исправлено OpenVPN - недоступна подсеть за клиентом

[Pablo]

2 hours ago, r13 said:

Собрал стенд, воспроизвел инструкцию.

Все работает. Сети за сервером и клиентом доступны друг другу.

О, я тоже попробую, а какая прошивка?

 

UPD. У меня пять первых клиентов поднялись, все видно,спасибо за помощь.

 

Изменено 22 марта, 2018 пользователем Pablo

[r13]

12 минуты назад, Pablo сказал:

О, я тоже попробую, а какая прошивка?

Актуальная 2.12 на сервере и релизная 2.11 на клиенте стоят.

[Pablo]

19 hours ago, r13 said:

Актуальная 2.12 на сервере и релизная 2.11 на клиенте стоят.

Может быть вы сможете подсказать?

Инженерно все завелось, все работает, но в наличии странная ситуация.

От сервера сами клиенты пингуются, в сетях клиентов часть пингуется (это IP-телефон), остальное не пингуется. Причем, это во всех подсетях клиентов. С самих клиентов в их подсетях пингуется всё. Файрволлы везде поотключал.

 

Что это может быть? Уже глаз замылился и дергается.

[r13]

5 минут назад, Pablo сказал:

Может быть вы сможете подсказать?

Инженерно все завелось, все работает, но в наличии странная ситуация.

От сервера сами клиенты пингуются, в сетях клиентов часть пингуется (это IP-телефон), остальное не пингуется. Причем, это во всех подсетях клиентов. С самих клиентов в их подсетях пингуется всё. Файрволлы везде поотключал.

 

Что это может быть? Уже глаз замылился и дергается.

Здесь можно только угадывать, если это точно не firewall на конечных устройствах, то еще я бы посмотрел на таблицу маршрутизации на конечных устройствах, ну и пакеты в lan клиентов бы поснимал бы. 

[Pablo]

2 hours ago, r13 said:

Здесь можно только угадывать, если это точно не firewall на конечных устройствах, то еще я бы посмотрел на таблицу маршрутизации на конечных устройствах, ну и пакеты в lan клиентов бы поснимал бы. 

Я пришел к мнению, что это либо глюк, либо баг.

при вот таком конфиге

topology subnet
server 10.8.0.0 255.255.255.0
client-to-client
client-config-dir /storage
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
route 192.168.4.0 255.255.255.0
route 192.168.5.0 255.255.255.0
route 192.168.6.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
push "route 192.168.6.0 255.255.255.0"

поднимаются маршруты

192.168.1.0/24	0.0.0.0	Home
10.131.116.0/22	0.0.0.0	ISP
192.168.6.0/24	10.8.0.2	OpenVPN0
192.168.5.0/24	10.8.0.2	OpenVPN0
192.168.4.0/24	10.8.0.2	OpenVPN0
192.168.3.0/24	10.8.0.2	OpenVPN0
192.168.2.0/24	10.8.0.2	OpenVPN0
10.8.0.0/24	0.0.0.0	OpenVPN0

Пробовал удалять маршрут из конфига и писать его статикой через морду, шлюз подставляется верный, результат нулевой.

 

Изменено 23 марта, 2018 пользователем Pablo

[r13]

9 минут назад, Pablo сказал:

Я пришел к мнению, что это либо глюк, либо баг.

при вот таком конфиге

topology subnet
server 10.8.0.0 255.255.255.0
client-to-client
client-config-dir /storage
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
route 192.168.4.0 255.255.255.0
route 192.168.5.0 255.255.255.0
route 192.168.6.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
push "route 192.168.6.0 255.255.255.0"

поднимаются маршруты

192.168.1.0/24	0.0.0.0	Home
10.131.116.0/22	0.0.0.0	ISP
192.168.6.0/24	10.8.0.2	OpenVPN0
192.168.5.0/24	10.8.0.2	OpenVPN0
192.168.4.0/24	10.8.0.2	OpenVPN0
192.168.3.0/24	10.8.0.2	OpenVPN0
192.168.2.0/24	10.8.0.2	OpenVPN0
10.8.0.0/24	0.0.0.0	OpenVPN0

Пробовал удалять маршрут из конфига и писать его статикой через морду, шлюз подставляется верный, результат нулевой.

 

В ccd тоже все ок? По логу при коннекте конфиги из ccd подтягиваются?

зы раз хоть до одного устройсва в локалке клиента есть доступ надо смотреть что там в локалке. 

[Pablo]

4 minutes ago, r13 said:

В ccd тоже все ок? По логу при коннекте конфиги из ccd подтягиваются?

зы раз хоть до одного устройсва в локалке клиента есть доступ надо смотреть что там в локалке. 

в ccd стандартно iroute 192.168.*.0 255.255.255.0

А в локалке я, честно говоря, не знаю, что может быть не так. Стоял до К-1010 Асус Олеговской прошивкой и OpenVPN. 

Все ходило, все работало. Поставил Кинетик, начался геморрой. На стороне клиентов в подсетках вообще ничего не менялось. Только на самих клиентах шифрование поменяли да ключи.

[r13]

13 минуты назад, Pablo сказал:

в ccd стандартно iroute 192.168.*.0 255.255.255.0

А в локалке я, честно говоря, не знаю, что может быть не так. Стоял до К-1010 Асус Олеговской прошивкой и OpenVPN. 

Все ходило, все работало. Поставил Кинетик, начался геморрой. На стороне клиентов в подсетках вообще ничего не менялось. Только на самих клиентах шифрование поменяли да ключи.

Ну тогда просто подождем ближайший драфт и сравните на нем может поправится. 

[ndm]

3 часа назад, r13 сказал:

Ну тогда просто подождем ближайший драфт и сравните на нем может поправится. 

см. 2.12.A.4.0-9.

[Pablo]

47 minutes ago, ndm said:

см. 2.12.A.4.0-9.

 

4 hours ago, r13 said:

Ну тогда просто подождем ближайший драфт и сравните на нем может поправится. 

Новая прошивка не помогла. Я немножко поисследовал проблему. 

Пинги идут из подсети сервера, на роутере-клиенте пинги есть, направление верное, но от адресата ответа нет. 
Вайршарком на конечной машине пинги видно, но "no responce found".

Роутинг на конечной машине.

C:\Users\psychov>route print 
=========================================================================== 
Interface List 
15...58 fb 84 9d 42 e3 ......Intel(R) Dual Band Wireless-AC 3165 
11...fc 45 96 26 dd fa ......Realtek PCIe GBE Family Controller 
1...........................Software Loopback Interface 1 
16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 
18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 
===========================================================================

IPv4 Route Table 
=========================================================================== 
Active Routes: 
Network Destination Netmask Gateway Interface Metric 
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.235 20 
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.228 25 
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 
192.168.5.0 255.255.255.0 On-link 192.168.5.235 276 
192.168.5.0 255.255.255.0 On-link 192.168.5.228 281 
192.168.5.228 255.255.255.255 On-link 192.168.5.228 281 
192.168.5.235 255.255.255.255 On-link 192.168.5.235 276 
192.168.5.255 255.255.255.255 On-link 192.168.5.235 276 
192.168.5.255 255.255.255.255 On-link 192.168.5.228 281 
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 
224.0.0.0 240.0.0.0 On-link 192.168.5.235 276 
224.0.0.0 240.0.0.0 On-link 192.168.5.228 281 
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 
255.255.255.255 255.255.255.255 On-link 192.168.5.235 276 
255.255.255.255 255.255.255.255 On-link 192.168.5.228 281 
=========================================================================== 
Persistent Routes: 
None

 

[r13]

@Pablo А какой из адресов пингуете?

ЗЫ зачем два линка в одну сеть?

ЗЫ2 таки что то на конечных лан клиентах мешается.

Изменено 23 марта, 2018 пользователем r13

[Pablo]

46 minutes ago, r13 said:

@Pablo А какой из адресов пингуете?

ЗЫ зачем два линка в одну сеть?

ЗЫ2 таки что то на конечных лан клиентах мешается.

Пингую 192.164.5.235, но не пингуется вообще ничего в подсети, кроме ИП-телефона. Наблюдение тоже не пингуется. Странно.

Роутер с ОВПН

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.10.10.1      0.0.0.0         UG    1      0        0 eth2.2
10.8.0.0        *               255.255.255.0   U     0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 eth2.2
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
192.168.1.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.3.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.4.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.5.0     *               255.255.255.0   U     0      0        0 br0
192.168.6.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0

Роутер без ОВПН 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.10.10.1      0.0.0.0         UG    1      0        0 eth2.2
10.10.10.0      *               255.255.255.0   U     0      0        0 eth2.2
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
192.168.5.0     *               255.255.255.0   U     0      0        0 br0

 

Клиент без ОВПН

route print
===========================================================================
Interface List
 15...58 fb 84 9d 42 e3 ......Intel(R) Dual Band Wireless-AC 3165
 11...fc 45 96 26 dd fa ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.5.1    192.168.5.235     20
          0.0.0.0          0.0.0.0      192.168.5.1    192.168.5.228     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.5.0    255.255.255.0         On-link     192.168.5.235    276
      192.168.5.0    255.255.255.0         On-link     192.168.5.228    281
    192.168.5.228  255.255.255.255         On-link     192.168.5.228    281
    192.168.5.235  255.255.255.255         On-link     192.168.5.235    276
    192.168.5.255  255.255.255.255         On-link     192.168.5.235    276
    192.168.5.255  255.255.255.255         On-link     192.168.5.228    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.5.235    276
        224.0.0.0        240.0.0.0         On-link     192.168.5.228    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.5.235    276
  255.255.255.255  255.255.255.255         On-link     192.168.5.228    281
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 11    276 fe80::/64                On-link
 15    281 fe80::/64                On-link
 15    281 fe80::3503:99db:2141:6311/128
                                    On-link
 11    276 fe80::8034:6447:510:af46/128
                                    On-link
  1    306 ff00::/8                 On-link
 11    276 ff00::/8                 On-link
 15    281 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Откуда двойной линк - неясно.

[Pablo]

С клиентского роутера всё доступно, с серверного только телефон.

Пинги приходят с 10.8.0.1, а должны же, по идее, с 10.8.0.2.

Кто мешается и куда - пока неясно.

[r13]

3 минуты назад, Pablo сказал:

С клиентского роутера всё доступно, с серверного только телефон.

Пинги приходят с 10.8.0.1, а должны же, по идее, с 10.8.0.2.

Кто мешается и куда - пока неясно.

OpenVPN не натит поэтому пинги приходят с первого, а если и в кинетике нат отключить, то будут как и положено приходить от непосредсвенного источника. 

[Pablo]

3 minutes ago, r13 said:

OpenVPN не натит поэтому пинги приходят с первого, а если и в кинетике нат отключить, то будут как и положено приходить от непосредсвенного источника. 

Тогда будет ответ на пинг?

И как жить без ната, если он роутер?

[r13]

1 час назад, Pablo сказал:

Тогда будет ответ на пинг?

И как жить без ната, если он роутер?

Пинг должен отвечать в любом случае.

Без ната жить с помощью роутинга

который кстати у вас уже настроен.

куда девается ответ на пинги от10.8.0.1 это сейчас основной вопрос. На самом конечном устройстве если пакеты поснимать ответы на эти пинги видны?

[Pablo]

7 minutes ago, r13 said:

Пинг должен отвечать в любом случае.

Без ната жить с помощью роутинга

который кстати у вас уже настроен.

куда девается ответ на пинги от10.8.0.1 это сейчас основной вопрос. На самом конечном устройстве если пакеты поснимать ответы на эти пинги видны?

1. С К1010

2. С К1110

Изменено 25 марта, 2018 пользователем Pablo

[r13]

Только что, Pablo сказал:

на Кинетике Старте я не пробовал, пробовал тспдампом на Асусе, пакеты уходят конечному пользователю и теряются.

Я имею ввиду поснимать пакеты на самих конечных устройсвах а не на роутере. 

[Pablo]

Just now, r13 said:

Я имею ввиду поснимать пакеты на самих конечных устройсвах а не на роутере. 

выше ответил, сразу не понял просто

 

[r13]

@Pablo картинки выше это один и тот же пинг но снятый с К1010 и  К1110 или что то другое?

[Pablo]

13 hours ago, r13 said:

@Pablo картинки выше это один и тот же пинг но снятый с К1010 и  К1110 или что то другое?

Это два пинга на конечного пользователя, идущие:

1. С К-1010.

2. С К-1110.

[r13]

29 минут назад, Pablo сказал:

Это два пинга на конечного пользователя, идущие:

1. С К-1010.

2. С К-1110.

В общем не плохо бы запустить снималку пакетов на всех этапах(OpenVPN интерфейс на сервере и клиенте Home интерфейс на сервере и клиенте, и если можно захват пакетов на самом конечном клиенте в лан) и посмотреть сопоставить судьбу одного пинга из сети сервера.

ЗЫ Ну и понять почему по 2 интерфеса в одну сеть на клиентах.

Изменено 26 марта, 2018 пользователем r13

[Pablo]

В порядке бреда и эксперимента сменил в параметрах сервера адреса туннеля с 
server 10.8.0.0 255.255.255.0 
на 
server 192.168.255.0 255.255.255.0 
получил работающие пинги на всех компьютерах, включая те, что с файрволлами.

[r13]

54 минуты назад, Pablo сказал:

В порядке бреда и эксперимента сменил в параметрах сервера адреса туннеля с 
server 10.8.0.0 255.255.255.0 
на 
server 192.168.255.0 255.255.255.0 
получил работающие пинги на всех компьютерах, включая те, что с файрволлами.

Ну чтож, тоже решение 

[Лёха Киселёв]

Скажите, получилось заставить натится опенвпн?

[Le ecureuil]

В 6/1/2018 в 23:50, Лёха Киселёв сказал:

Скажите, получилось заставить натится опенвпн?

Что имеется в виду?

[Сергей Романов]

В общем столкнулся с такой же проблемой. Сервер на openwrt, клиент на кинетике. с кинетика вижу сервер и все компы за ним, со стороны сервера вижу кинетик и все. Компов за ним не вижу. 

192.168.1.0 - ddwrt сервер

192.168.2.0  - кинетик клиент

192.168.255.0 - сеть openvpn

конфиг сервера:

 

сipher AES-256-CBC  # Используемое шифрование
verb 3
proto tcp
topology subnet
client-to-client
server 192.168.255.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
client-to-client
topology subnet
port 1194
dev tun # Интерфейс, через который создается виртуальная сеть.
keepalive 10 120 # Проверка связи каждые 10 секунд. Если в течении 120 секунд ответа не будет, считается, что канал упал.
persist-key
persist-tun
# Пути до ключей и dh-файла
ca /etc/openvpn/ca.crt
cert /etc/openvpn/my-server.crt
key /etc/openvpn/my-server.key
dh /etc/openvpn/dh2048.pem
push "redirect-gateway def1"
client-config-dir /etc/openvpn/ccd

на сервере ccd для клиента прописано iroute 192.168.2.0 255.255.255.0 

конфиг на клиенте:

client
dev tun
proto tcp
remote адрессервера 1194
nobind
keepalive 10 120
persist-key
persist-tun
verb 3
cipher AES-256-CBC
pull-filter ignore "dhcp-pre-release"
pull-filter ignore "dhcp-renew"
pull-filter ignore "dhcp-release"
pull-filter ignore "register-dns"
pull-filter ignore "block-ipv6"

Получать маршруты от удаленной стороны галочка стоит.

на клиенте

(config)> show ip route
================================================================================
Destination          Gateway           Interface                         Metric
================================================================================
0.0.0.0/0            192.168.8.1       CdcEthernet0                      0
10.1.30.0/24         0.0.0.0           Guest                             0
178.236.141.221/32   192.168.8.1       CdcEthernet0                      0
192.168.1.0/24       192.168.255.1     OpenVPN0                          0
192.168.2.0/24       0.0.0.0           Home                              0
192.168.8.0/24       0.0.0.0           CdcEthernet0                      0
192.168.255.0/24     0.0.0.0           OpenVPN0                          0
 

команды

no isolate-private interface

OpenVPN0 security-level private

писал, по крышечке стучал, разъемы спиртом протирал... что еще делать не знаю ((( подскажите?

и еще не понимаю, как в cli посмотреть список интерфейсов? interface ? 

(config)> interface ?
Network::Interface::Repository error[6553730]: invalid interface name format: "?".
 

если просто нажимать "?" то 

(config)> interface

 Usage template:
        interface {name}

(config)> interface ?
 

[r13]

14 минуты назад, Сергей Романов сказал:

В общем столкнулся с такой же проблемой. Сервер на openwrt, клиент на кинетике. с кинетика вижу сервер и все компы за ним, со стороны сервера вижу кинетик и все. Компов за ним не вижу. 

192.168.1.0 - ddwrt сервер

192.168.2.0  - кинетик клиент

192.168.255.0 - сеть openvpn

конфиг сервера:

 

сipher AES-256-CBC  # Используемое шифрование
verb 3
proto tcp
topology subnet
client-to-client
server 192.168.255.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
client-to-client
topology subnet
port 1194
dev tun # Интерфейс, через который создается виртуальная сеть.
keepalive 10 120 # Проверка связи каждые 10 секунд. Если в течении 120 секунд ответа не будет, считается, что канал упал.
persist-key
persist-tun
# Пути до ключей и dh-файла
ca /etc/openvpn/ca.crt
cert /etc/openvpn/my-server.crt
key /etc/openvpn/my-server.key
dh /etc/openvpn/dh2048.pem
push "redirect-gateway def1"
client-config-dir /etc/openvpn/ccd

на сервере ccd для клиента прописано iroute 192.168.2.0 255.255.255.0 

конфиг на клиенте:

client
dev tun
proto tcp
remote адрессервера 1194
nobind
keepalive 10 120
persist-key
persist-tun
verb 3
cipher AES-256-CBC
pull-filter ignore "dhcp-pre-release"
pull-filter ignore "dhcp-renew"
pull-filter ignore "dhcp-release"
pull-filter ignore "register-dns"
pull-filter ignore "block-ipv6"

Получать маршруты от удаленной стороны галочка стоит.

на клиенте

(config)> show ip route
================================================================================
Destination          Gateway           Interface                         Metric
================================================================================
0.0.0.0/0            192.168.8.1       CdcEthernet0                      0
10.1.30.0/24         0.0.0.0           Guest                             0
178.236.141.221/32   192.168.8.1       CdcEthernet0                      0
192.168.1.0/24       192.168.255.1     OpenVPN0                          0
192.168.2.0/24       0.0.0.0           Home                              0
192.168.8.0/24       0.0.0.0           CdcEthernet0                      0
192.168.255.0/24     0.0.0.0           OpenVPN0                          0
 

команды

no isolate-private interface

OpenVPN0 security-level private

писал, по крышечке стучал, разъемы спиртом протирал... что еще делать не знаю ((( подскажите?

и еще не понимаю, как в cli посмотреть список интерфейсов? interface ? 

(config)> interface ?
Network::Interface::Repository error[6553730]: invalid interface name format: "?".
 

если просто нажимать "?" то 

(config)> interface

 Usage template:
        interface {name}

(config)> interface ?
 

Логи сервера смотрите, подхватывается ли ccd при соединении. Ну и firewall на интерфейсе openvpn на кинетике открыт?

ЗЫ security-level можно оставить public

Изменено 26 ноября, 2018 пользователем r13

[Сергей Романов]

 my-client/188.170.82.182:53958 MULTI: internal route 192.168.2.0/24 -> my-client/188.170.82.182:53958

в логах сервера. вроде оно?

[r13]

1 минуту назад, Сергей Романов сказал:

 my-client/188.170.82.182:53958 MULTI: internal route 192.168.2.0/24 -> my-client/188.170.82.182:53958

в логах сервера. вроде оно?

Угу, тогда дальше firewall остается.