OpenVPN server nepingá klienty

[Rejnold]

Dobry den, snažím se rozchodit opnevpn na sever a zatím se mi to moc nedaří.  Klient se připojit ale ze strany serveru ho nepingnu a ze strany klienta ping jde jen na 192.168.2.1 což je server, na další klienty se nedostanu. Problem bude určitě někde v nastaveni protože nevím přesně jak nastavit..
 
nastaveni servu

Kód: [Vybrat]

port 1194
proto tcp-server
dev tun1
ca keys/nove/ca.crt
cert keys/nove/server.crt
key keys/nove/server.key
dh keys/nove/dh2048.pem
server 192.168.2.0 255.255.255.0
crl-verify keys/nove/crl.pem
cipher AES-192-CBC
user nobody
group nogroup
status servers/Doma1/logs/openvpn-status.log
log-append servers/Doma1/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 1024
keepalive 10 120
client-config-dir /etc/openvpn/servers/Doma1/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "route 192.168.1.0 255.255.255.0"
klient

Kód: [Vybrat]

client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert fracht.crt
key fracht.key
remote 82.209... 1194
cipher AES-192-CBC
user nobody
group nogroup
verb 2
mute 20
keepalive 10 120
comp-lz
persist-key
persist-tun
float
resolv-retry infinite
nobind

Jeste je mi divne kdyz dam prikaz ifconfig tak mi vypise :

Kód: [Vybrat]

tun1      Link encap:NEZNÁM  HWadr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet adr:192.168.2.1  P-t-P:192.168.2.2  Maska:255.255.255.255
          AKTIVOVÁNO POINTOPOINT BĚŽÍ NEARP MULTICAST  MTU:1500  Metrika:1
          RX packets:49 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1187 errors:0 dropped:0 overruns:0 carrier:0
          kolizĂ­:0 dĂŠlka odchozĂ­ fronty:100
          Přijato bajtĹŻ: 3302 (3.3 KB) OdeslĂĄno bajtĹŻ: 99101 (99.1 KB)Budu rad za všechny odpovědi a nápady
jeste pridavam route z servu

Kód: [Vybrat]

Směrovací tabulka v jádru pro IP
AdresĂĄt         BrĂĄna           Maska           Přízn Metrik Odkaz  UĹžt RozhranĂ­
192.168.2.2     *               255.255.255.255 UH    0      0        0 tun1
82.XXX.XX.112   *               255.255.255.248 U     0      0        0 eth4
192.168.2.0     192.168.2.2     255.255.255.0   UG    0      0        0 tun1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth3
link-local      *               255.255.0.0     U     1000   0        0 eth3
default         ip-82-XXX-XX-XX 0.0.0.0         UG    0      0        0 eth4

[Reklama]

[David]

Jenom tip: firewall (iptables)

[Filip F.]

mozna nemate zaply IPv4 forwarding.zkuste cat /proc/sys/net/ipv4/ip_forward  pokud vam vypise 1 je to ok, pokud 0 musite to nejdrive pomoci echo 1 zapnout. Vetsinou to byva vypnute a smerovani mezi sitemi pak nefunguje. pripadne sem jeste hodte co vypise iptables -L -n -v

[mondy]

par postrehov:

Z akeho rozsahu pridavas ipcky klientom pre tun/tap rozhranie? (ccd subory).
V routach mas 192.168.1.0  smerujuce do eth3, takze ak sa snazis vpn klienta pingovat zo serveru v tomto subnete, tak ti to proste zle routuje.
Pinguj vzdy ipcky vpn klientov na tun/tap rozhrani.
client-to-client v configu mas, takze zase bude problem pravdepodobne so smerovanim, klientom musis "pushnut" spravnu routu.

verim ze pomoze

[James_Scott]

- chtělo by to výpis routovací tabulky z klienta (route print na windows)
-máš zapnuté přehazování packetů v jádře jak psal kolega výše?
- OpenVPN server je v LAN výchozí branou pro ostatní PC,nebo je výchozí brána nějaký jiný router?

Pokud máš jako klienta Windows 7, musíš OpenVPN GUI spouštět jako správce, jinak se ti nepřidají routy předávané parametrem "route push " .

[Reklama]

[Rejnold]

Zdravim, predem dekuji ze odpovedi... Ale zatim a stale bloudim ve tme.. Jak jste se ptal jestli mam zaply IPv4 tak mam
Ve firewallu se moc nevyznam tedy vubec.. teprv se to ucim.. Pri napsani iptable -L -n -v vypise to :

Kód: [Vybrat]

Chain INPUT (policy ACCEPT 23410 packets, 1411K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 228 packets, 26282 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 11464 packets, 62M bytes)
 pkts bytes target     prot opt in     out     source               destination       

Routach ma byt i sit vpn ta 192.168.2.0? asi jo.. takze kdyz napisu
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
tak by se meli na sebe videt ze?
Rikam jsem uplne amater tak se hned omlouvam jestli kecam blbosti..

[Pavouk106]

Řešil jsem to taky a chybu jsem měl v konfiguraci serveru. Konkrétně to teď nevím. Pokud se to nevyřeší do dnešního pozdního večera, zkusím si vzpomenout a porovnat konfiguraci odtud a z mého serveru.

[James_Scott]

Hlavně záleží, jestli je OpenVPN server výchozí brána v LAN nebo ne. Pokud není, tak se musí na výchozí bráně nastavit statické routování, aby PC v síti LAN mohli odpovídat do sítě VPN.

[Rejnold]

tak jsem udelal vypis route klienta

Kód: [Vybrat]


IPv4 Směrovací tabulka
===========================================================================
Aktivní směrování:
         Cíl v síti   Síťová maska            Brána        Rozhraní Metrika
          0.0.0.0          0.0.0.0          5.0.0.1     5.66.104.207   9256
          0.0.0.0          0.0.0.0     192.168.2.13     192.168.2.14     30
          5.0.0.0        255.0.0.0       Propojené      5.66.104.207   9256
     5.66.104.207  255.255.255.255       Propojené      5.66.104.207   9256
    5.255.255.255  255.255.255.255       Propojené      5.66.104.207   9256
         10.0.0.0    255.255.255.0       Propojené          10.0.0.2    281
         10.0.0.2  255.255.255.255       Propojené          10.0.0.2    281
       10.0.0.255  255.255.255.255       Propojené          10.0.0.2    281
    82.209.19.116  255.255.255.255       10.0.0.138         10.0.0.2     25
        127.0.0.0        255.0.0.0       Propojené         127.0.0.1    306
        127.0.0.1  255.255.255.255       Propojené         127.0.0.1    306
  127.255.255.255  255.255.255.255       Propojené         127.0.0.1    306
      169.254.0.0      255.255.0.0       Propojené      192.168.2.14     30
  169.254.255.255  255.255.255.255       Propojené      192.168.2.14    286
      192.168.1.0    255.255.255.0     192.168.2.13     192.168.2.14     30
      192.168.2.0    255.255.255.0     192.168.2.13     192.168.2.14     30
     192.168.2.12  255.255.255.252       Propojené      192.168.2.14    286
     192.168.2.14  255.255.255.255       Propojené      192.168.2.14    286
     192.168.2.15  255.255.255.255       Propojené      192.168.2.14    286
        224.0.0.0        240.0.0.0       Propojené         127.0.0.1    306
        224.0.0.0        240.0.0.0       Propojené          10.0.0.2    281
        224.0.0.0        240.0.0.0       Propojené      192.168.2.14    286
        224.0.0.0        240.0.0.0       Propojené      5.66.104.207   9256
  255.255.255.255  255.255.255.255       Propojené         127.0.0.1    306
  255.255.255.255  255.255.255.255       Propojené          10.0.0.2    281
  255.255.255.255  255.255.255.255       Propojené      192.168.2.14    286
  255.255.255.255  255.255.255.255       Propojené      5.66.104.207   9256
===========================================================================
Trvalé trasy:
  Síťová adresa            Maska    Adresa brány     Metrika
          0.0.0.0          0.0.0.0          5.0.0.1  Výchozí
          0.0.0.0          0.0.0.0          5.0.0.1  Výchozí
===========================================================================

Jinak nechapu ty vychozi branu ? to myslite na klientovi nebo na severu??

[James_Scott]

Tak jsem pročítal znova tu konfiguraci, a máš to nejspíš špatně.
Zkus použít Tap místo Tun ( to tun se používá pro point-to-point sítě, ne pro roadwarior).
Samozřejmě pak musíš i na klientovi nastavit Tap.
A dej vědět jak jsi dopadl

[Pavouk106]

Tak muj konfigurák vypadá následovně:

Kód: [Vybrat]

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh1024.pem
server 192.168.106.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user pavouk
group pavouk
persist-key
persist-tun
status openvpn-status.log
verb 3
Bez client-to-client mi to nešlo.

Samotní klienti tuším nenastavovali nic extra, jelo to a jede v pohodě.

[Filip F.]

Jak koukám mělo by to fungovat.  Jenže koukám že máš klienty widle, zkus si vypnout windows firewall(nebo i jiný pokud máš treba kerio či avg) ono totiž ten windows firewall pokud se dobre pamatuju má defaultně zakázané příchozí pingy. 

[rob]

chybi tam push ke klientovi do vpn site.
ten pak nemuze vedet kam ma vracet ten pong.

[Pavouk106]

Jak tu píšou ostatní - firewall samozřejmě vypnout!

A ve Windows také spouštět OpenVPN s admininstrátorským oprávněním!

To je vše, co je i z mojí zkušenosti, víc nedokážu poradit :-(

[Filip F.]

chybi tam push ke klientovi do vpn site.
ten pak nemuze vedet kam ma vracet ten pong.

není pravda má tam...... Jinak by mu nesel ani ping z toho klienta na server 

....
192.168.1.0    255.255.255.0     192.168.2.13     192.168.2.14     30
192.168.2.0    255.255.255.0     192.168.2.13     192.168.2.14     30
....