OpenVPN, нет доступа к сети за сервером.

[zl0dey4eg]

Как я не люблю признаваться в собственном бессилии, но уже нет мочи

Поставил сам себе задачу - организовать доступ во внутреннюю сеть конторы из дома, для управления компами по RDP и доступа к внутренним ресурсам.
Решить эту задачу с помощью pptp не представляется возможным из за "параноидальности" домашнего провайдера (режит GRE), решил попробовать OpenVPN.
И ... о чудо, оно работает, но ... доступ есть только к серверу-шлюзу (10.8.0.1 и 192.168.20.200), а вот дальше ни в какую.

Я конечно понимаю, что "сам дурак" и что то делаю не так, но не могу (уже неделю) понять, в каком месте.

Описание сети
VPN установлен на сервере Ubuntu Linux, который является основным шлюзом для выхода в интернет внутренней сети конторы. На шлюзе включен NAT и фильтрация трафика средствами iptables.
Интерфейсы шлюза
eth0 - белый IP, смотрит в интернет 111.111.111.238
eth1 - внутренний, 192.168.20.200
tun0 - openvpn, 10.8.0.1

конфиг openvpn сервера(последняя, на данный момент)

Код:

#############################
# OpenVPN 2.0 config file         #
#############################
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.20.0 255.255.0.0 10.8.0.1"
push "dhcp-option DNS 10.8.0.1"
client-to-client
client-config-dir /etc/openvpn/ccd

keepalive 10 120
comp-lzo
max-clients 10
;user nobody
;group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  /var/log/openvpn.log
verb 3
mute 10

route -n

Код:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
111.111.111.236  0.0.0.0         255.255.255.252 U     0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         111.111.111.237  0.0.0.0         UG    100    0        0 eth0

если еще что то надо, выложу.

Need HELP!

[Keper]

sudo iptables -t nat -A POSTROUTING ! -s 192.168.20.200 -o eth1 -j SNAT --to 192.168.20.200

[zl0dey4eg]

Keper, а можно для "особо одаренных" пояснить, что к чему?

[Keper]

zl0dey4eg
нет, это уже платная услуга))
Правило легко удаляется повторной командой, но с заменой ключа -A на -D.

Попробуй, эт я с ходу написал) - в похожем случае помогло.

[zl0dey4eg]

Цитата (Keper) »

нет, это уже платная услуга))

вот блин

Цитата (Keper) »

Правило легко удаляется повторной командой, но с заменой ключа -A на -D.

да это то как раз не проблема

проблема в том, что бы "понимать", что пишешь

PS: после применения правила перестала отправляться почта (удаленный SMPT сервер)

[Smirnoff]

Цитата (zl0dey4eg) »

из за "параноидальности" домашнего провайдера (режит GRE)

Мой личный опыт показывает, что дело не в "параноидальности", а вовсе в банальной некомпетентности админов - они забывают (либо вовсе не умеют ) прописать правила маршрутизации GRE-пакетов в своих роутерах на Линуксах.
Естественно, серьёзные провайдеры так не косячат, но вот пару лет назад пришлось добираться до админов одного "типа провайдера" и объяснять им, что я о них думаю; буквально через пару часов клиенты с удалённой площадки через этого провайдера легко связались с моим центральным сервером - так что ты попробуй с техподдержкой своей пообщаться...

[zl0dey4eg]

Цитата (Smirnoff) »

не в "параноидальности", а вовсе в банальной некомпетентности админов

Олег, мы с вами уже как то дискутировали на эту тему.

это реальная паранойя!!!
там кроме GRE еще куча всего порезано и закрыто

[Keper]

sudo iptables -L
sudo iptables -L -t nat
ifconfig

Но всё же вероятно, что таки nat надо ковырять.

[Smirnoff]

Цитата (zl0dey4eg) »

кроме GRE еще куча всего порезано и закрыто

Ну купи уже себе домой "белый IP" - тогда что-то "резать" у них просто не будет прАва...

[zl0dey4eg]

Цитата (Keper) »

Но всё же вероятно, что таки nat надо ковырять.

походу уже не придется

проверил с android-клиента через бесплатный Wi-Fi из соседнего кафе - пинги пошли, есть доступ к smb ресурсам

Еще из дома проверю, вечерком отпишусь!
Спасибо за помощь!!!

Цитата (Smirnoff) »

Ну купи уже себе домой "белый IP"

пытался!
"у вас не достаточно средств на счете"
хотя было в два раза больше, чем стоит эта услуга

так что ... OpenVPN наше всё (пока провайдера не поменяю)

[Keper]

Цитата (Smirnoff) »

Ну купи уже себе домой "белый IP"

большинство "физикам" белые отказываются продавать. Хотя у нас есть один провайдер мелкий, дают белые за просто так, но сколько такая халява пробудет, не известно.

[Smirnoff]

Цитата (Keper) »

большинство "физикам" белые отказываются продавать

Надо ставить вопрос ребром: или настраивайте нормально маршрутизацию у себя, или уже давайте "белый IP"!


Добавлено через 37 секунд

Цитата (zl0dey4eg) »

проверил с android-клиента через бесплатный Wi-Fi из соседнего кафе

Я же сразу сказал: пинай ТП своего "провайдера"...

[zl0dey4eg]

Keper, еще раз СПАСИБО!!!

это помогло решить проблему

Цитата (Keper) »

iptables -t nat -A POSTROUTING ! -s 192.168.20.200 -o eth1 -j SNAT --to 192.168.20.200

пойду заново перечитывать "Эви Немет'a"

Цитата (Smirnoff) »

Я же сразу сказал: пинай ТП своего "провайдера"...

дык из кафешки проверял потому, что второго выхода в инет нету, а на EDGE медленно
нужен был "чистый эксперимент"

[Keper]

zl0dey4eg
всегда пожалуйста. Только задумываешься, а нафига мне такое знать, если так редко пригождается.

[Smirnoff]

Цитата (Keper) »

а нафига мне такое знать, если так редко пригождается

Ну, положим, у меня с фрёй такая же проблема: настроил, оно годами работает, и всё успевает напрочь забыться к тому моменту, когда ещё кому-то нужно опять роутер настроить...

BTW: Без денег никак не хочешь объяснять суть загадочного правила для iptables? Или это вообще в чистом виде непонятное тебе самому "шаманство"?..

[Keper]

Smirnoff
это такая фишка линуксоидов: никогда ничего не объяснять) может, потому что и сам не всегда понимаешь как оно заработало.
Вкратце: так же как и при настройке роутера, нужно делать маскарадинг для внешнего интерфейса, так и тут его приходится делать для внутреннего.

[zl0dey4eg]

Цитата (Keper) »

это такая фишка линуксоидов: никогда ничего не объяснять

что правда то правда ...
во всех манах подробно описано как конфигурировать, но о "маскарадинге" ни слова
вернее есть упоминание, но вот в таком ключе

Цитата

Машине с OpenVPN-сервером, возможно, потребуется NAT'ить
весь трафик с TUN/TAP-интерфейса, чтобы все это работало должным образом

а возможно и не потребуется ...
Linux, чё ...

[Smirnoff]

Цитата (zl0dey4eg) »

Linux, чё ...

А чё "Линукс"?..
Вот сегодня настроил планшет на Android (дочкин настраивал, для проверки) на подключение к своей фре по PPTP и к клиенскому серваку на Win2012 по мелкомягкому RDP; Андроид, конечно, не совсем Линукс - но с пол-пинка завелось по цепочке: планшет - мой WiFi - 4G модем от Мегафона - клиентский провайдер - клиенская фря с mpd4 - клиентский Win2012.

BTW: У меня на фре диапазон IP-ов для клиентов VPN попадает "почти" в ту же подсеть, что и локалка; возможно, поэтому никаких особых "приплясов" не потребовалось?
Вкратце:
- локальной считается сеть 192.168.50.0/25
- на физическом локальном интерфейсе 192.168.50.0/26
- клиентам VPN выдаются адреса из 192.168.50.80/28

[Keper]

Smirnoff
экий ты хитрый). Надо будет иметь на будущее такой вариант. Правда при делении сетей маской каждый раз придётся думать что есть что.
А мне приходится до сих пор ип**** удовлетворяться с доставшейся в наследство сетью 192.168.0.1/24 : (

[Smirnoff]

Цитата (Keper) »

при делении сетей маской каждый раз придётся думать что есть что

Дык это у мну всё в комментах указано в файле rc.firewall (я ipfw пользую) - дабы не забыть нечаянно...

Цитата (Keper) »

с доставшейся в наследство сетью 192.168.0.1/24

No problem: назначаешь "локальной" сеть 192.168.0.0/23 - и вперёд!