Jump to content

OpenVPN - недоступна подсеть за клиентом


Recommended Posts

5 часов назад, r13 сказал:

Угу, тогда дальше firewall остается.

там все разрешено. на других вкладках аналогичная картина.

image.png.09a97a3f679a8e5fa2b442768afdcfea.png

Edited by Сергей Романов
Link to comment
Share on other sites

  • 1 year later...

Друзья привет! Нужна помощь.

Как пробросить извне (с WAN) доступ к подсети за OpenVPN-клиентом? Подробнее:

OpenVPN-сервер (10.8.0.1 и подсеть за ним 192.168.1.0), OpenVPN-клиент (10.8.0.3 и подсеть за ним 192.168.10.0). Не получается настроить проброс извне (с WAN-порта), в подсеть клиента OpenVPN (192.168.10.2) порта 33445.

Машины подсети сервера OpenVPN и подсети клиента OpenVPN друг друга видят, пакеты ходят.

Подскажите что делаю не так?

ЗЫ. 192.168.10.0 - имеет свой выход в интернет (за серым ip), через vpn только внутренние рессурсы. 

Link to comment
Share on other sites

  • 4 weeks later...

Дополню: что странно, из сети за OpenVPN-сервером - 192.168.1.0 - доступ к подсети за OpenVPN-клиентом (а именно по домену home.wan-ip.com.ua) на порт 33445 есть и камеры (все ради этого делается) - работают. А из вне (к примеру по LTE) по home.wan-ip.com.ua на порт 33445 - не работает.

На внешнем интерфейсе в межсетевом экране стоит "разрешить" "все" если порт назначения 33445.

Link to comment
Share on other sites

1 minute ago, St@lker said:

Дополню: что странно, из сети за OpenVPN-сервером - 192.168.1.0 - доступ к подсети за OpenVPN-клиентом (а именно по домену home.wan-ip.com.ua) на порт 33445 есть и камеры (все ради этого делается) - работают. А из вне (к примеру по LTE) по home.wan-ip.com.ua на порт 33445 - не работает.

На внешнем интерфейсе в межсетевом экране стоит "разрешить" "все" если порт назначения 33445.

А у вас на ЛТЕ белый айпиадрес?

Link to comment
Share on other sites

2 minutes ago, Pablo said:

А у вас на ЛТЕ белый айпиадрес?

Нет. Разницы как бы нет. То есть маршрут следующий (если это LTE): Серый ip клиентского устройства, по dns-имени ломится на home.wan-ip.com.ua:33445, попадает на WAN (белый ip) порт моего Keenetic KN-1010, на котором указано что все что прилетает на порт 33445 должно быть завернуто на 192.168.10.2 (подсеть VPN-клиента). Так вот из подсети 192.168.1.0 - все работает (по dns-имени в т.ч.).

Link to comment
Share on other sites

192.168.1.х это один интерфейс подсети, а ЛТЕ это другой интерфейс подсети?

Если так, то вопрос в маршрутизации на этот лте интерфейс.

Link to comment
Share on other sites

  • 2 weeks later...

Доброго времени суток, тоже уже устал и сломал голову в подборе конфигурации для того что бы работали нормально ping сети расположенной за клиентами, что только уже не попробовал, прошу помогите разобраться...

Подключение к кинетику идет со стороны обычных клиентов с установленными ПО (OpenVPN) сети у которых могут быть разными, поэтому определить их и задать в конфигураторе заранее не представляется возможным, собственно вариант либо указывать 0.0.0.0 255.255.255.0 либо 192.168.0.0 255.255.255.0 Сеть за Kinetic 192.168.10.0/24. 

На сегодня получается установить соединение и работают службы rdp или web однако пинги до устройств не проходят (например что бы шару замапить). Пинги проходят только до шлюза домашней сети 192.168.10.1. Может это по тому что у меня настроен DHCP Relay на внутренний доменный сервер 192.168.10.100 ? Идея была еще и в том что бы клиенты по vpn видели DNS сервер домена и могли обращаться к клиентам в сети не только по ip но и по имени как привыкли пользователи, но пока не получилось.

Если соединение конфигурировать тупо точка точка без сертификатов, то все нормально работает, а вот с сертификатами не-а (

Прикладываю сюда конфиги

Сервер

port 5190
proto udp
tls-server
dev tun
;ifconfig-pool-persist /storage/ipp.txt
client-config-dir /storage
server 10.7.0.0 255.255.255.0
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
client-to-client
topology subnet
;comp-lzo yes
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
mute 20


 

На сторадже 

iroute 192.168.0.0 255.255.255.0

 

Клиент


client
dev tun
proto udp
remote 95.84.137.242 5190
resolv-retry infinite
nobind
keepalive 10 120
persist-key
persist-tun
verb 3
;comp-lzo
cipher AES-256-CBC
route 192.168.10.0 255.255.255.0

Марщруты, как то криво вставляются

{ "route": [ { "destination": "0.0.0.0/0", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Guest", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN0", "metric": 0, "proto": "kernel", "floating": true }, { "destination": "77.37.251.33/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "77.37.255.30/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "94.25.177.171/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.84.136.0/23", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "95.84.155.108/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.181.210.8/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.0.0/24", "gateway": "192.168.255.2", "interface": "OpenVPN1", "metric": 0, "proto": "boot", "floating": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.255.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN1", "metric": 0, "proto": "kernel", "floating": true } ], "prompt": "(config)" }

Все правила на ICMP открыты на всех интерфейсах от всех источников во все источники

Вообще не понимаю что не так делаю, прошу помогите разобраться

Снимок экрана 2020-04-06 в 21.43.36.png

Снимок экрана 2020-04-06 в 21.51.12.png

Снимок экрана 2020-04-06 в 21.51.25.png

Снимок экрана 2020-04-06 в 21.51.36.png

Edited by Kirill Belugin
загрузка скриншотов
Link to comment
Share on other sites

2 hours ago, Kirill Belugin said:

Доброго времени суток, тоже уже устал и сломал голову в подборе конфигурации для того что бы работали нормально ping сети расположенной за клиентами, что только уже не попробовал, прошу помогите разобраться...

Подключение к кинетику идет со стороны обычных клиентов с установленными ПО (OpenVPN) сети у которых могут быть разными, поэтому определить их и задать в конфигураторе заранее не представляется возможным, собственно вариант либо указывать 0.0.0.0 255.255.255.0 либо 192.168.0.0 255.255.255.0 Сеть за Kinetic 192.168.10.0/24. 

На сегодня получается установить соединение и работают службы rdp или web однако пинги до устройств не проходят (например что бы шару замапить). Пинги проходят только до шлюза домашней сети 192.168.10.1. Может это по тому что у меня настроен DHCP Relay на внутренний доменный сервер 192.168.10.100 ? Идея была еще и в том что бы клиенты по vpn видели DNS сервер домена и могли обращаться к клиентам в сети не только по ip но и по имени как привыкли пользователи, но пока не получилось.

Если соединение конфигурировать тупо точка точка без сертификатов, то все нормально работает, а вот с сертификатами не-а (

Прикладываю сюда конфиги

Сервер


port 5190
proto udp
tls-server
dev tun
;ifconfig-pool-persist /storage/ipp.txt
client-config-dir /storage
server 10.7.0.0 255.255.255.0
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
client-to-client
topology subnet
;comp-lzo yes
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
mute 20


 

На сторадже 


iroute 192.168.0.0 255.255.255.0

 

Клиент



client
dev tun
proto udp
remote 95.84.137.242 5190
resolv-retry infinite
nobind
keepalive 10 120
persist-key
persist-tun
verb 3
;comp-lzo
cipher AES-256-CBC
route 192.168.10.0 255.255.255.0

Марщруты, как то криво вставляются


{ "route": [ { "destination": "0.0.0.0/0", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Guest", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN0", "metric": 0, "proto": "kernel", "floating": true }, { "destination": "77.37.251.33/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "77.37.255.30/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "94.25.177.171/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.84.136.0/23", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "95.84.155.108/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "95.181.210.8/32", "gateway": "95.84.136.1", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.0.0/24", "gateway": "192.168.255.2", "interface": "OpenVPN1", "metric": 0, "proto": "boot", "floating": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.255.0/24", "gateway": "0.0.0.0", "interface": "OpenVPN1", "metric": 0, "proto": "kernel", "floating": true } ], "prompt": "(config)" }

Все правила на ICMP открыты на всех интерфейсах от всех источников во все источники

Вообще не понимаю что не так делаю, прошу помогите разобраться

Снимок экрана 2020-04-06 в 21.43.36.png

Снимок экрана 2020-04-06 в 21.51.12.png

Снимок экрана 2020-04-06 в 21.51.25.png

Снимок экрана 2020-04-06 в 21.51.36.png

UPD:

Проблема оказалась на стороне клиента (сервер с виртуальными машинами) на который я старался подключиться, на нем стоял каспер в котором по умолчанию отключены icmp пакеты такого рода.

Проблему с DHCp и DNS решил добавлением в конфигурацию сервера след. команд

push "dhcp-option DOMAIN intr.tech"
push "dhcp-option DNS 192.168.10.100"
push "dhcp-option DHCP 192.168.10.100"

в общем может кому будет полезен мой пост

ну или кто сочтет добавит что то полезное, тоже буду признателен.

Link to comment
Share on other sites

  • 3 weeks later...

Подскажите что не так. Поднял сервер на кинетике. Вроде как с клиента (iOS) подключаюсь к серверу (кинетик) а получить доступ к nas (в локалке за кинетиком) не могу. Включая доступ к веб интерфейсу (по ip) кинетика и синологи. 

Конфиг сервера

mode server
proto udp
port 1194
dev tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
server 172.16.1.0 255.255.255.0
keepalive 10 120
cipher AES-128-CBC
auth SHA1
comp-lzo
persist-tun
persist-key
verb 3
route 10.1.1.0 255.255.255.0
client-to-client
push "route 10.1.1.0 255.255.255.0"
tls-server
key-direction 0

Edited by persona.ny
Link to comment
Share on other sites

18 минут назад, persona.ny сказал:

Подскажите что не так. Поднял сервер на кинетике. Вроде как с клиента (iOS) подключаюсь к серверу (кинетик) а получить доступ к nas (в локалке за кинетиком) не могу. Включая доступ к веб интерфейсу (по ip) кинетика и синологи. 

comp-lzo

Проверьте настройку компрессии LZO на клиенте. Либо должна быть и на клиенте и на сервере включена, либо и там и там выключена. Как вариант.

Edited by keenet07
Link to comment
Share on other sites

и там и там указан параметр

client
proto udp-client
remote ***.***.***.***
port 1194
dev tun 
resolv-retry infinite
nobind
remote-cert-tls server
auth SHA1
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
cipher AES-128-CBC
comp-lzo
persist-tun
persist-key
verb 3
tls-client
key-direction 1

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...