OpenVPN всем разные настройки

winmasta

Добрый день, сейчас сервер настроен так - клиенты получают ip адреса из пула 10.0.8.0/24 видят друг-друга и, если надо, локалку за сервером.
Нужно подключить клиента который бы весь трафик генерил через туннель, причем дать ему специфический dns сервер (клиент Android, Ubuntu).
PS неужели нельзя давать всем клиентам статику из подсети /24 и чтобы сервер для всех был 10.0.8.1, а можно только распихать пары клиент сервер по подсетям /30 ?

werter

Нужно подключить клиента который бы весь трафик генерил через туннель, причем дать ему специфический dns сервер (клиент Android, Ubuntu)

Это указывается в настройках OpenVPN сервера - галка на "Redirect gateway"

PS неужели нельзя давать всем клиентам статику из подсети /24 и чтобы сервер для всех был 10.0.8.1, а можно только распихать пары клиент сервер по подсетям /30 ?

Как насчет поискать-почитать? https://community.openvpn.net/openvpn/wiki/Topology, https://forum.pfsense.org/index.php?topic=59081.0

Shraik

@werter:

Нужно подключить клиента который бы весь трафик генерил через туннель, причем дать ему специфический dns сервер (клиент Android, Ubuntu)

Это указывается в настройках OpenVPN сервера - галка на "Redirect gateway"

а специфические параметры прописываются в
OpenVPN: Client Specific Override
клиент ловится по "Common name"

winmasta

1. topology subnet 10.0.8.0/24
2. создал настройку клиенту в Client Specific Override
3. поставил там галку Redirect Gateway
4. при подключении клиента (телефон андроид, настройки получил через файл, который я экспортировал из pfsense) интернет пропадает, в логах по этому ИП ничего нет
5. снял галку - интернет работает и при подключенном ВПН но через 3g
6. не пойму что и куда нужно прописать в настройки клиента чтобы он при подключении он брал статику (например 10.0.8.5)

могу скриншоты приложить если нужно

werter

http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/

winmasta

@werter:

http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/

ubuntu 12.04, сделал по инструкции, не получилось, вот лог

Mon May  5 21:41:23 2014 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 13 2014
Mon May  5 21:41:23 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon May  5 21:41:23 2014 WARNING: file '/etc/openvpn/keys/client.key' is group or others accessible
Mon May  5 21:41:23 2014 WARNING: file '/etc/openvpn/keys/ta.key' is group or others accessible
Mon May  5 21:41:23 2014 Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Mon May  5 21:41:23 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon May  5 21:41:23 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon May  5 21:41:23 2014 LZO compression initialized
Mon May  5 21:41:23 2014 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon May  5 21:41:23 2014 Socket Buffers: R=[229376->131072] S=[229376->131072]
Mon May  5 21:41:23 2014 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon May  5 21:41:23 2014 Local Options hash (VER=V4): '504e774e'
Mon May  5 21:41:23 2014 Expected Remote Options hash (VER=V4): '14168603'
Mon May  5 21:41:23 2014 UDPv4 link local (bound): [undef]
Mon May  5 21:41:23 2014 UDPv4 link remote: [AF_INET]109.194.33.177:54237
Mon May  5 21:41:23 2014 TLS: Initial packet from [AF_INET]109.194.33.177:54237, sid=6920a063 c0973aa1
Mon May  5 21:41:23 2014 VERIFY OK: depth=1, /C=RU/ST=TO/L=Tomsk/O=Kireva/OU=server/CN=server/name=server/emailAddress=winmasta@yandex.ru
Mon May  5 21:41:23 2014 VERIFY OK: nsCertType=SERVER
Mon May  5 21:41:23 2014 VERIFY OK: depth=0, /C=RU/ST=TO/L=Tomsk/O=Kireva/emailAddress=server/CN=server
Mon May  5 21:41:23 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon May  5 21:41:23 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon May  5 21:41:23 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon May  5 21:41:23 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon May  5 21:41:23 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon May  5 21:41:23 2014 [server] Peer Connection Initiated with [AF_INET]109.194.33.177:54237
Mon May  5 21:41:25 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon May  5 21:41:25 2014 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.0.8.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.0.8.10 10.0.8.1'
Mon May  5 21:41:25 2014 OPTIONS IMPORT: timers and/or timeouts modified
Mon May  5 21:41:25 2014 OPTIONS IMPORT: --ifconfig/up options modified
Mon May  5 21:41:25 2014 OPTIONS IMPORT: route-related options modified
Mon May  5 21:41:25 2014 TUN/TAP device tun0 opened
Mon May  5 21:41:25 2014 TUN/TAP TX queue length set to 100
Mon May  5 21:41:25 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon May  5 21:41:25 2014 /sbin/ifconfig tun0 10.0.8.10 netmask 10.0.8.1 mtu 1500 broadcast 255.255.255.254
SIOCSIFNETMASK: Invalid argument
Mon May  5 21:41:25 2014 Linux ifconfig failed: external program exited with error status: 1
Mon May  5 21:41:25 2014 Exiting

клиенты windows подключаются, на сервере их видно как клиентов с нужными ип адресами, но ipconfig адрес не показывает, пинги то идут, то нет, одним словом - не работает, сделал чётко по инструкции данной Вами

werter

ubuntu 12.04, сделал по инструкции, не получилось, вот лог

В кач-ве клиента ?

/sbin/ifconfig tun0 10.0.8.10 netmask 10.0.8.1 mtu 1500 broadcast 255.255.255.254
SIOCSIFNETMASK: Invalid argument

Учитесь пользоваться гуглом при возникновении ошибок. Почему у Вас netmask 10.0.8.1 ???

winmasta

@werter:

ubuntu 12.04, сделал по инструкции, не получилось, вот лог

В кач-ве клиента ?

/sbin/ifconfig tun0 10.0.8.10 netmask 10.0.8.1 mtu 1500 broadcast 255.255.255.254
SIOCSIFNETMASK: Invalid argument

Учитесь пользоваться гуглом при возникновении ошибок. Почему у Вас netmask 10.0.8.1 ???

разобрался, в даденой инструкции ощибка, там написано - "ifconfig-push IP-адрес_клиента IP-адрес_сервера", а должно быть "ifconfig-push IP-адрес клиента netmask"

winmasta

остался следующи вопрос, ставлю в нстройках клиента Redirect Gateway, подключаюсь и пингуется только сеть 10.0.8.0, интернет не работает

werter

Ну так , а становится ли для клиента шлюзом по-дефолту поднятый им OpenVPN ? Смотрите таблицу маршрутизации на клиенте.
Плюс, не увидел правил fw на OpenVPN.

werter

@winmasta:

разобрался, в даденой инструкции ощибка, там написано - "ifconfig-push IP-адрес_клиента IP-адрес_сервера", а должно быть "ifconfig-push IP-адрес клиента netmask"

Нет там ошибки, т.к. по ссылке - инструкция для Win-клиентов. У вас же - Linux :

for Windows Clients:
#ifconfig-push clientIP serverIP
ifconfig-push 172.31.111.150 172.31.111.145
for Linux Clients:
#ifconfig-push clientIP Netmask
ifconfig-push 172.31.111.150 255.255.255.252

winmasta

@werter:

@winmasta:

разобрался, в даденой инструкции ощибка, там написано - "ifconfig-push IP-адрес_клиента IP-адрес_сервера", а должно быть "ifconfig-push IP-адрес клиента netmask"

Нет там ошибки, т.к. по ссылке - инструкция для Win-клиентов. У вас же - Linux :

for Windows Clients:
#ifconfig-push clientIP serverIP
ifconfig-push 172.31.111.150 172.31.111.145
for Linux Clients:
#ifconfig-push clientIP Netmask
ifconfig-push 172.31.111.150 255.255.255.252

Вы знаете, у меня win клиенты (windows 2008 server r2) по этой инструкции не заработали (см. пост выше) теперь же все работает как надо

Можно, кстати, тему про статику прилепить, т.к. очень много вопросов на эту тему и предлагается только вариатн с /30 подсетью

winmasta

ip r без галочки "force all client generated traffic through the tunnel"

default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

ip r с галочкой "force all client generated traffic through the tunnel"

* 0.0.0.0/1 via 10.0.8.1 dev tun0
default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
* 109.194.33.177 via 192.168.5.1 dev eth1 
* 128.0.0.0/1 via 10.0.8.1 dev tun0
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

звездочками отмечены изменения, и при этом доступна только сеть впн и больше ничего

werter

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

winmasta

@werter:

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

правила fw на OpenVPN (не знаю как получить их в тексте)

по поводу НАТ немного не понял что имеется ввиду под "трогал", порты пробрасывал, а более никак

логирование там же всегда включено - Status-System Logs, при подключении клиент не видит ни какую сеть кроме 10.0.8.0/24, если пытаешься пинговать в другую, то он не видит туда маршрут и, соответственно не выходит никуда, в логах по клиентскому ip пусто, мне кажется как-то не правильно выдаются маршруты, я так понимаю должен просто поменяться дефолтный и добавиться 10.0.8.0/24

werter

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!


werter

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

не помогло

winmasta

@werter:

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

добавил не помогло, три последних правила - первое снизу добавилось при установке, без двух других не работает интернет и пинг роутера
мне настойчиво кажется что дело именно в маршрутах