Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Rejnold 18. 02. 2012, 15:04:28
-
Dobry den, snažím se rozchodit opnevpn na sever a zatím se mi to moc nedaří. Klient se připojit ale ze strany serveru ho nepingnu a ze strany klienta ping jde jen na 192.168.2.1 což je server, na další klienty se nedostanu. Problem bude určitě někde v nastaveni protože nevím přesně jak nastavit..
nastaveni servu
port 1194
proto tcp-server
dev tun1
ca keys/nove/ca.crt
cert keys/nove/server.crt
key keys/nove/server.key
dh keys/nove/dh2048.pem
server 192.168.2.0 255.255.255.0
crl-verify keys/nove/crl.pem
cipher AES-192-CBC
user nobody
group nogroup
status servers/Doma1/logs/openvpn-status.log
log-append servers/Doma1/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 1024
keepalive 10 120
client-config-dir /etc/openvpn/servers/Doma1/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "route 192.168.1.0 255.255.255.0"
klient
client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert fracht.crt
key fracht.key
remote 82.209... 1194
cipher AES-192-CBC
user nobody
group nogroup
verb 2
mute 20
keepalive 10 120
comp-lz
persist-key
persist-tun
float
resolv-retry infinite
nobind
Jeste je mi divne kdyz dam prikaz ifconfig tak mi vypise :
tun1 Link encap:NEZNĂM HWadr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet adr:192.168.2.1 P-t-P:192.168.2.2 Maska:255.255.255.255
AKTIVOVĂNO POINTOPOINT BÄŽà NEARP MULTICAST MTU:1500 Metrika:1
RX packets:49 errors:0 dropped:0 overruns:0 frame:0
TX packets:1187 errors:0 dropped:0 overruns:0 carrier:0
kolizĂ:0 dĂŠlka odchozĂ fronty:100
PĹijato bajtĹŻ: 3302 (3.3 KB) OdeslĂĄno bajtĹŻ: 99101 (99.1 KB)Budu rad za všechny odpovědi a nápady
jeste pridavam route z servu
SmÄrovacĂ tabulka v jĂĄdru pro IP
AdresĂĄt BrĂĄna Maska PĹĂzn Metrik Odkaz UĹžt RozhranĂ
192.168.2.2 * 255.255.255.255 UH 0 0 0 tun1
82.XXX.XX.112 * 255.255.255.248 U 0 0 0 eth4
192.168.2.0 192.168.2.2 255.255.255.0 UG 0 0 0 tun1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth3
link-local * 255.255.0.0 U 1000 0 0 eth3
default ip-82-XXX-XX-XX 0.0.0.0 UG 0 0 0 eth4
-
Jenom tip: firewall (iptables)
-
mozna nemate zaply IPv4 forwarding.zkuste cat /proc/sys/net/ipv4/ip_forward pokud vam vypise 1 je to ok, pokud 0 musite to nejdrive pomoci echo 1 zapnout. Vetsinou to byva vypnute a smerovani mezi sitemi pak nefunguje. pripadne sem jeste hodte co vypise iptables -L -n -v
-
par postrehov:
Z akeho rozsahu pridavas ipcky klientom pre tun/tap rozhranie? (ccd subory).
V routach mas 192.168.1.0 smerujuce do eth3, takze ak sa snazis vpn klienta pingovat zo serveru v tomto subnete, tak ti to proste zle routuje.
Pinguj vzdy ipcky vpn klientov na tun/tap rozhrani.
client-to-client v configu mas, takze zase bude problem pravdepodobne so smerovanim, klientom musis "pushnut" spravnu routu.
verim ze pomoze
-
- chtělo by to výpis routovací tabulky z klienta (route print na windows)
-máš zapnuté přehazování packetů v jádře jak psal kolega výše?
- OpenVPN server je v LAN výchozí branou pro ostatní PC,nebo je výchozí brána nějaký jiný router?
Pokud máš jako klienta Windows 7, musíš OpenVPN GUI spouštět jako správce, jinak se ti nepřidají routy předávané parametrem "route push " .
-
Zdravim, predem dekuji ze odpovedi... Ale zatim a stale bloudim ve tme.. Jak jste se ptal jestli mam zaply IPv4 tak mam :)
Ve firewallu se moc nevyznam tedy vubec.. teprv se to ucim.. Pri napsani iptable -L -n -v vypise to :
Chain INPUT (policy ACCEPT 23410 packets, 1411K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 228 packets, 26282 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 11464 packets, 62M bytes)
pkts bytes target prot opt in out source destination
Routach ma byt i sit vpn ta 192.168.2.0? asi jo.. takze kdyz napisu
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
tak by se meli na sebe videt ze?
Rikam jsem uplne amater tak se hned omlouvam jestli kecam blbosti..
-
Řešil jsem to taky a chybu jsem měl v konfiguraci serveru. Konkrétně to teď nevím. Pokud se to nevyřeší do dnešního pozdního večera, zkusím si vzpomenout a porovnat konfiguraci odtud a z mého serveru.
-
Hlavně záleží, jestli je OpenVPN server výchozí brána v LAN nebo ne. Pokud není, tak se musí na výchozí bráně nastavit statické routování, aby PC v síti LAN mohli odpovídat do sítě VPN.
-
tak jsem udelal vypis route klienta
IPv4 Směrovací tabulka
===========================================================================
Aktivní směrování:
Cíl v síti Síťová maska Brána Rozhraní Metrika
0.0.0.0 0.0.0.0 5.0.0.1 5.66.104.207 9256
0.0.0.0 0.0.0.0 192.168.2.13 192.168.2.14 30
5.0.0.0 255.0.0.0 Propojené 5.66.104.207 9256
5.66.104.207 255.255.255.255 Propojené 5.66.104.207 9256
5.255.255.255 255.255.255.255 Propojené 5.66.104.207 9256
10.0.0.0 255.255.255.0 Propojené 10.0.0.2 281
10.0.0.2 255.255.255.255 Propojené 10.0.0.2 281
10.0.0.255 255.255.255.255 Propojené 10.0.0.2 281
82.209.19.116 255.255.255.255 10.0.0.138 10.0.0.2 25
127.0.0.0 255.0.0.0 Propojené 127.0.0.1 306
127.0.0.1 255.255.255.255 Propojené 127.0.0.1 306
127.255.255.255 255.255.255.255 Propojené 127.0.0.1 306
169.254.0.0 255.255.0.0 Propojené 192.168.2.14 30
169.254.255.255 255.255.255.255 Propojené 192.168.2.14 286
192.168.1.0 255.255.255.0 192.168.2.13 192.168.2.14 30
192.168.2.0 255.255.255.0 192.168.2.13 192.168.2.14 30
192.168.2.12 255.255.255.252 Propojené 192.168.2.14 286
192.168.2.14 255.255.255.255 Propojené 192.168.2.14 286
192.168.2.15 255.255.255.255 Propojené 192.168.2.14 286
224.0.0.0 240.0.0.0 Propojené 127.0.0.1 306
224.0.0.0 240.0.0.0 Propojené 10.0.0.2 281
224.0.0.0 240.0.0.0 Propojené 192.168.2.14 286
224.0.0.0 240.0.0.0 Propojené 5.66.104.207 9256
255.255.255.255 255.255.255.255 Propojené 127.0.0.1 306
255.255.255.255 255.255.255.255 Propojené 10.0.0.2 281
255.255.255.255 255.255.255.255 Propojené 192.168.2.14 286
255.255.255.255 255.255.255.255 Propojené 5.66.104.207 9256
===========================================================================
Trvalé trasy:
Síťová adresa Maska Adresa brány Metrika
0.0.0.0 0.0.0.0 5.0.0.1 Výchozí
0.0.0.0 0.0.0.0 5.0.0.1 Výchozí
===========================================================================
Jinak nechapu ty vychozi branu ? to myslite na klientovi nebo na severu??
-
Tak jsem pročítal znova tu konfiguraci, a máš to nejspíš špatně.
Zkus použít Tap místo Tun ( to tun se používá pro point-to-point sítě, ne pro roadwarior).
Samozřejmě pak musíš i na klientovi nastavit Tap.
A dej vědět jak jsi dopadl :)
-
Tak muj konfigurák vypadá následovně:
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh1024.pem
server 192.168.106.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user pavouk
group pavouk
persist-key
persist-tun
status openvpn-status.log
verb 3
Bez client-to-client mi to nešlo.
Samotní klienti tuším nenastavovali nic extra, jelo to a jede v pohodě.
-
Jak koukám mělo by to fungovat. :) Jenže koukám že máš klienty widle, zkus si vypnout windows firewall(nebo i jiný pokud máš treba kerio či avg) ono totiž ten windows firewall pokud se dobre pamatuju má defaultně zakázané příchozí pingy. ;)
-
chybi tam push ke klientovi do vpn site.
ten pak nemuze vedet kam ma vracet ten pong.
-
Jak tu píšou ostatní - firewall samozřejmě vypnout!
A ve Windows také spouštět OpenVPN s admininstrátorským oprávněním!
To je vše, co je i z mojí zkušenosti, víc nedokážu poradit :-(
-
chybi tam push ke klientovi do vpn site.
ten pak nemuze vedet kam ma vracet ten pong.
není pravda má tam...... Jinak by mu nesel ani ping z toho klienta na server :)
....
192.168.1.0 255.255.255.0 192.168.2.13 192.168.2.14 30
192.168.2.0 255.255.255.0 192.168.2.13 192.168.2.14 30
....