openvpn vs ssh
HolyBoy 19 декабря, 2007 - 22:15
Здравствуйте.
На тестовый сервер, стоящий внутри сети, был установлен openvpn сервер. Назначил ему 11194 порт для прослушивания. Проблема в том, что когда включаю /etc/init.d/openvpn start, то sshd не принимает почему-то входящие соединения, а текущие обрываются. iptables выключен. netstat показывает, что слушаются 11194 и 22 порты. lsmod нарисовал, что подгружен модуль net_filter и еще один (пишу по памяти, поэтому так неопределенно). Непонятно, почему они загружены, если iptables выключен. Чувствую, что проблема в этом.
Когда openvpn останавливаю, то спокойно коннекчусь к ssh без перезапуска оного.
В чем может быть проблема?
»
- Для комментирования войдите или зарегистрируйтесь
route после
route после запуска VPN. маршруты проверить.
Проблема
Проблема скорей всего в настройке впн сервера. По идее впн должен подменить сетевой интерфейс, чтоб сетевой трафик шел через защищенное соединение. Сталкивался с этим при настройке впнклиента cisco-vpnclient-3des.
Пытаюсь
Пытаюсь настроить по этой хаутушке. http://gentoo-wiki.com/HOWTO_OpenVPN_Linux_Server_Windows_Client
Структура директории с настройками:
/etc/openvpn рабочая директория, в ней лежит конфиг
/etc/openvpn/keys директория с ключами
Мой /etc/openvpn.conf
Поскольку пока я тестирую, то сервер имеет серый айпи.
routes перед запуском openvpn
а теперь после
Поскольку к ssh я соединяюсь через eth1, то возможно проблема именно в этом. Второй интерфейс пока не включал. Верно ли я понимаю, что для работы этого сервера необходимо иметь 2 сетевые карты, одна из которых будет смотреть во внешнюю сеть, а вторая в частную?
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu
Беда с маршрутизацией.
Насколько я понимаю, запрос к ssh серверу приходит на eth1, а вернуться пытается через tun0, т.е. через ВПН.
Зачем нужно eth1 и tun0 держать в одной подсети?
Сделал 2
Сделал 2 подсети на разных интерфейсах.
На виндовской машинке, которая находится в 192.168.1.0/24 впн клиент подцепился к сети 10.8.0.0/24 и получил айпи
ipconfig Настройка протокола IP для Windows ph - Ethernet адаптер: DNS-суффикс этого подключения . . : IP-адрес . . . . . . . . . . . . : 192.168.1.16 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.1.250 {13E59BDC-09E6-4ACA-B1F5-B82F98F65338} - Ethernet адаптер: DNS-суффикс этого подключения . . : IP-адрес . . . . . . . . . . . . : 10.8.0.6 Маска подсети . . . . . . . . . . : 255.255.255.252 Основной шлюз . . . . . . . . . . :Пинг на 10.8.0.1 (это айпи впн сервера) проходит, но на остальные компы из этой подсети, в частности на 10.8.0.12 - нет. На впн сервере выключен iptables. Что надо сделать, чтобы удаленная машина видела всю подсеть 10.8.0.0/24? Включать iptables и настраивать как обычно NAT?
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu
Похоже, что
Похоже, что читая все хаутушки, я окончательно запутался.
Итак, у меня есть некий компьютер-клиент (К) с произвольным адресом в сети (172.16.0.3).
Есть некая локальная сеть с диапазоном 192.168.1.0/24.
Есть сервер, который натит эту сеть в интернет. Естественно, у него 2 интерфейса
# ifconfig eth0 Link encap:Ethernet HWaddr 00:50:DA:BD:B8:40 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::250:daff:febd:b840/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:438 errors:0 dropped:0 overruns:0 frame:0 TX packets:168 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:55026 (53.7 Kb) TX bytes:18781 (18.3 Kb) Interrupt:17 Base address:0x4000 eth1 Link encap:Ethernet HWaddr 00:04:76:96:63:A2 inet addr:172.16.0.1 Bcast:172.16.0.255 Mask:255.255.255.0 inet6 addr: fe80::204:76ff:fe96:63a2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1460621 errors:0 dropped:0 overruns:1 frame:0 TX packets:91773 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:109055409 (104.0 Mb) TX bytes:8066985 (7.6 Mb) Interrupt:18 Base address:0x2000Также, в той сети есть компьютер 192.168.1.12, который можно, например, попинговать с сервера.
Поскольку аутенфикация проходит нормально, то я выложу кусок конфига сервера, который отвечает за сетевые настройки VPN:
А также файла ipp.txt:
client,192.168.1.4До включения VPN таблица маршрутов выглядит вот так
Клиентская часть на К заводится без проблем. Коннектится.
Получаю адрес 192.168.1.6
ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : WST016 Основной DNS-суффикс . . . . . . : ph.com Тип узла. . . . . . . . . . . . . : гибридный IP-маршрутизация включена . . . . : нет WINS-прокси включен . . . . . . . : нет ph - Ethernet адаптер: Состояние сети . . . . . . . . . : сеть отключена Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Fast Ethernet A dapter Физический адрес. . . . . . . . . : 00-50-70-13-00-4F {13E59BDC-09E6-4ACA-B1F5-B82F98F65338} - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 - Минипорт план ировщика пакетов Физический адрес. . . . . . . . . : 00-FF-13-E5-9B-DC Dhcp включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 192.168.1.6 Маска подсети . . . . . . . . . . : 255.255.255.252 Основной шлюз . . . . . . . . . . : DHCP-сервер . . . . . . . . . . . : 192.168.1.5 Аренда получена . . . . . . . . . : 25 декабря 2007 г. 15:43:22 Аренда истекает . . . . . . . . . : 24 декабря 2008 г. 15:43:22 linux - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI For Com plete PC Management NIC (3C905C-TX) Физический адрес. . . . . . . . . : 00-04-76-18-7F-21 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 172.16.0.3 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . :Пробую пинговать впн-сервер по внутреннему айпи:
ping 192.168.1.1 Обмен пакетами с 192.168.1.1 по 32 байт: Ответ от 192.168.1.1: число байт=32 время=1мс TTL=64 Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64 Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64 Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64 Статистика Ping для 192.168.1.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 1 мсек, Среднее = 0 мсекНо компьютер 192.168.1.12 не пингуется с сервера. Таблица маршрутов при этом такая:
Что надо сделать для того, чтобы увидеть сеть 192.168.1.0/24?
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu
Нельзя давать IP
Нельзя давать IP для VPN и для eth0 из одной подсети. Надо дать клиенту адрес 192.168.2.4, и разрешить хождение пакетов из 192.168.2.0 в 192.168.1.0. Можно также 192.168.1.* разбить на 2 подсети, но по-моему это не так наглядно.
Хорошо. Я
Хорошо. Я настроил впн-сеть как 10.10.0.0. Теперь, таблица маршрутов вот такая
и с сервера можно попинговать 192.168.1.12, но с клиентского уже нельзя попинговать ни 192.168.1.1, ни 192.168.1.12. Оно и понятно, т.к. таблица маршрутов на нем вот такая:
>route print =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x2 ...00 50 70 13 00 4f ...... VIA VT6105 Rhine III Fast Ethernet Adapter - ╠шэ шяюЁЄ яырэшЁют∙шър яръхЄют 0x10004 ...00 ff 13 e5 9b dc ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют 0x10005 ...00 04 76 18 7f 21 ...... 3Com EtherLink XL 10/100 PCI For Complete PC Management NIC (3C905C-TX) - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 10.10.0.4 255.255.255.252 10.10.0.6 10.10.0.6 30 10.10.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.10.0.6 10.10.0.6 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.16.0.0 255.255.255.0 172.16.0.3 172.16.0.3 20 172.16.0.3 255.255.255.255 127.0.0.1 127.0.0.1 20 172.16.255.255 255.255.255.255 172.16.0.3 172.16.0.3 20 224.0.0.0 240.0.0.0 10.10.0.6 10.10.0.6 30 224.0.0.0 240.0.0.0 172.16.0.3 172.16.0.3 20 255.255.255.255 255.255.255.255 10.10.0.6 10.10.0.6 1 255.255.255.255 255.255.255.255 10.10.0.6 2 1 255.255.255.255 255.255.255.255 172.16.0.3 172.16.0.3 1 =========================================================================== Постоянные маршруты: ОтсутствуетЕсли я правильно тебя понял, то надо в винде указать маршрут из 10.10.0.0/24 к 192.168.1.0/24.
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu
>Если я
>Если я правильно тебя понял, то надо в винде указать маршрут из 10.10.0.0/24 к 192.168.1.0/24.
Вобщем да. Добавь в винду постоянный маршрут к 192.168.1.0 через шлюз 10.10.0.2. При этом сервер должен разрешать прохождение пакетов из 10.10.0.0 в 192.168.1.0 и обратно.