OpenVPN всем разные настройки

winmasta

@werter:

ubuntu 12.04, сделал по инструкции, не получилось, вот лог

В кач-ве клиента ?

/sbin/ifconfig tun0 10.0.8.10 netmask 10.0.8.1 mtu 1500 broadcast 255.255.255.254
SIOCSIFNETMASK: Invalid argument

Учитесь пользоваться гуглом при возникновении ошибок. Почему у Вас netmask 10.0.8.1 ???

разобрался, в даденой инструкции ощибка, там написано - "ifconfig-push IP-адрес_клиента IP-адрес_сервера", а должно быть "ifconfig-push IP-адрес клиента netmask"

winmasta

остался следующи вопрос, ставлю в нстройках клиента Redirect Gateway, подключаюсь и пингуется только сеть 10.0.8.0, интернет не работает

werter

Ну так , а становится ли для клиента шлюзом по-дефолту поднятый им OpenVPN ? Смотрите таблицу маршрутизации на клиенте.
Плюс, не увидел правил fw на OpenVPN.

werter

@winmasta:

разобрался, в даденой инструкции ощибка, там написано - "ifconfig-push IP-адрес_клиента IP-адрес_сервера", а должно быть "ifconfig-push IP-адрес клиента netmask"

Нет там ошибки, т.к. по ссылке - инструкция для Win-клиентов. У вас же - Linux :

for Windows Clients:
#ifconfig-push clientIP serverIP
ifconfig-push 172.31.111.150 172.31.111.145
for Linux Clients:
#ifconfig-push clientIP Netmask
ifconfig-push 172.31.111.150 255.255.255.252

winmasta

@werter:

@winmasta:

разобрался, в даденой инструкции ощибка, там написано - "ifconfig-push IP-адрес_клиента IP-адрес_сервера", а должно быть "ifconfig-push IP-адрес клиента netmask"

Нет там ошибки, т.к. по ссылке - инструкция для Win-клиентов. У вас же - Linux :

for Windows Clients:
#ifconfig-push clientIP serverIP
ifconfig-push 172.31.111.150 172.31.111.145
for Linux Clients:
#ifconfig-push clientIP Netmask
ifconfig-push 172.31.111.150 255.255.255.252

Вы знаете, у меня win клиенты (windows 2008 server r2) по этой инструкции не заработали (см. пост выше) теперь же все работает как надо

Можно, кстати, тему про статику прилепить, т.к. очень много вопросов на эту тему и предлагается только вариатн с /30 подсетью

winmasta

ip r без галочки "force all client generated traffic through the tunnel"

default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

ip r с галочкой "force all client generated traffic through the tunnel"

* 0.0.0.0/1 via 10.0.8.1 dev tun0
default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
* 109.194.33.177 via 192.168.5.1 dev eth1 
* 128.0.0.0/1 via 10.0.8.1 dev tun0
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

звездочками отмечены изменения, и при этом доступна только сеть впн и больше ничего

werter

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

winmasta

@werter:

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

правила fw на OpenVPN (не знаю как получить их в тексте)

по поводу НАТ немного не понял что имеется ввиду под "трогал", порты пробрасывал, а более никак

логирование там же всегда включено - Status-System Logs, при подключении клиент не видит ни какую сеть кроме 10.0.8.0/24, если пытаешься пинговать в другую, то он не видит туда маршрут и, соответственно не выходит никуда, в логах по клиентскому ip пусто, мне кажется как-то не правильно выдаются маршруты, я так понимаю должен просто поменяться дефолтный и добавиться 10.0.8.0/24

werter

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!


werter

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

не помогло

winmasta

@werter:

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

добавил не помогло, три последних правила - первое снизу добавилось при установке, без двух других не работает интернет и пинг роутера
мне настойчиво кажется что дело именно в маршрутах

winmasta

вот какие маршруты сейчас на роутере


werter

добавил не помогло

Покажите как добавили.

winmasta

@werter:

добавил не помогло

Покажите как добавили.


werter

Откуда у вас NAT на OpenVPN ?! Далее, последнее правило - вы разрешили только TCP куда угодно - для чего и почему ?

И последнее :

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.

Снова чтение между строк …

winmasta

@werter:

Откуда у вас NAT на OpenVPN ?!

чесно говоря, не понял о чем речь


winmasta

/25 конечно исправил на /24 но все равно не работает нифига

werter

Почему только TCP ? У нас ping стал по TCP работать ?