Сергей Романов Posted November 26, 2018 Share Posted November 26, 2018 (edited) 5 часов назад, r13 сказал: Угу, тогда дальше firewall остается. там все разрешено. на других вкладках аналогичная картина. Edited November 26, 2018 by Сергей Романов Quote Link to comment Share on other sites More sharing options...
Сергей Романов Posted November 29, 2018 Share Posted November 29, 2018 разобрались ))) виндовый фаервол гасил пакеты с другой сети ... Quote Link to comment Share on other sites More sharing options...
St@lker Posted February 27, 2020 Share Posted February 27, 2020 Друзья привет! Нужна помощь. Как пробросить извне (с WAN) доступ к подсети за OpenVPN-клиентом? Подробнее: OpenVPN-сервер (10.8.0.1 и подсеть за ним 192.168.1.0), OpenVPN-клиент (10.8.0.3 и подсеть за ним 192.168.10.0). Не получается настроить проброс извне (с WAN-порта), в подсеть клиента OpenVPN (192.168.10.2) порта 33445. Машины подсети сервера OpenVPN и подсети клиента OpenVPN друг друга видят, пакеты ходят. Подскажите что делаю не так? ЗЫ. 192.168.10.0 - имеет свой выход в интернет (за серым ip), через vpn только внутренние рессурсы. Quote Link to comment Share on other sites More sharing options...
St@lker Posted March 24, 2020 Share Posted March 24, 2020 Дополню: что странно, из сети за OpenVPN-сервером - 192.168.1.0 - доступ к подсети за OpenVPN-клиентом (а именно по домену home.wan-ip.com.ua) на порт 33445 есть и камеры (все ради этого делается) - работают. А из вне (к примеру по LTE) по home.wan-ip.com.ua на порт 33445 - не работает. На внешнем интерфейсе в межсетевом экране стоит "разрешить" "все" если порт назначения 33445. Quote Link to comment Share on other sites More sharing options...
Pablo Posted March 24, 2020 Author Share Posted March 24, 2020 1 minute ago, St@lker said: Дополню: что странно, из сети за OpenVPN-сервером - 192.168.1.0 - доступ к подсети за OpenVPN-клиентом (а именно по домену home.wan-ip.com.ua) на порт 33445 есть и камеры (все ради этого делается) - работают. А из вне (к примеру по LTE) по home.wan-ip.com.ua на порт 33445 - не работает. На внешнем интерфейсе в межсетевом экране стоит "разрешить" "все" если порт назначения 33445. А у вас на ЛТЕ белый айпиадрес? Quote Link to comment Share on other sites More sharing options...
St@lker Posted March 24, 2020 Share Posted March 24, 2020 2 minutes ago, Pablo said: А у вас на ЛТЕ белый айпиадрес? Нет. Разницы как бы нет. То есть маршрут следующий (если это LTE): Серый ip клиентского устройства, по dns-имени ломится на home.wan-ip.com.ua:33445, попадает на WAN (белый ip) порт моего Keenetic KN-1010, на котором указано что все что прилетает на порт 33445 должно быть завернуто на 192.168.10.2 (подсеть VPN-клиента). Так вот из подсети 192.168.1.0 - все работает (по dns-имени в т.ч.). Quote Link to comment Share on other sites More sharing options...
Pablo Posted March 24, 2020 Author Share Posted March 24, 2020 192.168.1.х это один интерфейс подсети, а ЛТЕ это другой интерфейс подсети? Если так, то вопрос в маршрутизации на этот лте интерфейс. Quote Link to comment Share on other sites More sharing options...
Kirill Belugin Posted April 6, 2020 Share Posted April 6, 2020 (edited) Доброго времени суток, тоже уже устал и сломал голову в подборе конфигурации для того что бы работали нормально ping сети расположенной за клиентами, что только уже не попробовал, прошу помогите разобраться... Подключение к кинетику идет со стороны обычных клиентов с установленными ПО (OpenVPN) сети у которых могут быть разными, поэтому определить их и задать в конфигураторе заранее не представляется возможным, собственно вариант либо указывать 0.0.0.0 255.255.255.0 либо 192.168.0.0 255.255.255.0 Сеть за Kinetic 192.168.10.0/24. На сегодня получается установить соединение и работают службы rdp или web однако пинги до устройств не проходят (например что бы шару замапить). Пинги проходят только до шлюза домашней сети 192.168.10.1. Может это по тому что у меня настроен DHCP Relay на внутренний доменный сервер 192.168.10.100 ? Идея была еще и в том что бы клиенты по vpn видели DNS сервер домена и могли обращаться к клиентам в сети не только по ip но и по имени как привыкли пользователи, но пока не получилось. Если соединение конфигурировать тупо точка точка без сертификатов, то все нормально работает, а вот с сертификатами не-а ( Прикладываю сюда конфиги Сервер port 5190 proto udp tls-server dev tun ;ifconfig-pool-persist /storage/ipp.txt client-config-dir /storage server 10.7.0.0 255.255.255.0 route 192.168.0.0 255.255.255.0 push "route 192.168.0.0 255.255.255.0" push "route 192.168.10.0 255.255.255.0" client-to-client topology subnet ;comp-lzo yes cipher AES-256-CBC keepalive 10 120 persist-key persist-tun verb 3 mute 20 На сторадже iroute 192.168.0.0 255.255.255.0 Клиент client dev tun proto udp remote 95.84.137.242 5190 resolv-retry infinite nobind keepalive 10 120 persist-key persist-tun verb 3 ;comp-lzo cipher AES-256-CBC route 192.168.10.0 255.255.255.0 Марщруты, как то криво вставляются { "route": [ { "destination": "0.0.0.0/0", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Guest", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN0", "metric": 0, "proto": "kernel", "floating": true }, { "destination": "77.37.251.33/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "77.37.255.30/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "94.25.177.171/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.84.136.0/23", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "95.84.155.108/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.181.210.8/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.0.0/24", "gateway": "192.168.255.2", "interface": "OpenVPN1", "metric": 0, "proto": "boot", "floating": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.255.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN1", "metric": 0, "proto": "kernel", "floating": true } ], "prompt": "(config)" } Все правила на ICMP открыты на всех интерфейсах от всех источников во все источники Вообще не понимаю что не так делаю, прошу помогите разобраться Edited April 6, 2020 by Kirill Belugin загрузка скриншотов Quote Link to comment Share on other sites More sharing options...
Kirill Belugin Posted April 6, 2020 Share Posted April 6, 2020 2 hours ago, Kirill Belugin said: Доброго времени суток, тоже уже устал и сломал голову в подборе конфигурации для того что бы работали нормально ping сети расположенной за клиентами, что только уже не попробовал, прошу помогите разобраться... Подключение к кинетику идет со стороны обычных клиентов с установленными ПО (OpenVPN) сети у которых могут быть разными, поэтому определить их и задать в конфигураторе заранее не представляется возможным, собственно вариант либо указывать 0.0.0.0 255.255.255.0 либо 192.168.0.0 255.255.255.0 Сеть за Kinetic 192.168.10.0/24. На сегодня получается установить соединение и работают службы rdp или web однако пинги до устройств не проходят (например что бы шару замапить). Пинги проходят только до шлюза домашней сети 192.168.10.1. Может это по тому что у меня настроен DHCP Relay на внутренний доменный сервер 192.168.10.100 ? Идея была еще и в том что бы клиенты по vpn видели DNS сервер домена и могли обращаться к клиентам в сети не только по ip но и по имени как привыкли пользователи, но пока не получилось. Если соединение конфигурировать тупо точка точка без сертификатов, то все нормально работает, а вот с сертификатами не-а ( Прикладываю сюда конфиги Сервер port 5190 proto udp tls-server dev tun ;ifconfig-pool-persist /storage/ipp.txt client-config-dir /storage server 10.7.0.0 255.255.255.0 route 192.168.0.0 255.255.255.0 push "route 192.168.0.0 255.255.255.0" push "route 192.168.10.0 255.255.255.0" client-to-client topology subnet ;comp-lzo yes cipher AES-256-CBC keepalive 10 120 persist-key persist-tun verb 3 mute 20 На сторадже iroute 192.168.0.0 255.255.255.0 Клиент client dev tun proto udp remote 95.84.137.242 5190 resolv-retry infinite nobind keepalive 10 120 persist-key persist-tun verb 3 ;comp-lzo cipher AES-256-CBC route 192.168.10.0 255.255.255.0 Марщруты, как то криво вставляются { "route": [ { "destination": "0.0.0.0/0", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Guest", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN0", "metric": 0, "proto": "kernel", "floating": true }, { "destination": "77.37.251.33/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "77.37.255.30/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "94.25.177.171/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.84.136.0/23", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "95.84.155.108/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.181.210.8/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.0.0/24", "gateway": "192.168.255.2", "interface": "OpenVPN1", "metric": 0, "proto": "boot", "floating": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.255.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN1", "metric": 0, "proto": "kernel", "floating": true } ], "prompt": "(config)" } Все правила на ICMP открыты на всех интерфейсах от всех источников во все источники Вообще не понимаю что не так делаю, прошу помогите разобраться UPD: Проблема оказалась на стороне клиента (сервер с виртуальными машинами) на который я старался подключиться, на нем стоял каспер в котором по умолчанию отключены icmp пакеты такого рода. Проблему с DHCp и DNS решил добавлением в конфигурацию сервера след. команд push "dhcp-option DOMAIN intr.tech" push "dhcp-option DNS 192.168.10.100" push "dhcp-option DHCP 192.168.10.100" в общем может кому будет полезен мой пост ну или кто сочтет добавит что то полезное, тоже буду признателен. Quote Link to comment Share on other sites More sharing options...
kmgkidcx Posted April 24, 2020 Share Posted April 24, 2020 (edited) Подскажите что не так. Поднял сервер на кинетике. Вроде как с клиента (iOS) подключаюсь к серверу (кинетик) а получить доступ к nas (в локалке за кинетиком) не могу. Включая доступ к веб интерфейсу (по ip) кинетика и синологи. Конфиг сервера mode server proto udp port 1194 dev tun tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 server 172.16.1.0 255.255.255.0 keepalive 10 120 cipher AES-128-CBC auth SHA1 comp-lzo persist-tun persist-key verb 3 route 10.1.1.0 255.255.255.0 client-to-client push "route 10.1.1.0 255.255.255.0" tls-server key-direction 0 Edited April 24, 2020 by persona.ny Quote Link to comment Share on other sites More sharing options...
keenet07 Posted April 24, 2020 Share Posted April 24, 2020 (edited) 18 минут назад, persona.ny сказал: Подскажите что не так. Поднял сервер на кинетике. Вроде как с клиента (iOS) подключаюсь к серверу (кинетик) а получить доступ к nas (в локалке за кинетиком) не могу. Включая доступ к веб интерфейсу (по ip) кинетика и синологи. comp-lzo Проверьте настройку компрессии LZO на клиенте. Либо должна быть и на клиенте и на сервере включена, либо и там и там выключена. Как вариант. Edited April 24, 2020 by keenet07 Quote Link to comment Share on other sites More sharing options...
kmgkidcx Posted April 24, 2020 Share Posted April 24, 2020 и там и там указан параметр client proto udp-client remote ***.***.***.*** port 1194 dev tun resolv-retry infinite nobind remote-cert-tls server auth SHA1 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 cipher AES-128-CBC comp-lzo persist-tun persist-key verb 3 tls-client key-direction 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.