OpenVPN - трафик не идет через тоннель

Вопросы по работе дополнительного ПО, которое можно поставить самому.

Модератор: Art.i

OpenVPN - трафик не идет через тоннель

Сообщение ivan2007 » Чт авг 25, 2011 3:32 pm

Настраиваю по мануалу http://forum.firstvds.ru/viewtopic.php?t=6545

Настройки сервера:
Код: выделить все
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
log /var/log/openvpn.log
push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"


Настройки клиента:
Код: выделить все
client
dev tun
proto udp
remote 62.109.23.** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client01.crt
key client01.key
comp-lzo
verb 3
route-method exe
route-delay 2


Клиент устанавливает соединени с сервером:
Код: выделить все
Thu Aug 25 23:09:29 2011 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul  1 2011
Thu Aug 25 23:09:29 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Aug 25 23:09:29 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug 25 23:09:30 2011 LZO compression initialized
Thu Aug 25 23:09:30 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Aug 25 23:09:30 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Aug 25 23:09:30 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug 25 23:09:30 2011 Local Options hash (VER=V4): '41690919'
Thu Aug 25 23:09:30 2011 Expected Remote Options hash (VER=V4): '530fdded'
Thu Aug 25 23:09:30 2011 UDPv4 link local: [undef]
Thu Aug 25 23:09:30 2011 UDPv4 link remote: 62.109.23.92:1194
Thu Aug 25 23:09:31 2011 TLS: Initial packet from 62.109.23.92:1194, sid=7f3f1b5e af14cefc
Thu Aug 25 23:09:34 2011 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=Fort-Funston_CA/emailAddress=me@myhost.mydomain
Thu Aug 25 23:09:34 2011 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=server/emailAddress=me@myhost.mydomain
Thu Aug 25 23:09:36 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug 25 23:09:36 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 25 23:09:36 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug 25 23:09:36 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 25 23:09:36 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Aug 25 23:09:36 2011 [server] Peer Connection Initiated with 62.109.23.92:1194
Thu Aug 25 23:09:38 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Aug 25 23:09:38 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Thu Aug 25 23:09:38 2011 OPTIONS IMPORT: timers and/or timeouts modified
Thu Aug 25 23:09:38 2011 OPTIONS IMPORT: --ifconfig/up options modified
Thu Aug 25 23:09:38 2011 OPTIONS IMPORT: route options modified
Thu Aug 25 23:09:38 2011 ROUTE default_gateway=192.168.0.101
Thu Aug 25 23:09:38 2011 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{18C29591-1420-490E-9786-2D1FA9B83535}.tap
Thu Aug 25 23:09:38 2011 TAP-Win32 Driver Version 9.8
Thu Aug 25 23:09:38 2011 TAP-Win32 MTU=1500
Thu Aug 25 23:09:38 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {18C29591-1420-490E-9786-2D1FA9B83535} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Thu Aug 25 23:09:38 2011 Successful ARP Flush on interface [33] {18C29591-1420-490E-9786-2D1FA9B83535}
Thu Aug 25 23:09:41 2011 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Thu Aug 25 23:09:41 2011 D:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
 OK
Thu Aug 25 23:09:41 2011 Initialization Sequence Completed


Таблица маршрутизации клиента при установленном OpenVPN соединении:
Код: выделить все
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.0.101      192.168.0.1     26
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     31
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    286
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    286
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link       192.168.0.1    281
      192.168.0.1  255.255.255.255         On-link       192.168.0.1    281
    192.168.0.255  255.255.255.255         On-link       192.168.0.1    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.0.1    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.0.1    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    286
===========================================================================
Постоянные маршруты:
  Отсутствует


Трафик идет через прова, а не через тоннель.
Что я делаю неправильно?
ivan2007
 
Сообщений: 3
Зарегистрирован: Чт авг 25, 2011 2:58 pm

Re: OpenVPN - трафик не идет через тоннель

Сообщение tont » Чт авг 25, 2011 8:33 pm

Можно попробовать два способа:
1) Заменить
Код: выделить все
push "redirect-gateway"
на
Код: выделить все
push "redirect-gateway def1"
. Не факт что поможет.
2) (как сделано у меня) - в конфиге клиента добавить
Код: выделить все
redirect-gateway def1
tont
 
Сообщений: 325
Зарегистрирован: Сб фев 24, 2007 8:07 pm
Откуда: г. Хизаши Мухосранской области

Re: OpenVPN - трафик не идет через тоннель

Сообщение ls » Пт авг 26, 2011 3:09 pm

С правами админа openvpn клиент запускаете (при клике по нему правой кнопкой выбрать с правами администратора)? Возможно что нет, вот роутинг на windows и не переписывается
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: OpenVPN - трафик не идет через тоннель

Сообщение ivan2007 » Пн авг 29, 2011 2:44 pm

Только сейчас заметил две проблемы при настройке OpenVPN на сервере:

1) При выполнении команды
Код: выделить все
/sbin/iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE

получаю сообщение
Код: выделить все
iptables: No chain/target/match by that name


2) В /etc/rc.local прописал
Код: выделить все
/sbin/iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE
/sbin/iptables -A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT

но при перезагрузке эти команды не выполняются.

В чем проблема?
ivan2007
 
Сообщений: 3
Зарегистрирован: Чт авг 25, 2011 2:58 pm

Re: OpenVPN - трафик не идет через тоннель

Сообщение ls » Пн авг 29, 2011 3:50 pm

Напишите в поддержку чтобы включили NAT для вашего VDS, включим, если он был ранее то мог слететь, поправим.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: OpenVPN - трафик не идет через тоннель

Сообщение ivan2007 » Ср авг 31, 2011 4:09 pm

Все заработало. Спасибо.

Подскажите еще по такому вопросу:
Заказал для сервера дополнительный IP. Что нужно прописать чтобы можно было подключаться через этот IP и соответственно чтобы траф тоже шел через него. Т.е. у сервера два IP (например 10.10.10.1 и 10.10.10.2). Если OpenVPN клиент подключается через 10.10.10.1, то траф должен идти через 10.10.10.1, а при подключении через 10.10.10.2, через 10.10.10.2
ivan2007
 
Сообщений: 3
Зарегистрирован: Чт авг 25, 2011 2:58 pm

Re: OpenVPN - трафик не идет через тоннель

Сообщение ls » Ср авг 31, 2011 5:29 pm

Почитайте документацию по настройке NAT, можно настроить iptables так чтобы в зависимости от исходного адреса он отNATчивался в соответствующий реальный адрес.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS


Вернуться в Дополнительные программы

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1