OpenVPN, нет доступа к сети за сервером.

zl0dey4eg · 13.11.2013, 16:31

Как я не люблю признаваться в собственном бессилии, но уже нет мочи

Поставил сам себе задачу - организовать доступ во внутреннюю сеть конторы из дома, для управления компами по RDP и доступа к внутренним ресурсам.
Решить эту задачу с помощью pptp не представляется возможным из за "параноидальности" домашнего провайдера (режит GRE), решил попробовать OpenVPN.
И ... о чудо, оно работает, но ... доступ есть только к серверу-шлюзу (10.8.0.1 и 192.168.20.200), а вот дальше ни в какую.

Я конечно понимаю, что "сам дурак" и что то делаю не так, но не могу (уже неделю) понять, в каком месте.

Описание сети
VPN установлен на сервере Ubuntu Linux, который является основным шлюзом для выхода в интернет внутренней сети конторы. На шлюзе включен NAT и фильтрация трафика средствами iptables.
Интерфейсы шлюза
eth0 - белый IP, смотрит в интернет 111.111.111.238
eth1 - внутренний, 192.168.20.200
tun0 - openvpn, 10.8.0.1

конфиг openvpn сервера(последняя, на данный момент)

Код:

#############################
# OpenVPN 2.0 config file         #
#############################
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.20.0 255.255.0.0 10.8.0.1"
push "dhcp-option DNS 10.8.0.1"
client-to-client
client-config-dir /etc/openvpn/ccd

keepalive 10 120
comp-lzo
max-clients 10
;user nobody
;group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  /var/log/openvpn.log
verb 3
mute 10

route -n

Код:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
111.111.111.236  0.0.0.0         255.255.255.252 U     0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         111.111.111.237  0.0.0.0         UG    100    0        0 eth0

если еще что то надо, выложу.

Need HELP!

**Keper** · 13.11.2013, 16:58

sudo iptables -t nat -A POSTROUTING ! -s 192.168.20.200 -o eth1 -j SNAT --to 192.168.20.200

zl0dey4eg · 13.11.2013, 20:39

Keper, еще раз СПАСИБО!!!

это помогло решить проблему

Цитата (Keper) »

iptables -t nat -A POSTROUTING ! -s 192.168.20.200 -o eth1 -j SNAT --to 192.168.20.200

пойду заново перечитывать "Эви Немет'a"

Цитата (Smirnoff) »

Я же сразу сказал: пинай ТП своего "провайдера"...

дык из кафешки проверял потому, что второго выхода в инет нету, а на EDGE медленно
нужен был "чистый эксперимент"

**Keper** · 13.11.2013, 23:35

zl0dey4eg
всегда пожалуйста. Только задумываешься, а нафига мне такое знать, если так редко пригождается.

Smirnoff · 14.11.2013, 11:01

Цитата (Keper) »

а нафига мне такое знать, если так редко пригождается

Ну, положим, у меня с фрёй такая же проблема: настроил, оно годами работает, и всё успевает напрочь забыться к тому моменту, когда ещё кому-то нужно опять роутер настроить...

BTW: Без денег никак не хочешь объяснять суть загадочного правила для iptables? Или это вообще в чистом виде непонятное тебе самому "шаманство"?..

**Keper** · 14.11.2013, 11:50

Smirnoff
это такая фишка линуксоидов: никогда ничего не объяснять) может, потому что и сам не всегда понимаешь как оно заработало.
Вкратце: так же как и при настройке роутера, нужно делать маскарадинг для внешнего интерфейса, так и тут его приходится делать для внутреннего.

zl0dey4eg · 13.11.2013, 17:09

Keper, а можно для "особо одаренных" пояснить, что к чему?

**Keper** · 13.11.2013, 17:12

zl0dey4eg
нет, это уже платная услуга))
Правило легко удаляется повторной командой, но с заменой ключа -A на -D.

Попробуй, эт я с ходу написал) - в похожем случае помогло.

zl0dey4eg · 13.11.2013, 17:25

Цитата (Keper) »

нет, это уже платная услуга))

вот блин

Цитата (Keper) »

Правило легко удаляется повторной командой, но с заменой ключа -A на -D.

да это то как раз не проблема

проблема в том, что бы "понимать", что пишешь

PS: после применения правила перестала отправляться почта (удаленный SMPT сервер)

Smirnoff · 13.11.2013, 17:42

Цитата (zl0dey4eg) »

из за "параноидальности" домашнего провайдера (режит GRE)

Мой личный опыт показывает, что дело не в "параноидальности", а вовсе в банальной некомпетентности админов - они забывают (либо вовсе не умеют

) прописать правила маршрутизации GRE-пакетов в своих роутерах на Линуксах.
Естественно, серьёзные провайдеры так не косячат, но вот пару лет назад пришлось добираться до админов одного "типа провайдера" и объяснять им, что я о них думаю; буквально через пару часов клиенты с удалённой площадки через этого провайдера легко связались с моим центральным сервером - так что ты попробуй с техподдержкой своей пообщаться...

zl0dey4eg · 13.11.2013, 17:49

Цитата (Smirnoff) »

не в "параноидальности", а вовсе в банальной некомпетентности админов

Олег, мы с вами уже как то дискутировали на эту тему.

это реальная паранойя!!!
там кроме GRE еще куча всего порезано и закрыто

Smirnoff · 13.11.2013, 17:51

Цитата (zl0dey4eg) »

кроме GRE еще куча всего порезано и закрыто

Ну купи уже себе домой "белый IP" - тогда что-то "резать" у них просто не будет прАва...

zl0dey4eg · 13.11.2013, 17:56

Цитата (Keper) »

Но всё же вероятно, что таки nat надо ковырять.

походу уже не придется

проверил с android-клиента через бесплатный Wi-Fi из соседнего кафе - пинги пошли, есть доступ к smb ресурсам

Еще из дома проверю, вечерком отпишусь!
Спасибо за помощь!!!

Цитата (Smirnoff) »

Ну купи уже себе домой "белый IP"

пытался!
"у вас не достаточно средств на счете"

хотя было в два раза больше, чем стоит эта услуга

так что ... OpenVPN наше всё (пока провайдера не поменяю)

**Keper** · 13.11.2013, 18:01

Цитата (Smirnoff) »

Ну купи уже себе домой "белый IP"

большинство "физикам" белые отказываются продавать. Хотя у нас есть один провайдер мелкий, дают белые за просто так, но сколько такая халява пробудет, не известно.

Smirnoff · 13.11.2013, 18:05

Цитата (Keper) »

большинство "физикам" белые отказываются продавать

Надо ставить вопрос ребром: или настраивайте нормально маршрутизацию у себя, или уже давайте "белый IP"!

Добавлено через 37 секунд

Цитата (zl0dey4eg) »

проверил с android-клиента через бесплатный Wi-Fi из соседнего кафе

Я же сразу сказал: пинай ТП своего "провайдера"...

**Keper** · 13.11.2013, 17:50

sudo iptables -L
sudo iptables -L -t nat
ifconfig

Но всё же вероятно, что таки nat надо ковырять.

**Keper** · 14.11.2013, 14:32

zl0dey4eg
какой хоть провайдер? районный или крупный себе такое позволяет?

zl0dey4eg · 14.11.2013, 14:46

Keper, провайдер, который себе это позволяет - www.akado.ru

хочу переехать на какого ни будь провайдера без PPPoE, модемов и прочего дро...а

**Keper** · 14.11.2013, 14:52

zl0dey4eg
рукоплещу!!! наш "любимый" провайдер в Мск. Можно даже в качестве проклятия желать людям пользоваться их услугами.

zl0dey4eg · 14.11.2013, 14:57

Цитата (Keper) »

Можно даже в качестве проклятия желать людям пользоваться их услугами.

В том и прикол, "простым людям" пользоваться как раз нормально.
у меня за все время "сотрудничества" с ними никаких проблем не было, странички открывались, торренты качались, как бонус - не надо было тянуть UTP через всю квартиру (антенный кабель уже был проложен), а вот как дело дошло до "работы", вот тут то и начали вылазить косяки

13.11.2013, 16:31	Вверх #1
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	OpenVPN, нет доступа к сети за сервером. Как я не люблю признаваться в собственном бессилии, но уже нет мочи Поставил сам себе задачу - организовать доступ во внутреннюю сеть конторы из дома, для управления компами по RDP и доступа к внутренним ресурсам. Решить эту задачу с помощью pptp не представляется возможным из за "параноидальности" домашнего провайдера (режит GRE), решил попробовать OpenVPN. И ... о чудо, оно работает, но ... доступ есть только к серверу-шлюзу (10.8.0.1 и 192.168.20.200), а вот дальше ни в какую. Я конечно понимаю, что "сам дурак" и что то делаю не так, но не могу (уже неделю) понять, в каком месте. Описание сети VPN установлен на сервере Ubuntu Linux, который является основным шлюзом для выхода в интернет внутренней сети конторы. На шлюзе включен NAT и фильтрация трафика средствами iptables. Интерфейсы шлюза eth0 - белый IP, смотрит в интернет 111.111.111.238 eth1 - внутренний, 192.168.20.200 tun0 - openvpn, 10.8.0.1 конфиг openvpn сервера(последняя, на данный момент) Код: ############################# # OpenVPN 2.0 config file # ############################# port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.20.0 255.255.0.0 10.8.0.1" push "dhcp-option DNS 10.8.0.1" client-to-client client-config-dir /etc/openvpn/ccd keepalive 10 120 comp-lzo max-clients 10 ;user nobody ;group nogroup persist-key persist-tun status openvpn-status.log log-append /var/log/openvpn.log verb 3 mute 10 route -n Код: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 111.111.111.236 0.0.0.0 255.255.255.252 U 0 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 111.111.111.237 0.0.0.0 UG 100 0 0 eth0 если еще что то надо, выложу. Need HELP! Последний раз редактировалось zl0dey4eg; 13.11.2013 в 16:43.

13.11.2013, 16:58	Вверх #2
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	sudo iptables -t nat -A POSTROUTING ! -s 192.168.20.200 -o eth1 -j SNAT --to 192.168.20.200 __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

13.11.2013, 20:39	Вверх #3
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Keper, еще раз СПАСИБО!!! это помогло решить проблему Цитата (Keper) » iptables -t nat -A POSTROUTING ! -s 192.168.20.200 -o eth1 -j SNAT --to 192.168.20.200 пойду заново перечитывать "Эви Немет'a" Цитата (Smirnoff) » Я же сразу сказал: пинай ТП своего "провайдера"... дык из кафешки проверял потому, что второго выхода в инет нету, а на EDGE медленно нужен был "чистый эксперимент" Последний раз редактировалось zl0dey4eg; 13.11.2013 в 20:42.

13.11.2013, 23:35	Вверх #4
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	zl0dey4eg всегда пожалуйста. Только задумываешься, а нафига мне такое знать, если так редко пригождается. __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

14.11.2013, 11:01	Вверх #5
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (Keper) » а нафига мне такое знать, если так редко пригождается Ну, положим, у меня с фрёй такая же проблема: настроил, оно годами работает, и всё успевает напрочь забыться к тому моменту, когда ещё кому-то нужно опять роутер настроить... BTW: Без денег никак не хочешь объяснять суть загадочного правила для iptables? Или это вообще в чистом виде непонятное тебе самому "шаманство"?.. __________________ С уважением, Олег Р. Смирнов

14.11.2013, 11:50	Вверх #6
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	Smirnoff это такая фишка линуксоидов: никогда ничего не объяснять) может, потому что и сам не всегда понимаешь как оно заработало. Вкратце: так же как и при настройке роутера, нужно делать маскарадинг для внешнего интерфейса, так и тут его приходится делать для внутреннего. __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

13.11.2013, 17:09	Вверх #7
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Keper, а можно для "особо одаренных" пояснить, что к чему?

13.11.2013, 17:12	Вверх #8
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	zl0dey4eg нет, это уже платная услуга)) Правило легко удаляется повторной командой, но с заменой ключа -A на -D. Попробуй, эт я с ходу написал) - в похожем случае помогло. __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

13.11.2013, 17:25	Вверх #9
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Цитата (Keper) » нет, это уже платная услуга)) вот блин Цитата (Keper) » Правило легко удаляется повторной командой, но с заменой ключа -A на -D. да это то как раз не проблема проблема в том, что бы "понимать", что пишешь PS: после применения правила перестала отправляться почта (удаленный SMPT сервер) Последний раз редактировалось zl0dey4eg; 13.11.2013 в 17:33.

13.11.2013, 17:42	Вверх #10
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (zl0dey4eg) » из за "параноидальности" домашнего провайдера (режит GRE) Мой личный опыт показывает, что дело не в "параноидальности", а вовсе в банальной некомпетентности админов - они забывают (либо вовсе не умеют ) прописать правила маршрутизации GRE-пакетов в своих роутерах на Линуксах. Естественно, серьёзные провайдеры так не косячат, но вот пару лет назад пришлось добираться до админов одного "типа провайдера" и объяснять им, что я о них думаю; буквально через пару часов клиенты с удалённой площадки через этого провайдера легко связались с моим центральным сервером - так что ты попробуй с техподдержкой своей пообщаться... __________________ С уважением, Олег Р. Смирнов Последний раз редактировалось Smirnoff; 13.11.2013 в 17:51.

13.11.2013, 17:49	Вверх #11
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Цитата (Smirnoff) » не в "параноидальности", а вовсе в банальной некомпетентности админов Олег, мы с вами уже как то дискутировали на эту тему. это реальная паранойя!!! там кроме GRE еще куча всего порезано и закрыто

13.11.2013, 17:51	Вверх #12
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (zl0dey4eg) » кроме GRE еще куча всего порезано и закрыто Ну купи уже себе домой "белый IP" - тогда что-то "резать" у них просто не будет прАва... __________________ С уважением, Олег Р. Смирнов

13.11.2013, 17:56	Вверх #13
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Цитата (Keper) » Но всё же вероятно, что таки nat надо ковырять. походу уже не придется проверил с android-клиента через бесплатный Wi-Fi из соседнего кафе - пинги пошли, есть доступ к smb ресурсам Еще из дома проверю, вечерком отпишусь! Спасибо за помощь!!! Цитата (Smirnoff) » Ну купи уже себе домой "белый IP" пытался! "у вас не достаточно средств на счете" хотя было в два раза больше, чем стоит эта услуга так что ... OpenVPN наше всё (пока провайдера не поменяю)

13.11.2013, 18:01	Вверх #14
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	Цитата (Smirnoff) » Ну купи уже себе домой "белый IP" большинство "физикам" белые отказываются продавать. Хотя у нас есть один провайдер мелкий, дают белые за просто так, но сколько такая халява пробудет, не известно. __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

13.11.2013, 18:05	Вверх #15
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (Keper) » большинство "физикам" белые отказываются продавать Надо ставить вопрос ребром: или настраивайте нормально маршрутизацию у себя, или уже давайте "белый IP"! Добавлено через 37 секунд Цитата (zl0dey4eg) » проверил с android-клиента через бесплатный Wi-Fi из соседнего кафе Я же сразу сказал: пинай ТП своего "провайдера"... __________________ С уважением, Олег Р. Смирнов

13.11.2013, 17:50	Вверх #16
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	sudo iptables -L sudo iptables -L -t nat ifconfig Но всё же вероятно, что таки nat надо ковырять. __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

14.11.2013, 14:32	Вверх #17
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	zl0dey4eg какой хоть провайдер? районный или крупный себе такое позволяет? __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

14.11.2013, 14:46	Вверх #18
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Keper, провайдер, который себе это позволяет - www.akado.ru хочу переехать на какого ни будь провайдера без PPPoE, модемов и прочего дро...а

14.11.2013, 14:52	Вверх #19
Keper Модератор Регистрация: 30.07.2005 Адрес: Рязань	zl0dey4eg рукоплещу!!! наш "любимый" провайдер в Мск. Можно даже в качестве проклятия желать людям пользоваться их услугами. __________________ Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.

14.11.2013, 14:57	Вверх #20
zl0dey4eg Абсолютный Автор темы Регистрация: 24.12.2012 Адрес: Москва	Цитата (Keper) » Можно даже в качестве проклятия желать людям пользоваться их услугами. В том и прикол, "простым людям" пользоваться как раз нормально. у меня за все время "сотрудничества" с ними никаких проблем не было, странички открывались, торренты качались, как бонус - не надо было тянуть UTP через всю квартиру (антенный кабель уже был проложен), а вот как дело дошло до "работы", вот тут то и начали вылазить косяки