Debian/Ubuntu

Tonny_Bennet · Конфигурация компьютера

CJ F.A.N., а теперь если можно по порядку.

Три филиала. У всех внешние IP адреса статические? Или динамические? Или у кого-то такие а у кого-то такие?

Локальные сети? желательно бы описать адресацию внутри каждой сети, с маской и шлюзом.

Серверы на debian, какие у них адреса внутри сети.

Логика проста. На одном сервер клиент, на остальных сервер. Клиенты подключаются к серверу, получают некоторые адреса. Сервер добавляет маршруты в клиентские сети, клиенты добавляют маршрут в сеть сервера. Выключается NAT между локальными сетями. Всё работает.

CJ F.A.N. · Конфигурация компьютера

Tonny_Bennet, на данный момент, основная организация (Сеть1) имеет подсеть 192.168.1.0 (дополнительно назначил некоторым серверам айпишники из подсети 192.168.3.0, чтобы связывать все филиалы более безопасно и желательно без смены подсетей в них). Один из филиалов имеет подсеть 192.168.2.0 (сеть2). Все шлюзы имеют статические адреса. Идея: поставить клиенты опенвпн на все шлюзы всех филиалов, чтобы связать шлюзы с нашим. Проблема в том, что клиенты локальных сетей филиалов видят нашу подсеть (сеть1), а мы видим только шлюзы филиалов, но клиентов локальных сетей этих филиалов не видим и не пингуем. Товарищ выше говорит что надо либо DHCP раздавать всем, либо вручную настраивать маршруты, но это проблемно, тем более что некоторые филиалы находятся в других областях, и боюсь, что перенастройка всех компьютеров тех локальных сетей будет проблематична, поэтому ищу способ, как объединить подсети, настраивая только шлюзы. Почти получилось, вот только как бы в одну сторону....... Я подозреваю, что неверен конфиг сервера опенвпн, собственно по нему и спрашиваю, правильно настроил или нет

Забыл. Наш шлюз имеет адрес 192.168.1.51 (192.168.3.51), адрес шлюза одного из филиалов 192.168.2.1)
Все шлюзы построены на Debian 7

Tonny_Bennet · Конфигурация компьютера

CJ F.A.N., ещё было бы неплохо нарисовать план-схему сети. Хотя бы такую:

Цитата CJ F.A.N.:

(дополнительно назначил некоторым серверам айпишники из подсети 192.168.3.0, чтобы связывать все филиалы более безопасно и желательно без смены подсетей в них) »

Вопрос зачем???

Какой адрес получает OpenVPN клиента на стороне сети2? Вам нужно добавить маршрут на шлюзе сети1 такого вида:

Код:

route add -net 192.168.2.0/24 gw <адрес OpenVPN клиента>

Ещё посмотрите правила NAT в 1-й сети.

CJ F.A.N. · Конфигурация компьютера

Tonny_Bennet,

вот так вот нужно.

Цитата Tonny_Bennet:

Вопрос зачем??? »

потому что в сети 2 не все IP получилось перенастроить на подсеть 192.168.2.0. Как я выше писал, раньше подсеть была одна и так же, и дабы не было конфликтов, пришлось перенастроить, но не всех. Возникли проблемы, во первых, с шарами, во вторых, там специфические программы, где лицензии привязываются к локальному IP, и после смены настроек сети лицензия слетала, а получить новую долго, а работу программы прерыват ьнельзя, вот так, поэтому было принято такое решение, селать, чтобы мы с подсети 1 видели все компьютеры филиала, а они некоторые наши серверы в подсети 192.168.3.0 или 192.168.1.0, как получится, вот не знаю как лучше сделать, запутался сам уже. Нат на нашем шлюзе в принципе ничего не перекрывает, вот активные маршруты из сети1:

Код:

       Назначение    	Шлюз    	           Маска сети    	Интерфейс   
        10.8.0.0      Ни одного   	255.255.255.0 	tap0
	172.16.0.84    	Ни одного 	255.255.255.255 	ppp0
	192.168.1.0 	    Ни одного 	255.255.255.0 	eth2
	192.168.3.0    	Ни одного 	255.255.255.0 	eth2

шлюз на сети2 получает от Опенвпн сервера адрес 10.8.0.8, внешние IP примерные я указал на рисунке

про маршрут спасибо, я забыл про это, добавлю. Сейчас нужный мне филиал без электричества стоит))))) как включат, проверю, я думаю должно заработать, потому что пакеты не идут от нас к ним, а обратно идут

Tonny_Bennet · Конфигурация компьютера

Добавьте маршрут во 2-ю сеть на шлюзе первой сети

Код:

route add -net 192.168.2.0/24 gw 10.8.0.8

Если не заработает показывайте iptables с обоих шлюзов

Код:

iptables-save

Rezor666 · Конфигурация компьютера

Цитата MakaBooka:

Что не так? »

Все так, пропустил, прошу прощения.

CJ F.A.N., почитайте эту статью, там все расписано.

MakaBooka · Конфигурация компьютера

Цитата Tonny_Bennet:

Вам нужно добавить маршрут на шлюзе сети1 такого вида:
Код:
route add -net 192.168.2.0/24 gw <адрес OpenVPN клиента> »

Лучше это делать при установлении VPN средствами OpenVPN.

CJ F.A.N. · Конфигурация компьютера

Цитата Tonny_Bennet:

Добавьте маршрут во 2-ю сеть на шлюзе первой сети »

Спасибо, все заработало! Остался последний вопрос: как корректнее добавлять этот маршрут при рестарте сервера в сети1 ?
Я пробовал в каталоге /etc/openvpn/ccd создать файлик для клиента, в котором директивой iroute добавляется маршрут, но ничего не происходит, как будто Openvpn не подхватывает настройки клиента, ну да ладно. Пока просто сделал скрипт, выполняющийся в rc.local , создающий статический маршрут
route add -net 192.168.2.0/24 gw 10.8.0.8

думаю, этого хватит

MakaBooka · Конфигурация компьютера

Цитата CJ F.A.N.:

но ничего не происходит, как будто Openvpn не подхватывает настройки клиента»

во всех непонятных случаях надо курить маны. как только случаи стали понятными, но поведение не совпадает с ожидаемым, надо курить логи.
если непонятное присутствует, с конфигами, логами и вопросами - по форумам.

вопрос ясен, давай конфиги и логи

Цитата CJ F.A.N.:

Пока просто сделал скрипт, выполняющийся в rc.local »

через год гражданин, сопровождающий сервер, захочет твоей крови. возможно это будешь ты сам

CJ F.A.N. · Конфигурация компьютера

MakaBooka,
server.conf

Код:

# cat /etc/openvpn/server.conf


mode server

port 9375 
proto tcp 
dev tap 
client-config-dir /etc/openvpn/ccd
push "route 192.168.3.0 255.255.255.0"
;push "route 192.168.2.0 255.255.255.0"

;push "route 192.168.3.0 255.255.255.0"
;push "route-gateway 10.8.0.1"

;push "dhcp-option DNS 10.8.0.1"

route 192.168.2.0 255.255.255.0  
;iroute 192.168.2.0 255.255.255.0
ca ca.crt 
cert server.crt 
key server.key 
dh dh1024.pem 
server 10.8.0.0 255.255.255.0 
;server-bridge 192.168.3.1 255.255.255.0 192.168.3.100 192.168.3.252 

ifconfig-pool-persist /etc/openvpn/ipp.txt 
keepalive 10 120 
persist-key 
persist-tun 
status openvpn-status.log 
log /var/log/openvpn.log 
tls-auth ta.key 0 
client-to-client
cipher DES-EDE3-CBC
verb 3
;push "route 10.8.0.0 255.255.255.0"
;up /usr/sbin/openvpn_route.sh
user nobody
group nogroup

Конфиг клиента fil1, который и получает адрес 10.8.0.8

Код:

#cat /etc/openvpn/ccd/fil1
iroute 192.168.2.0 255.255.255.0

Соответственно, как я понимаю, когда он подключается, на сервере с Openvpn должен создаваться маршрут который мне нужен, но нет.......

Конфиги openvpn-status.log и /var/log/openvpn.log ничего странного не показывают, ошибок там нет, просто данные о том, сколько клиентов подключено и какие им назначены mac и ip адреса