168.** сетки.

Или же вам предоставить полную последовательность того что делал?
т.е. картинки + код

Народ прошу помощи уже голову сломал
тунель есть, внутри туннеля не пингуются =( правила пооткрывал для тунеля.

конфиг сервера

dev ovpns4
dev-type tun
dev-node /dev/tun4
writepid /var/run/openvpn_server4.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local x.x.x.x
tls-server
server 10.5.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server4.tls-verify.php
lport 950
management /var/etc/openvpn/server4.sock unix
max-clients 15
push "route 192.168.105.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server4.ca
cert /var/etc/openvpn/server4.cert
key /var/etc/openvpn/server4.key
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server4.tls-auth 0
comp-lzo
persist-remote-ip
float
route 192.168.0.0 255.255.255.0

#route 192.168.105.0 255.255.255.0

#route 10.5.0.0 255.255.255.0

push "route 192.168.0.0 255.255.255.0"

push "route 192.168.105.0 255.255.255.0"

push "route 10.5.0.0 255.255.255.0"

verb 3

ccd c сервера

push-reset
ifconfig-push 10.5.0.2 10.5.0.1
iroute 192.168.0.0 255.255.255.0
route 10.5.0.0 255.255.255.0

конфиг клиента

$ cat /var/etc/openvpn/client5.conf
dev ovpnc5
dev-type tun
dev-node /dev/tun5
writepid /var/run/openvpn_client5.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-client
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local y.y.y.y
tls-client
client
lport 0
management /var/etc/openvpn/client5.sock unix
remote x.x.x.x yyyy
ifconfig 10.5.0.2 10.5.0.1
route 192.168.105.0 255.255.255.0
ca /var/etc/openvpn/client5.ca 
cert /var/etc/openvpn/client5.cert 
key /var/etc/openvpn/client5.key 
tls-auth /var/etc/openvpn/client5.tls-auth 1
comp-lzo
remote-cert-tls server

push "route 192.168.0.0 255.255.255.0"

#route 192.168.105.0 255.255.255.0

verb 5

логи ovpn сервера

Feb 17 11:48:21	openvpn[35604]: riga/y.y.y.y:12980 SENT CONTROL [riga]: 'PUSH_REPLY,ifconfig 10.5.0.2 10.5.0.1' (status=1)
Feb 17 11:48:21	openvpn[35604]: riga/y.y.y.y:12980 send_push_reply(): safe_cap=960
Feb 17 11:48:21	openvpn[35604]: riga/y.y.y.y:12980 PUSH: Received control message: 'PUSH_REQUEST'
Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: Learn: 192.168.0.0/24 -> riga/y.y.y.y:12980
Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: internal route 192.168.0.0/24 -> riga/y.y.y.y:12980
Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: primary virtual IP for riga/y.y.y.y:12980: 10.5.0.2
Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: Learn: 10.5.0.2 -> riga/y.y.y.y:12980
Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 Options error: option 'route' cannot be used in this context
Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 OPTIONS IMPORT: reading client specific options from: /var/etc/openvpn-csc/riga
Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 [riga] Peer Connection Initiated with [AF_INET]y.y.y.y:12980
Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 17 11:48:18	openvpn[35604]: y.y.y.y:12980 TLS: Initial packet from [AF_INET]y.y.y.y:12980, sid=c8f547c0 79893fe5
Feb 17 11:48:17	openvpn[35604]: TCPv4_SERVER link remote: [AF_INET]y.y.y.y:12980
Feb 17 11:48:17	openvpn[35604]: TCPv4_SERVER link local: [undef]
Feb 17 11:48:17	openvpn[35604]: TCP connection established with [AF_INET]y.y.y.y:12980
Feb 17 11:48:17	openvpn[35604]: Expected Remote Options hash (VER=V4): 'ee93268d'
Feb 17 11:48:17	openvpn[35604]: Local Options hash (VER=V4): 'bd577cd1'
Feb 17 11:48:17	openvpn[35604]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Feb 17 11:48:17	openvpn[35604]: Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Feb 17 11:48:17	openvpn[35604]: LZO compression initialized
Feb 17 11:48:17	openvpn[35604]: Re-using SSL/TLS context
Feb 17 11:48:17	openvpn[35604]: MULTI: multi_create_instance called
Feb 17 11:48:13	openvpn[35604]: Initialization Sequence Completed
Feb 17 11:48:13	openvpn[35604]: MULTI: TCP INIT maxclients=15 maxevents=19
Feb 17 11:48:13	openvpn[35604]: IFCONFIG POOL: base=10.5.0.4 size=62, ipv6=0
Feb 17 11:48:13	openvpn[35604]: MULTI: multi_init called, r=256 v=256
Feb 17 11:48:13	openvpn[35604]: TCPv4_SERVER link remote: [undef]
Feb 17 11:48:13	openvpn[35604]: TCPv4_SERVER link local (bound): [AF_INET]x.x.x.x
Feb 17 11:48:13	openvpn[35604]: Listening for incoming TCP connection on [AF_INET]x.x.x.x:yyy
Feb 17 11:48:13	openvpn[34204]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Feb 17 11:48:13	openvpn[34204]: /sbin/route add -net 10.5.0.0 10.5.0.2 255.255.255.0
Feb 17 11:48:13	openvpn[34204]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
Feb 17 11:48:13	openvpn[34204]: /sbin/route add -net 192.168.0.0 10.5.0.2 255.255.255.0
Feb 17 11:48:13	openvpn[34204]: /usr/local/sbin/ovpn-linkup ovpns4 1500 1544 10.5.0.1 10.5.0.2 init
Feb 17 11:48:13	openvpn[34204]: /sbin/ifconfig ovpns4 10.5.0.1 10.5.0.2 mtu 1500 netmask 255.255.255.255 up
Feb 17 11:48:13	openvpn[34204]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 17 11:48:13	openvpn[34204]: TUN/TAP device /dev/tun4 opened
Feb 17 11:48:13	openvpn[34204]: ROUTE default_gateway=x.x.x.x
Feb 17 11:48:13	openvpn[34204]: Socket Buffers: R=[65228->65536] S=[65228->65536]
Feb 17 11:48:13	openvpn[34204]: TLS-Auth MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Feb 17 11:48:13	openvpn[34204]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 17 11:48:13	openvpn[34204]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 17 11:48:13	openvpn[34204]: Control Channel Authentication: using '/var/etc/openvpn/server4.tls-auth' as a OpenVPN static key file
Feb 17 11:48:13	openvpn[34204]: Diffie-Hellman initialized with 2048 bit key
Feb 17 11:48:13	openvpn[34204]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 17 11:48:13	openvpn[34204]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server4.sock
Feb 17 11:48:13	openvpn[34204]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011

логи клиента

Feb 17 11:48:21	openvpn[37845]: Initialization Sequence Completed
Feb 17 11:48:21	openvpn[37845]: Preserving previous TUN/TAP instance: ovpnc5
Feb 17 11:48:21	openvpn[37845]: OPTIONS IMPORT: --ifconfig/up options modified
Feb 17 11:48:21	openvpn[37845]: PUSH: Received control message: 'PUSH_REPLY,ifconfig 10.5.0.2 10.5.0.1'
Feb 17 11:48:21	openvpn[37845]: SENT CONTROL [Site-to-site]: 'PUSH_REQUEST' (status=1)
Feb 17 11:48:19	openvpn[37845]: [Site-to-site] Peer Connection Initiated with [AF_INET]x.x.x.x:yyyy
Feb 17 11:48:19	openvpn[37845]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Feb 17 11:48:19	openvpn[37845]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 17 11:48:19	openvpn[37845]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 17 11:48:19	openvpn[37845]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 17 11:48:19	openvpn[37845]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

routes сервер

default	x.x.x.x	UGS	0	147005207	1500	rl0	 
10.5.0.0/24	10.5.0.2	UGS	0	0	1500	ovpns4	 
10.5.0.1	link#12	UHS	0	0	16384	lo0	 
10.5.0.2	link#12	UH	0	0	1500	ovpns4	 
10.7.13.0/24	10.7.13.2	UGS	0	91987	1500	ovpns1	 
10.7.13.1	127.0.0.1	UH	0	0	16384	lo0	 
10.7.13.2	link#8	UH	0	0	1500	ovpns1	 
x.x.x.x/24	link#2	U	0	2338550	1500	rl0	 
x.x.x.x	link#2	UHS	0	0	16384	lo0	 
127.0.0.1	link#4	UH	0	638068	16384	lo0	 
192.168.0.0/24	10.7.13.2	UGS	0	340	1500	ovpns1	 
192.168.105.0/24	link#1	U	0	122087149	1500	re0	 
192.168.105.1	link#1	UHS	0	0	16384	lo0

routes клиент

10.5.0.1	link#9	UH	0	6	1500	ovpnc5	 
10.5.0.2	link#9	UHS	0	0	16384	lo0	 
10.8.0.0/24	10.8.0.2	UGS	0	36376	1500	ovpns1	 
10.8.0.1	127.0.0.1	UH	0	0	16384	lo0	 
10.8.0.2	link#8	UH	0	0	1500	ovpns1	 

127.0.0.1	link#4	UH	0	9292	16384	lo0	 
192.168.0.0/24	link#1	U	0	22111649	1500	alc0	 
192.168.0.246	link#1	UHS	0	3	16384	lo0	 
192.168.105.0/24	10.5.0.1	UGS	0	81	1500	ovpnc5

проблемы 2
1. внутри туннеля не пингуются
2. из 1. вытекает локалки не пингуются =(

правила ната есть на обоих сторонах, в firewall rules разрешены подсети.

pass Feb 17 12:25:31 ovpns4 192.168.0.100:4167 192.168.105.2:500 TCP:S

1qoot1

@1qoot1:

@1qoot1:

@dvserg:

В роутах не видно маршрутов на 192.168.** сетки.

Или же вам предоставить полную последовательность того что делал?
т.е. картинки + код

Народ прошу помощи уже голову сломал
тунель есть, внутри туннеля не пингуются =( правила пооткрывал для тунеля.

Решено, кого интересует, могу дать пояснение по глупым вопросам =)

dvserg

Решение можно выложить здесь. А то так и будут одни вопросы без ответов.

1qoot1

@dvserg:

Решение можно выложить здесь. А то так и будут одни вопросы без ответов.

default x.x.x.x UGS 0 147005207 1500 rl0
10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4
10.5.0.1 link#12 UHS 0 0 16384 lo0
10.5.0.2 link#12 UH 0 0 1500 ovpns4
10.7.13.0/24 10.7.13.2 UGS 0 91987 1500 ovpns1
10.7.13.1 127.0.0.1 UH 0 0 16384 lo0
10.7.13.2 link#8 UH 0 0 1500 ovpns1
x.x.x.x/24 link#2 U 0 2338550 1500 rl0
x.x.x.x link#2 UHS 0 0 16384 lo0
127.0.0.1 link#4 UH 0 638068 16384 lo0
192.168.0.0/24 10.7.13.2 UGS 0 340 1500 ovpns1 –-- проблема была в этом настраивал с включенным ovpn со своей машины(мой комп на сервер клиента)
192.168.105.0/24 link#1 U 0 122087149 1500 re0
192.168.105.1 link#1 UHS 0 0 16384 lo0

решилось route delete 192.168.0.0/24
и перезапуском сервера vpn

суть проблем была в том что линк поднялся, но ни чего не пинговалось даже внутри туннеля...