исправлено OpenVPN - недоступна подсеть за клиентом

[Сергей Романов]

5 часов назад, r13 сказал:

Угу, тогда дальше firewall остается.

там все разрешено. на других вкладках аналогичная картина.

Изменено 26 ноября, 2018 пользователем Сергей Романов

[Сергей Романов]

разобрались ))) виндовый фаервол гасил пакеты с другой сети ...

[St@lker]

Друзья привет! Нужна помощь.

Как пробросить извне (с WAN) доступ к подсети за OpenVPN-клиентом? Подробнее:

OpenVPN-сервер (10.8.0.1 и подсеть за ним 192.168.1.0), OpenVPN-клиент (10.8.0.3 и подсеть за ним 192.168.10.0). Не получается настроить проброс извне (с WAN-порта), в подсеть клиента OpenVPN (192.168.10.2) порта 33445.

Машины подсети сервера OpenVPN и подсети клиента OpenVPN друг друга видят, пакеты ходят.

Подскажите что делаю не так?

ЗЫ. 192.168.10.0 - имеет свой выход в интернет (за серым ip), через vpn только внутренние рессурсы. 

[St@lker]

Дополню: что странно, из сети за OpenVPN-сервером - 192.168.1.0 - доступ к подсети за OpenVPN-клиентом (а именно по домену home.wan-ip.com.ua) на порт 33445 есть и камеры (все ради этого делается) - работают. А из вне (к примеру по LTE) по home.wan-ip.com.ua на порт 33445 - не работает.

На внешнем интерфейсе в межсетевом экране стоит "разрешить" "все" если порт назначения 33445.

[Pablo]

1 minute ago, St@lker said:

Дополню: что странно, из сети за OpenVPN-сервером - 192.168.1.0 - доступ к подсети за OpenVPN-клиентом (а именно по домену home.wan-ip.com.ua) на порт 33445 есть и камеры (все ради этого делается) - работают. А из вне (к примеру по LTE) по home.wan-ip.com.ua на порт 33445 - не работает.

На внешнем интерфейсе в межсетевом экране стоит "разрешить" "все" если порт назначения 33445.

А у вас на ЛТЕ белый айпиадрес?

[St@lker]

2 minutes ago, Pablo said:

А у вас на ЛТЕ белый айпиадрес?

Нет. Разницы как бы нет. То есть маршрут следующий (если это LTE): Серый ip клиентского устройства, по dns-имени ломится на home.wan-ip.com.ua:33445, попадает на WAN (белый ip) порт моего Keenetic KN-1010, на котором указано что все что прилетает на порт 33445 должно быть завернуто на 192.168.10.2 (подсеть VPN-клиента). Так вот из подсети 192.168.1.0 - все работает (по dns-имени в т.ч.).

[Pablo]

192.168.1.х это один интерфейс подсети, а ЛТЕ это другой интерфейс подсети?

Если так, то вопрос в маршрутизации на этот лте интерфейс.

[Kirill Belugin]

Доброго времени суток, тоже уже устал и сломал голову в подборе конфигурации для того что бы работали нормально ping сети расположенной за клиентами, что только уже не попробовал, прошу помогите разобраться...

Подключение к кинетику идет со стороны обычных клиентов с установленными ПО (OpenVPN) сети у которых могут быть разными, поэтому определить их и задать в конфигураторе заранее не представляется возможным, собственно вариант либо указывать 0.0.0.0 255.255.255.0 либо 192.168.0.0 255.255.255.0 Сеть за Kinetic 192.168.10.0/24. 

На сегодня получается установить соединение и работают службы rdp или web однако пинги до устройств не проходят (например что бы шару замапить). Пинги проходят только до шлюза домашней сети 192.168.10.1. Может это по тому что у меня настроен DHCP Relay на внутренний доменный сервер 192.168.10.100 ? Идея была еще и в том что бы клиенты по vpn видели DNS сервер домена и могли обращаться к клиентам в сети не только по ip но и по имени как привыкли пользователи, но пока не получилось.

Если соединение конфигурировать тупо точка точка без сертификатов, то все нормально работает, а вот с сертификатами не-а (

Прикладываю сюда конфиги

Сервер

port 5190
proto udp
tls-server
dev tun
;ifconfig-pool-persist /storage/ipp.txt
client-config-dir /storage
server 10.7.0.0 255.255.255.0
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
client-to-client
topology subnet
;comp-lzo yes
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
mute 20

 

На сторадже 

iroute 192.168.0.0 255.255.255.0

 

Клиент

client
dev tun
proto udp
remote 95.84.137.242 5190
resolv-retry infinite
nobind
keepalive 10 120
persist-key
persist-tun
verb 3
;comp-lzo
cipher AES-256-CBC
route 192.168.10.0 255.255.255.0

Марщруты, как то криво вставляются

{ "route": [ { "destination": "0.0.0.0/0", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Guest", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN0", "metric": 0, "proto": "kernel", "floating": true }, { "destination": "77.37.251.33/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "77.37.255.30/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "94.25.177.171/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.84.136.0/23", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "95.84.155.108/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.181.210.8/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.0.0/24", "gateway": "192.168.255.2", "interface": "OpenVPN1", "metric": 0, "proto": "boot", "floating": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.255.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN1", "metric": 0, "proto": "kernel", "floating": true } ], "prompt": "(config)" }

Все правила на ICMP открыты на всех интерфейсах от всех источников во все источники

Вообще не понимаю что не так делаю, прошу помогите разобраться

Изменено 6 апреля, 2020 пользователем Kirill Belugin
загрузка скриншотов

[Kirill Belugin]

2 hours ago, Kirill Belugin said:

Доброго времени суток, тоже уже устал и сломал голову в подборе конфигурации для того что бы работали нормально ping сети расположенной за клиентами, что только уже не попробовал, прошу помогите разобраться...

Подключение к кинетику идет со стороны обычных клиентов с установленными ПО (OpenVPN) сети у которых могут быть разными, поэтому определить их и задать в конфигураторе заранее не представляется возможным, собственно вариант либо указывать 0.0.0.0 255.255.255.0 либо 192.168.0.0 255.255.255.0 Сеть за Kinetic 192.168.10.0/24. 

На сегодня получается установить соединение и работают службы rdp или web однако пинги до устройств не проходят (например что бы шару замапить). Пинги проходят только до шлюза домашней сети 192.168.10.1. Может это по тому что у меня настроен DHCP Relay на внутренний доменный сервер 192.168.10.100 ? Идея была еще и в том что бы клиенты по vpn видели DNS сервер домена и могли обращаться к клиентам в сети не только по ip но и по имени как привыкли пользователи, но пока не получилось.

Если соединение конфигурировать тупо точка точка без сертификатов, то все нормально работает, а вот с сертификатами не-а (

Прикладываю сюда конфиги

Сервер

port 5190
proto udp
tls-server
dev tun
;ifconfig-pool-persist /storage/ipp.txt
client-config-dir /storage
server 10.7.0.0 255.255.255.0
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
client-to-client
topology subnet
;comp-lzo yes
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
mute 20

 

На сторадже 

iroute 192.168.0.0 255.255.255.0

 

Клиент

client
dev tun
proto udp
remote 95.84.137.242 5190
resolv-retry infinite
nobind
keepalive 10 120
persist-key
persist-tun
verb 3
;comp-lzo
cipher AES-256-CBC
route 192.168.10.0 255.255.255.0

Марщруты, как то криво вставляются

{ "route": [ { "destination": "0.0.0.0/0", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Guest", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN0", "metric": 0, "proto": "kernel", "floating": true }, { "destination": "77.37.251.33/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "77.37.255.30/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "94.25.177.171/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.84.136.0/23", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "95.84.155.108/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.181.210.8/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.0.0/24", "gateway": "192.168.255.2", "interface": "OpenVPN1", "metric": 0, "proto": "boot", "floating": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.255.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN1", "metric": 0, "proto": "kernel", "floating": true } ], "prompt": "(config)" }

Все правила на ICMP открыты на всех интерфейсах от всех источников во все источники

Вообще не понимаю что не так делаю, прошу помогите разобраться

UPD:

Проблема оказалась на стороне клиента (сервер с виртуальными машинами) на который я старался подключиться, на нем стоял каспер в котором по умолчанию отключены icmp пакеты такого рода.

Проблему с DHCp и DNS решил добавлением в конфигурацию сервера след. команд

push "dhcp-option DOMAIN intr.tech"
push "dhcp-option DNS 192.168.10.100"
push "dhcp-option DHCP 192.168.10.100"

в общем может кому будет полезен мой пост

ну или кто сочтет добавит что то полезное, тоже буду признателен.

[kmgkidcx]

Подскажите что не так. Поднял сервер на кинетике. Вроде как с клиента (iOS) подключаюсь к серверу (кинетик) а получить доступ к nas (в локалке за кинетиком) не могу. Включая доступ к веб интерфейсу (по ip) кинетика и синологи. 

Конфиг сервера

mode server
proto udp
port 1194
dev tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
server 172.16.1.0 255.255.255.0
keepalive 10 120
cipher AES-128-CBC
auth SHA1
comp-lzo
persist-tun
persist-key
verb 3
route 10.1.1.0 255.255.255.0
client-to-client
push "route 10.1.1.0 255.255.255.0"
tls-server
key-direction 0

Изменено 24 апреля, 2020 пользователем persona.ny

[keenet07]

18 минут назад, persona.ny сказал:

Подскажите что не так. Поднял сервер на кинетике. Вроде как с клиента (iOS) подключаюсь к серверу (кинетик) а получить доступ к nas (в локалке за кинетиком) не могу. Включая доступ к веб интерфейсу (по ip) кинетика и синологи. 

comp-lzo

Проверьте настройку компрессии LZO на клиенте. Либо должна быть и на клиенте и на сервере включена, либо и там и там выключена. Как вариант.

Изменено 24 апреля, 2020 пользователем keenet07

[kmgkidcx]

и там и там указан параметр

client
proto udp-client
remote ***.***.***.***
port 1194
dev tun 
resolv-retry infinite
nobind
remote-cert-tls server
auth SHA1
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
cipher AES-128-CBC
comp-lzo
persist-tun
persist-key
verb 3
tls-client
key-direction 1