Openvpn — как подключаться? [Решено] (что делать после Initialization Sequence Completed? [Ничего не нужно])

[entada]

Добрый день!

В связи с удалёнкой мне понадобилось подключиться к внутренней сети своей альма-матер снаружи.
В инструкции для Linux написано следующее:
а) нужно установить пакет openvpn (версии >= 2.4) (он доступен в репозитории вашего дистрибутива) — установлен openvpn amd64 2.4.7-1+deb10;
б) после установки скачайте файл конфигурации miet.ovpn и используйте его для подключения — скачан.

В сети ещё нашлось такое: в Linux запускайте OpenVPN командой sudo openvpn /путь до файла конфигурации .ovpn — запущено,
запрошены логин-пароль, выдано много строк (и ни единого намёка на ошибку)
и в итоге Fri Nov 12 16:37:25 2021 Initialization Sequence Completed; openvpn не завершается.

А что дальше-то?!!
Такое впечатление, что я упускаю нечто очевидное...

Попытка просто открыть «внутренние» адреса в браузере ничего не даёт — «Доступ запрещен!», как всегда.

Upd от 19:59 — итог:
Как выяснилось, не все — часть (по закону Мёрфи, не самая нужная) внутренних ресурсов благополучно открывается сразу после выполнения указанных действий; проблема с неоткрываемыми — не в подключении, а в организации сети МИЭТ.

[Bizdelnick]

Возможно, маршруты не прописались, возможно, ещё что-то. Сложно сказать, не видя конфига, а показывать его, понятное дело, нельзя. Так что лучше Вам с этим к своим админам.

[entada]

Возможно, маршруты не прописались, возможно, ещё что-то. Сложно сказать, не видя конфига, а показывать его, понятное дело, нельзя. Так что лучше Вам с этим к своим админам.

Э-э... Верно ли я понимаю, что, раз посылают к админам — то по идее (при корректном конфиге и работающем сервере) выполненных действий должно было хватить, а внутренние ресурсы должны открываться в браузере без дополнительных плясок с бубном?

Значит, буду спрашивать у наших...

Вроде бы всё, что выполнялось в конфиге — выполнилось и прописалось успешно.

[Bizdelnick]

Верно ли я понимаю, что, раз посылают к админам — то по идее (при корректном конфиге и работающем сервере) выполненных действий должно было хватить, а внутренние ресурсы должны открываться в браузере без дополнительных плясок с бубном?

Да, по идее, если в конфиге всё прописано как надо, должно сразу заработать.

[Zer0]

entada, пара вопросов:
1. Появился ли виртуальный сетевой адаптер /dev/tun0 или /dev/tap0?
2. У Вас стационарный комп или лэптоп?

P. S. Вообще, если есть возможность - лучше на работу его отнести, чтоб админы всё настроили и протестили.
Если комп на работу тащить не вариант - виртуалку поднять, и пусть в неё настроят.

[entada]

Zer0!
1. Нет ни /dev/tun0, ни /dev/tap0.

Хотя и было сказано при запуске:
Fri Nov 12 18:50:07 2021 TUN/TAP device tun0 opened
Fri Nov 12 18:50:07 2021 TUN/TAP TX queue length set to 100

А вот в # /sbin/ip addr list добавился tun0:

Код: Выделить всё

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 1c:69:7a:0c:ee:e0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.11/24 brd 192.168.1.255 scope global dynamic eno1
       valid_lft 21565sec preferred_lft 21565sec
    inet6 fe80::1e69:7aff:fe0c:eee0/64 scope link 
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.253.231.130/19 brd 10.253.255.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::7e97:56a3:a6fa:b2f9/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

2. Стационарный, без встроенных устройств ввода-вывода, но маленький (intel NUC) — кажется, это называется неттопом.

Уточню насчёт настройки (проблема будет скорее не в «пронести», а в «уговорить админов возиться с чужим домашним компьютером»).

P. S.
В Решено: Не поднимается tun устройство при openvpn соединении упоминается ещё /dev/net/tun — вот оно есть.

[Zer0]

А что выдает traceroute до какого-нибудь ip предприятия? ping само собой тоже. Кстати ip присвоенный tun0 - похож на те, что у вас на работе?

[entada]

До главной страницы вот:

Код: Выделить всё

$ traceroute miet.ru
traceroute to miet.ru (82.179.190.60), 30 hops max, 60 byte packets
 1  10.253.224.1 (10.253.224.1)  175.864 ms  177.494 ms  179.403 ms
 2  rp.miet.ru (82.179.190.60)  181.098 ms  182.836 ms  184.708 ms

Вроде всё хорошо (IP очень похожи); для сравнения путь до яндекса:

Код: Выделить всё

$ traceroute ya.ru
traceroute to ya.ru (87.250.250.242), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.564 ms  0.545 ms  0.783 ms
 2  100.82.0.1 (100.82.0.1)  11.398 ms  12.773 ms  13.234 ms
 3  mpts-a197-51.msk.mts-internet.net (212.188.1.106)  17.129 ms  17.384 ms  18.590 ms
 4  a197-cr04-be12.51.msk.mts-internet.net (212.188.1.105)  18.568 ms  21.553 ms  21.811 ms
 5  212.188.33.199 (212.188.33.199)  23.522 ms  23.970 ms  26.465 ms
 6  * * sas-32z5-ae2-1.yndx.net (87.250.239.203)  25.766 ms
 7  ya.ru (87.250.250.242)  15.387 ms  16.136 ms 10.1.5.1 (10.1.5.1)  25.919 ms

Этот идёт как раз через мой домашний интернет.


Но главная-то страница и без VPN открывается...

А это до ВЦ:

Код: Выделить всё

$ traceroute vc.miet.ru
traceroute to vc.miet.ru (82.179.183.2), 30 hops max, 60 byte packets
 1  10.253.224.1 (10.253.224.1)  40.824 ms  41.627 ms  43.384 ms
 2  box-4.r.miet.ru (82.179.190.65)  45.314 ms  47.316 ms  55.416 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Страница вроде как тоже открывается. Но при попытке перейти к http://vc.miet.ru/methodic/ (это уже «только для своих») — доступ запрещён

P. S.
Кстати, а конфиг-то у нас лежит в открытом доступе, вот здесь: https://vpn.miet.ru/
Ссылка на сам файл: https://vpn.miet.ru/miet.ovpn

Добавлено (19:22):

Пинг до главной страницы есть:

Код: Выделить всё

$ ping  miet.ru
PING miet.ru (82.179.190.60) 56(84) bytes of data.
64 bytes from rp.miet.ru (82.179.190.60): icmp_seq=1 ttl=63 time=14.2 ms
64 bytes from rp.miet.ru (82.179.190.60): icmp_seq=2 ttl=63 time=15.2 ms
64 bytes from rp.miet.ru (82.179.190.60): icmp_seq=3 ttl=63 time=14.7 ms
64 bytes from rp.miet.ru (82.179.190.60): icmp_seq=4 ttl=63 time=14.7 ms
^C
--- miet.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 6ms
rtt min/avg/max/mdev = 14.249/14.707/15.216/0.374 ms

до ВЦ нет:

Код: Выделить всё

$ ping  vc.miet.ru
PING vc.miet.ru (82.179.183.2) 56(84) bytes of data.
^C
--- vc.miet.ru ping statistics ---
31 packets transmitted, 0 received, 100% packet loss, time 714ms

Добавлено (19:27):

Ой. А ещё есть внутренний ресурс users.miet.ru, который пингуется:

Код: Выделить всё

$ ping users.miet.ru
PING hubble-2017.sipc.miet.ru (82.179.184.75) 56(84) bytes of data.
64 bytes from 82.179.184.75 (82.179.184.75): icmp_seq=1 ttl=126 time=14.3 ms
64 bytes from 82.179.184.75 (82.179.184.75): icmp_seq=2 ttl=126 time=14.8 ms
64 bytes from 82.179.184.75 (82.179.184.75): icmp_seq=3 ttl=126 time=15.2 ms
^C
--- hubble-2017.sipc.miet.ru ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms

и в браузере открывается (а с планшета без VPN — не открывается).

А вот путь до него также теряется в звёздах

Код: Выделить всё

$ traceroute users.miet.ru
traceroute to users.miet.ru (82.179.184.75), 30 hops max, 60 byte packets
 1  10.253.224.1 (10.253.224.1)  14.180 ms  16.087 ms  16.742 ms
 2  box-4.r.miet.ru (82.179.190.65)  21.612 ms  21.589 ms  29.646 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

То есть, возможно, у нас даже не конфиг кривой, а ресурсы так настроены, что до самого нужного из VPN не добраться...

[Zer0]

Такое ощущение, что проблема не на Вашей на стороне. 10.253.224.1 доступен и находится в одной подсети с /dev/net/tun0 Вашего компа.
Вы писали, что при попытке открыть внутренний адрес в браузере, доступ запрещен - это сообщение в браузере или просто пустая белая страница?

[entada]

Это страница с сообщением в браузере (то есть не от браузера с кодом ошибки, а от сайта нашего ВЦ).

И, как только что выяснилось, к другому ресурсу — тоже внутреннему, но не нужному мне — доступ есть...

Так что, Zer0, скорее всего Вы правы...
Огромное спасибо, что помогли это понять!

[Zer0]

Просто Ваши админы зря в пятницу решили настраивать VPN...

[entada]

Админы-то свою часть настроили задолго до карантина.
Это мне не в добрый час вздумалось воспользоваться их трудами в пятницу...

[Zer0]

На всякий случай, вдруг сгодится Простая настройка OpenVPN .
Имеет смысл ещё у коллег поинтересоваться, как у них всё работает.

[entada]

Спасибо!

Имеет смысл ещё у коллег поинтересоваться, как у них всё работает.

Да по большей части никак (что должно было насторожить сразу, но осознание пришло только сейчас)...
По крайней мере, когда одному из коллег (куда более технически продвинутому, чем я) понадобились файлы с одного из серверов — он просил меня скопировать и ему отправить, когда я буду в альма-матер физически :-)