Не видно сетей за клиентами OpenVPN (сеть за OVPN-сервером клиенты видят)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

vkapas
Сообщения: 190
ОС: Ubuntu 14.04, 16.04

Не видно сетей за клиентами OpenVPN

Сообщение vkapas »

Собственно, проблема: не могу достучаться в сеть за клиентом OpenVPN-сервера. В обратную сторону (с клиента в сеть сервера) всё работает.
Сеть сервера ­­— 192.168.1.0/24, клиента — 192.168.0.0/24, OpenVPN — 10.8.0.0/24.
Да, ещё пинг клиента с сервера идёт только по IP 10.8.0.x, а с клиента сервер и сеть за ним можно пинговать хоть по 10.8.0.x, хоть по 192.168.1.x

сервер

/etc/openvpn/server.conf:

Код: Выделить всё

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
push "dhcp-option WINS 192.168.1.34"
push "dhcp-option NBT 4"
client-to-client
keepalive 10 120
comp-lzo
max-clients 20
persist-key
persist-tun

ifconfig:

Код: Выделить всё

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:203 errors:0 dropped:0 overruns:0 frame:0
          TX packets:284 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:22343 (22.3 KB)  TX bytes:214703 (214.7 KB)

route:

Код: Выделить всё

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         server          0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 p17p1


Клиент

/etc/openvpn/ccd/client:

Код: Выделить всё

ifconfig-push 10.8.0.9 10.8.0.10
iroute 192.168.0.0 255.255.255.0

ipconfig /all:

Код: Выделить всё

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-5F-xx-yy-zz
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.8.0.9(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 11 марта 2017 г. 2:17:50
   Срок аренды истекает. . . . . . . . . . : 11 марта 2018 г. 2:17:49
   Основной шлюз. . . . . . . . . : 10.8.0.1
   DHCP-сервер. . . . . . . . . . . : 10.8.0.10
   Основной WINS-сервер. . . . . . . : 192.168.1.34
   NetBios через TCP/IP. . . . . . . . : Включен

route:

Код: Выделить всё

===========================================================================
Список интерфейсов
 14...00 ff 5f xx yy zz ......TAP-Windows Adapter V9
 12...14 cc 20 xx yy zz ......TP-LINK Wireless USB Adapter
 11...48 5b 39 xx yy zz ......Сетевая карта Realtek RTL8102E/RTL8103E Family P
-E Fast Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     25
         10.8.0.0    255.255.255.0        10.8.0.10         10.8.0.9     21
         10.8.0.8  255.255.255.252         On-link          10.8.0.9    276
         10.8.0.9  255.255.255.255         On-link          10.8.0.9    276
        10.8.0.11  255.255.255.255         On-link          10.8.0.9    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.104    281
    192.168.0.104  255.255.255.255         On-link     192.168.0.104    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.104    281
      192.168.1.0    255.255.255.0        10.8.0.10         10.8.0.9     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.9    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.104    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.9    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.104    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 15     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 15     58 2001::/32                On-link
 15    306 2001:0:5ef5:79fb:2402:3a34:3f57:ff97/128
                                    On-link
 12    281 fe80::/64                On-link
 15    306 fe80::/64                On-link
 15    306 fe80::2402:3a34:3f57:ff97/128
                                    On-link
 12    281 fe80::2dca:6d8c:ea53:eb67/128
                                    On-link
  1    306 ff00::/8                 On-link
 15    306 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует



Сервер (192.168.1.34) выходит в интернет через роутер (192.168.1.1), где прописан маршрут
Изображение

Собственно, у меня уже была проблема с пингом в OVPN-сеть, её как раз решил маршрутом выше. Но добавить правильный маршрут для пинга в обратную сторону не получилось, прошу помощи.
Спасибо сказали:

Дмитрий Н.
Сообщения: 174
ОС: openSUSE Leap 15.0

Re: Не видно сетей за клиентами OpenVPN

Сообщение Дмитрий Н. »

Включен ли на клиенте TCP/IP Forwarding?
Спасибо сказали:

vkapas
Сообщения: 190
ОС: Ubuntu 14.04, 16.04

Re: Не видно сетей за клиентами OpenVPN

Сообщение vkapas »

Спасибо, включение IP Forwarding частично решило проблему. Точнее, пока не решило, но направление похоже правильное.

Lons story short, IP Forwarding позволил пинговать клиентов (их несколько, пока из двух разных подсетей) по их локальному IP. Но их внутренние ресурсы по-прежнему недоступны.

Если это важно, в описанной выше сети (192.168.0.0/24) клиенты выходят в интернет через Zyxel Keenetic 4G II, подключенный в сеть через роутер MegaFon MR150-5.
В другой сети клиенты подключаются к Zyxel Keenetic 4G III, который выходит в сеть через Мегафон-модем.
Спасибо сказали:

Дмитрий Н.
Сообщения: 174
ОС: openSUSE Leap 15.0

Re: Не видно сетей за клиентами OpenVPN

Сообщение Дмитрий Н. »

Проверь есть ли доступ к ресурсам по ip адресу (\\192.168.0.x\). И ещё часто встречаю рекомендацию включить на сервере параметр:

Код: Выделить всё

topology subnet
Спасибо сказали:

vkapas
Сообщения: 190
ОС: Ubuntu 14.04, 16.04

Re: Не видно сетей за клиентами OpenVPN

Сообщение vkapas »

Дмитрий Н. писал(а):
13.03.2017 11:04
Проверь есть ли доступ к ресурсам по ip адресу (\\192.168.0.x\)

Могу пинговать только непосредственно подключившегося клиента по его внутреннему (192.168.0.y) IP. До любых ресурсов за ним пинг не доходит.

topology subnet, к сожалению, проблему не решил. Больше того, win-клиенты с ним перестали видеть сервер, а сервер — их. (На lin-клиенте при topology subnet просто ничего не изменилось.)
Спасибо сказали:

Аватара пользователя
s.xbatob
Сообщения: 1119
ОС: Fedora

Re: Не видно сетей за клиентами OpenVPN

Сообщение s.xbatob »

vkapas писал(а):
14.03.2017 02:18
Могу пинговать только непосредственно подключившегося клиента по его внутреннему (192.168.0.y) IP. До любых ресурсов за ним пинг не доходит.


А ресурсы за ним про маршрут через клиента знают?
Спасибо сказали:

Дмитрий Н.
Сообщения: 174
ОС: openSUSE Leap 15.0

Re: Не видно сетей за клиентами OpenVPN

Сообщение Дмитрий Н. »

Если внутренний адрес клиента пингуется, а дальше нет, то посмотри настройки межсетвевого экрана на клиенте. Интерфейс tun0 должен быть внутренней зоной и надо настроить трансляцию адресов (NAT). Поищи нормальную доку по настройки соединения двух офисов с помощью openvpn...
Спасибо сказали: