CarTer Опубликовано 11 октября, 2013 (изменено) · Жалоба Подключение к серверу OpenVPN устанавливается, клиенту присваивается ip 10.8.0.6, ping на сервер по интерфейсам 10.8.0.1 и 192.168.0.1 проходит, но дальше сервера клиент ничего не видит (192.168.0.242). Происки по форумам помогли решить ее с помощью прописывания правила в iptables: iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Помогите решить проблему, не применяя ната. Локальная сеть 192.168.0.0/24 интернет подключение 84.53.1.1 конфиг сервера server.conf: port 1194 proto udp dev tun ca /etc/openvpn/key/ca.crt cert /etc/openvpn/key/server.crt key /etc/openvpn/key/server.key dh /etc/openvpn/key/dh1024.pem server 10.8.0.0 255.255.255.0 tls-server tls-auth /etc/openvpn/key/ta.key 0 tls-timeout 120 auth MD5 cipher BF-CBC keepalive 10 120 comp-lzo max-clients 50 user nobody group nogroup persist-key persist-tun client-to-client push "redirect-gateway" push "dhcp-option DNS 192.168.0.1" push "route 192.168.0.0 255.255.255.0" ifconfig-pool-persist /etc/openvpn/config/ipp.txt status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 3 Маршруты на сервере: Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.57 0.0.0.0 UG 0 0 0 eth1 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.115.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 Проверка forward cat /proc/sys/net/ipv4/ip_forward 1 На Windows клиенте файл конфигурации: client dev tun proto udp remote 10.115.200.1 port 1194 resolv-retry infinite persist-key persist-tun ca ca.crt cert antony.crt key antony.key tls-client tls-auth ta.key 1 auth MD5 cipher BF-CBC ns-cert-type server comp-lzo verb 3 route-method exe route-delay 2 Изменено 11 октября, 2013 пользователем CarTer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 октября, 2013 · Жалоба Подключение к серверу OpenVPN устанавливается, клиенту присваивается ip 10.8.0.6, ping на сервер по интерфейсам 10.8.0.1 и 192.168.0.1 проходит, но дальше сервера клиент ничего не видит (192.168.0.242). Происки по форумам помогли решить ее с помощью прописывания правила в iptables: iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Помогите решить проблему, не применяя ната. Локальная сеть 192.168.0.0/24 интернет подключение 84.53.1.1 Сервер должен быть шлюзом по умолчанию для клиентов из локалки которых вы пингуете. На клиентах фаер должен быть вырублен/настроен чтобы из 10 подсети пропускать пакеты. На сервере тоже в фаере должно быть разрешено хождение пакетов между подсетями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 11 октября, 2013 · Жалоба Я бы гланут табличку роутинга на вот этой машинке: 192.168.0.242 Знает ли она, что 10.8.0.6 надо срашивать на 192.168.0.1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CarTer Опубликовано 11 октября, 2013 · Жалоба FireWall на клиентах выключены, на сервере во всех правилах стоит ACCEPT на машине с ip 192.168.0.242 Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.242 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.255.0 On-link 192.168.0.242 266 192.168.0.242 255.255.255.255 On-link 192.168.0.242 266 192.168.0.255 255.255.255.255 On-link 192.168.0.242 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.0.242 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.0.242 266 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 октября, 2013 · Жалоба tcpdump в руки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CarTer Опубликовано 11 октября, 2013 · Жалоба Спасибо Ivan_83 за подсказку на счет дефолтного роута на компьютерах в сети (192.168.0.1). Прописал, и все работает без ната. Всех хороших выходных Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...