» OpenVPN

rosalin

Цитата:

route 192.168.0.0 255.255.0.0

На клиенте не надо писать маршрутов...
Достаточно серверного:

Цитата:

push "route 192.168.0.0 255.255.255.0"

Ruza
так и сдела

вообщем проблему вроде решил
впн конфликтовал с тметром

http://xgu.ru/wiki/OpenVPN
Материалы по OpenVPN на xgu.ru
OpenVPN
Два шлюза в Интернет и OpenVPN
OpenVPN в Windows
OpenVPN Bridge — передача тегированного трафика через VPN
OpenVPN Proxy ARP

Добрый день, помогите пожалуйста, у меня пинги идут только в одну сторону(подсеть), с подсети клиента я пингую подсеть сервера, а наоборот не могу. Оба конца туннеля пингуются в обе стороны)
Сервер Внешний IP xxx.xxx.xxx.xxx, Внутренняя сеть 192.168.100.0/24)
Клиент Внешний IP yyy.yyy.yyy.yyy, Внутренняя сеть 192.168.10.0/24)

____________________________________________________________________________________
Конфиг Сервера
port 1194
proto tcp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\rout1.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\rout1.key" # This file should be kept secret
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\config\\ccd\\ipp.txt"
push "route 192.168.100.0 255.255.255.0"
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
route 192.168.10.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 9
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
______________________________________________________________________

Таблица маршрутизации сервера:
_________________________________________________________________________

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 1d cb c5 1c ...... TAP-Win32 Adapter V9
0x1000004 ...00 64 00 00 07 0f ...... Realtek RTL8139/810x Family Fast Ethern
NIC
0x1000005 ...00 11 5b b6 b1 14 ...... Realtek RTL8139/810x Family Fast Ethern
NIC
0x1000006 ...44 45 53 54 58 88 ...... Kerio VPN Adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 xxx.xxx.xxx.37 xxx.xxx.xxx.xxx 1
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 1
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
xxx.xxx.xxx.xxx 255.255.255.252 xxx.xxx.xxxx.xxx xxx.xxx.xxx.xxx 1
xxx.xxx.xxx.xxx 255.255.255.255 127.0.0.1 127.0.0.1 1
xxx.255.255.255 255.255.255.255 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.94.0 255.255.255.0 169.254.94.7 169.254.94.7 1
169.254.94.7 255.255.255.255 127.0.0.1 127.0.0.1 1
169.254.255.255 255.255.255.255 169.254.94.7 169.254.94.7 1
192.168.10.0 192.168.100.0 255.255.255.0 192.168.100.3 192.168.100.3 1
192.168.100.3 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.100.255 255.255.255.255 192.168.100.3 192.168.100.3 1
224.0.0.0 224.0.0.0 10.8.0.1 10.8.0.1 1
224.0.0.0 224.0.0.0 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 1
224.0.0.0 224.0.0.0 169.254.94.7 169.254.94.7 1
224.0.0.0 224.0.0.0 192.168.100.3 192.168.100.3 1
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
Основной шлюз: xxx.xxx.xxx.37
===========================================================================
Постоянные маршруты:
Отсутствует
______________________________________________________________________________

И файлик на клиента, тот что в ccd:
______________________________________________________________________________
push "route 192.168.10.0 255.255.255.0"
iroute 192.168.100.0 255.255.255.0
_______________________________________________________________________________


Конфиг со стороны клиента:
________________________________________________________________________________
client
dev tun
proto tcp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\key.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\key.key"
ns-cert-type server
comp-lzo
verb 9
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping restart 60
ping 10
________________________________________________________________

Таблица маршрутизации клиента:
__________________________________________________________________

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 40 f4 bb f2 ce ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - K
erio WinRoute Firewall
0x3 ...00 0d 87 d4 39 8e ...... SiS 900-Based PCI Fast Ethernet рфряЄхЁ - Kerio
WinRoute Firewall
0x4 ...00 ff 3d d0 a0 9c ...... TAP-Win32 Adapter V9 - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 yyy.yyy.yyy.1 yyy.yyy.yyy.yyy 20
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
yyy.yyy.yyy.0 255.255.255.0 yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy 20
yyy.yyy.yyy.yyy 255.255.255.255 127.0.0.1 127.0.0.1 20
yyy.255.255.255 255.255.255.255 yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.10.3 192.168.10.3 20
192.168.10.3 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.10.255 255.255.255.255 192.168.10.3 192.168.10.3 20
192.168.100.0 255.255.255.0 10.8.0.5 10.8.0.6 1
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy 20
224.0.0.0 240.0.0.0 192.168.10.3 192.168.10.3 20
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy 1
255.255.255.255 255.255.255.255 192.168.10.3 192.168.10.3 1
Основной шлюз: yyy.yyy.yyy.1
===========================================================================
Постоянные маршруты:
Отсутствует
__________________________________________________________________________________________


Пинги проходят со стороны клиента до подсети сервера без проблем, обратно они не идут. (Превышен интервал ожидания). Хотя отправляются через правильный интерфейс, но до другой стороны не доходят, в чем может быть проблема?

Strange3
стукни в асю 222-4706 попробую помочь

Подскажите как настроить клиента чтоб при перезагрузке автоматически соединялся с сервером, сам вводил логин и пароль. Вот конфиг в текущем виде:
client
remote 11.22.33.44 66566
proto udp
nobind
dev tun
persist-tun
auth-user-pass
comp-lzo
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cipher AES-256-CBC
ns-cert-type server
#tls-remote CN

Народ, кто-нибудь знает где/как посмотреть полный список выданных мной сертификатов?

Помогите настроить redirect-gateway
вот схемка соединения:

Цитата:

DSL модем сервера DSL модем клиента
|------------------------------| |--------------------------------------|
|192.168.1.1----------------| |192.168.1.1------------------------|
|------------------------------| |--------------------------------------|
|------------------------------| |--------------------------------------|
|------------------------------| |--------------------------------------|
| |
| |
Сервер (WinXP SP3) | | Клиент (WinXP SP3)
|------------------------------| |--------------------------------------|
|192.168.1.2----------------| |192.168.1.31-----------------------|
|------------------------------| |--------------------------------------|
|10.8.0.1 Tap----------------|-----------|10.8.0.2 Tap------------------------|
|------------------------------| |--------------------------------------|

конфиг сервера:

Цитата:

;local a.b.c.d

port 5300
proto udp

dev tap

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway"

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

;client-to-client

keepalive 10 120

tls-auth ta.key 0

comp-lzo

max-clients 3

persist-tun

status openvpn-status.log
log openvpn.log
verb 4
Mute 20

конфиг клиента:


Цитата:

client

dev tap
proto udp

remote host.dyndns.org 5300

;remote-random

resolv-retry infinite

nobind

persist-tun

;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

;mute-replay-warnings

ca ca.crt
cert server.crt
key server.key

ns-cert-type server

tls-auth ta.key 1

;cipher x

comp-lz

verb 4

Пинги идут нормально, в сетевом окружении компы друг друга видят, не работает только redirect-gateway, то есть интернета на клиенте нету. Что надо настроить на сервере чтоб заработало?

Здраствуйте! подскажите какой камандой установить основной шлюз на dev tap адаптаре клиента?

ivan41
aoo
RTFM

Цитата:

--route network [netmask] [gateway] [metric] :
Add route to routing table after connection
is established. Multiple routes can be specified.
netmask default: 255.255.255.255
gateway default: taken from --route-gateway or --ifconfig
Specify default by leaving blank or setting to "nil".
--route-gateway gw|'dhcp' : Specify a default gateway for use with --route.
--route-metric m : Specify a default metric for use with --route.
--route-delay n [w] : Delay n seconds after connection initiation before
adding routes (may be 0). If not specified, routes will
be added immediately after tun/tap open. On Windows, wait
up to w seconds for TUN/TAP adapter to come up.

Пробывал использовать эти команды но не получается направить интернет трафик через канал VPN. Если использовать команду назначить DNS то он отображает у клиента на вертуальном адапторе а основной шлюз постоянно пустой?

Ребята подскажите как надо прописать конфиги если:

Надо соединить 3 компа
Каждый из них выходит в инет через DSL модем
т.е. комп 192.168.1.2 через модем 192.168.1.1
Проброс порта есть.
IP у всех динамический.
Как нужно настроить я не могу понять если чесно, так как только столкнулся с этим.
Я так понимаю один должен быть сервер а 2 остальных клиенты...или нет.
Помогите пожалуйста.

Заранее спасибо большое!

diablist
угу, одну из машин отводишь под сервер. затем идёшь сюда http://dyndns.dk/ и делаешь, чтоб твой сервер был доступен по имени. после чего на сервере на модеме настраиваешь проброс порта с инета вовнутрь, на этом порту вешаешь овпн с серверным конфигом. на клиентских машинах соответственно ставишь овпн с клиентскими конфигами

rain87
А клиентам проброс нужно делать?
И еще где там в конфиге писать надо это самое имя по которому доступно?
это remote значение...или другое....
dev tap что тут надо ставить
вообщем как должны выглядеть конфиги клиента и сервера....если не сложно черкни плиз )

Нашел твое описани сервера и клиента:
remote <АДРЕС ИЛИ ИМЯ СЕРВЕРА> я так понимаю тут писать типа ИМЯ.dyndns.dk ? но по имени же будет из вне конектится на 80 порт....
proto udp - а и UDP и TCP можно? или только что-то одно?
dev tap
verb 4
comp-lzo yes

Ребята кто нибудь пробывал конфигурационные файлы сразу в инсталятор OpenVPN засунуть ...

Добавлено:
diablist
dev [tun | tap] (сервер, клиент) - указание типа интерфейса и режима работы: tun = L3-туннель, tap = L2-туннель

proto [tcp-server | tcp-client | udp] (сервер, клиент) - протокол, по умолчанию UDP
remote host (сервер) - в режиме tcp-server этот параметр на сервере работает как фильтр и принимает соединения ТОЛЬКО от указанного host.

# Количество отладочной информации (от 0 до 9) в логах
mute 3
verb 4

comp-lzo (сервер, клиент) - сжатие трафика



как то так

rosalin
Пасиб шас попробуем.
Можно самому склепать инсталятор с InnoSetup например или сделать портабельную версию

Добавлено:
rain87
rosalin
Спасибо все работает ))

Кстати что-то на dyndns.dk не обновляется IP....мне кажется лучше использовать dyndns.com, стабильно работал всегда у меня + если D-Link то можно прописать прямо в модем, и не нужны будут проги и.т.д

diablist
ну я просто наугад ткнул, я не юзал такие сервисы буду знать что dyndns.com лучше.

зы. портабельная версия овпн не получится, ибо тап драйвер надо ставить (

Теперь проблема с тем что клиент отрубается через минут 30 ....в логе сервера пишет:

Цитата:

Thu Mar 26 22:33:15 2009 us=646844 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Thu Mar 26 22:33:55 2009 us=978308 VPN-client/XXX.XXX.XXX.XX:1194 [VPN-client] Inactivity timeout (--ping-restart), restarting
Thu Mar 26 22:33:55 2009 us=978338 VPN-client/XXX.XXX.XXX.XX:1194 SIGUSR1[soft,ping-restart] received, client-instance restarting

Что это может быть? ((

rain87
По идее можно так
InstallVPN.vbs:

Цитата:

Set WSHShell = WScript.CreateObject("WScript.Shell")
set a = createobject("Scripting.FileSystemObject")
set f = a.getfolder(".")

WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN",f.path & "OpenVPN", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\config_dir",f.path & "OpenVPN\config", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\config_ext","ovpn", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\exe_path",f.path & "OpenVPN\bin\openvpn.exe", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\log_dir",f.path & "OpenVPN\log", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\priority","NORMAL_PRIORITY_CLASS","REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\log_append",0, "REG_SZ"
aScript = WSHShell.run("OpenVPN\bin\tapinstall.exe install OpenVPN\driver\OemWin2k.inf tap0801")

UninstallVPN.vbs:

Цитата:

Set WSHShell = WScript.CreateObject("WScript.Shell")
aScript = WSHShell.run("OpenVPN\bin\tapinstall.exe remove tap0801")
WshShell.RegDelete "HKEY_LOCAL_MACHINE\Software\OpenVPN\"
WshShell.RegDelete "HKEY_LOCAL_MACHINE\Software\OpenVPN-GUI\"

RunVPN.vbs:

Цитата:

Set WSHShell = WScript.CreateObject("WScript.Shell")
aScript = WSHShell.run("OpenVPN\bin\openvpn-gui.exe")

diablist
может подскажешь как создать инсталик что бы устанавливался и запускался сервисом

Добавлено:
diablist

Цитата:

Thu Mar 26 22:33:15 2009 us=646844 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Thu Mar 26 22:33:55 2009 us=978308 VPN-client/XXX.XXX.XXX.XX:1194 [VPN-client] Inactivity timeout (--ping-restart), restarting
Thu Mar 26 22:33:55 2009 us=978338 VPN-client/XXX.XXX.XXX.XX:1194 SIGUSR1[soft,ping-restart] received, client-instance restarting

надо на конфиги глянуть

diablist
ну установить драйвер конечно можно, но это уже как то не особо портабельная версия получается, которая везде в системе тулит свой драйвер

rain87
Ну так для этого и создается Uninstall чтоб удалять после работы драйвер ))
Так многие проги работают например Filemon от sysinternals и.т.д
Так что по другому никак в любом случае, просто при запуске инсталится, при закрытии удаляется и все.

rosalin
Конвиг сервера [more=сервер]mode server
tls-server
ifconfig 10.4.1.1 255.255.255.0

client-to-client
dh "C:/keys/dh1024.pem"
ca C:/keys/ca.crt
cert C:/keys/VPN-Server.crt
key C:/keys/VPN-Server.key

proto udp
dev tap
comp-lzo yes
verb 4

ping 100
ping-restart 200
[/more]
Конфиг клиента [more=клиент]remote name.podzone.org
proto udp
dev tap
tls-client
ifconfig 10.4.1.2 255.255.255.0
route-delay 5

dh C:/keys/dh1024.pem
ca C:/keys/ca.crt
cert C:/keys/VPN-Client.crt
key C:/keys/VPN-Client.key

ping 100
ping-restart 200

comp-lzo yes
verb 4[/more]

Ну он и так вроде инсталится как сервис тоже OpenVPN\bin\openvpnserv.exe
Вот этот сервис и надо запускать, как написано в оф. документации:

Цитата:

When OpenVPN runs as a service it will start a separate OpenVPN process for each configuration file it finds in the \Program Files\OpenVPN\config directory and will output a logfile of the same name to the \Program Files\OpenVPN\log directory

Т.е. Будет запускатся (для каждого найденного конфига в папке конфига) свой процесс и вестись лог с тем же именем в папку логов.
Главное только выставить запуск в Автоматический, чтоб запускался сам.
Если ставишь версию с GUI, то надо в инсталлере выставить параметр реестра
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\\allow_service в 1
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\\service_only в 1 если хочешь только как сервис.

или выставлять этот параметр
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenVPNService\\Start в 2

Вроде так

вот начал примерно править конфиг клиента [more=вот]#dev tap
dev tun
# Указываем по какому протоколу будет работать клиент
#proto udp
# Адрес сервера, к которому подключаемся
remote name.podzone.org
#Корректировка для работы с Vista
route-method exe
# признак клиентской конфигурации
tls-client

ifconfig 10.4.1.2 255.255.255.0
# Пауза перед добавлением маршрутов (в секундах)
route-delay 3

# Защита, от атаки "man in the middle" ("человек посередине")
ns-cert-type server

# Указываем пути к сертификатам и ключам клиента
# Сертификат центра сертификации
ca C:/keys/ca.crt
# Сертификат клиента
cert C:/keys/VPN-Client.crt
# Ключ клиента
key C:/keys/VPN-Client.key


# Включаем сжатие
comp-lzo
#Это вроде только на сервере пишут!!!
#dh C:/keys/dh1024.pem


ping-restart 60
ping 10


# Степень детализации отладочной информации (от 0 до 9) в логах
verb 3[/more]

diablist
а ип на сервере не меняется? клиент просто так через полчаса ни с того ни с сего вырубается? а повторно подключается? что в логе клиента?

как вариант можно попробовать протокол тсп, т.е. на клиентах написать proto tcp-client, а на сервере proto tcp-server

diablist [more=вот]local "Внешний IP"

# Тип интерфейса
dev tun

# Указываем серверу, что работать будем по протоколу TCP
# proto tcp

# Порт
port 5000

# Признак серверной конфигурации
tls-server

#Укажем адресное пространство в vpn-сети
server 10.8.0.0 255.255.255.0

# маршрут vpn сети
; push "route 10.8.0.0 255.255.255.0"
# маршут сети главного офиса
# push "route 192.168.0.0 255.255.255.0"



# Включаем сжатие
comp-lzo
# Разрешаем vpn-клиентам видеть друг друга
client-to-client

# Каталог с конфигурациями пользователей
# Должен быть задан предварительно
client-config-dir C:\\OpenVPN\\config\\ccd

# Файл с описанием vpn-сетей между клиентом и сервером
# Если при старте сервера он не существует, то создается автоматически
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt

#crl-verify C:\\OpenVPN\\ssl\\crl.pem

# Указываем пути к сертификатам сервера
# Сертификат для шифрования установки соединения
dh C:\\OpenVPN\\ssl\\dh2048.pem
# Сертификат центра сертификации
ca C:\\OpenVPN\\ssl\\ca.crt
# Сертификат сервера
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
# Ключ сервера
key C:\\OpenVPN\\ssl\\ServerVPN.key

# Использование интерфейса и ключа при перезапуске сервера
persist-tun
persist-key

# Защита от DOS атак (для сервера, после пути к ключу, ставим 0)
tls-auth C:\\OpenVPN\\ssl\\ta.key 0

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

# Время жизни неактивной сессии
keepalive 10 120

max-clients 20

# Пути к логам
# Лог состояния (перезаписывается ежеминутно)
status C:\\OpenVPN\\log\\openvpn-status.log
# Системный лог
log-append C:\\OpenVPN\\log\\openvpn.log
# Количество отладочной информации (от 0 до 9) в логах
mute 3
verb 4[/more] под сервер

router office-1 router office-2
router VPN Server router VPN Client
LAN-1 ------| eth0 tap0 | --------- VPN ---------- | tap0 eth0 | ------ LAN-2
eth1 | --Inet Inet-- | eth1


LAN-1 = eth0 = 192.168.100.1/24
LAN-2 = eth0 = 192.168.150.1/24
VPN = tap0 = 192.168.200/24

Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008




Параметры роутера с сервером OpenVPN
Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008

VPN Server Config
---------------------
iGate:~# cat /etc/openvpn/server.conf
mode server
tls-server
daemon

ifconfig 192.168.200.1 255.255.255.0

port 1194
proto tcp-server
dev tap0

ca /root/openvpn/keys/ca.crt
cert /root/openvpn/keys/iGate.crt
key /root/openvpn/keys/iGate.key # This file should be kept secret
dh /root/openvpn/keys/dh1024.pem

client-config-dir /etc/openvpn/ccd
route 192.168.150.0 255.255.255.0 192.168.200.1
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 9
log-append /var/log/openvpn.log
---------------------

в /etc/openvpn/ccd находится 1 файл
---------------------
iGate:/etc/openvpn/ccd# cat NTagil
# приcваиваем ip-адрес
ifconfig-push 192.168.200.2 255.255.255.0

# роутинг на сети центрального офиса
push "route 192.168.100.0 255.255.255.0 192.168.200.1"
---------------------

кусочек конфига фаервола
---------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"

$ipt -v -A INPUT -i tun+ -j ACCEPT
$ipt -v -A OUTPUT -o tun+ -j ACCEPT
$ipt -A FORWARD -i tun+ -j ACCEPT
$ipt -A FORWARD -o tun+ -j ACCEP
---------------------

Таблица маршрутов:
---------------------
iGate:/etc/openvpn/ccd# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
217.199.246.12 * 255.255.255.252 U 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth0
192.168.150.0 192.168.200.2 255.255.255.0 UG 0 0 0 tap0
192.168.200.0 * 255.255.255.0 U 0 0 0 tap0
default XXX.XXX.XXX.XX 0.0.0.0 UG 0 0 0 eth1
---------------------




Конфа Роутера в филиале
Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008

Client config
---------------------
tgate:~/net# cat /etc/openvpn/client.conf
client
dev tap0
proto tcp


# адрес сервера в центрально офисе
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca /root/openvpn/keys/ca.crt
cert /root/openvpn/keys/ekb.crt
key /root/openvpn/keys/ekb.key
log-append /var/log/openvpn.log
status /var/log/openvpn/openvpn-status.log
---------------------

кусочек конфига фаервола
---------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"

$ipt -v -A INPUT -i tun+ -j ACCEPT
$ipt -v -A OUTPUT -o tun+ -j ACCEPT
$ipt -A FORWARD -i tun+ -j ACCEPT
$ipt -A FORWARD -o tun+ -j ACCEP
---------------------


Таблица маршрутов:
---------------------
tgate:~/net# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
93.95.168.96 * 255.255.255.252 U 0 0 0 eth1
192.168.100.0 192.168.200.1 255.255.255.0 UG 0 0 0 tap0
192.168.150.0 * 255.255.255.0 U 0 0 0 eth0
192.168.200.0 * 255.255.255.0 U 0 0 0 tap0
default XXX.XXX.XXX.XXX 0.0.0.0 UG 0 0 0 eth1
---------------------


История такая:

OpenVPN работает. Роутеры друг друга пингуют.
С роутера филиала (office-2) можно пропиновать ВСЮ локальную сеть центрального офиса LAN-1, а из локальной сети филиала (LAN-2) не пингуется ни роутер, ни локальная сеть.
Из локальной сети центрально офиса (LAN-1) можно пинговать роутер филиала, а дальше уже не идет.

В Чем может быть загвоздка, я уже голову всю сломал! Ж(
Куда плюнуть, что капнуть ...

past0r
Я бы порекомендовал для теста отключить iptables для

Цитата:

LAN-1 = eth0 = 192.168.100.1/24
LAN-2 = eth0 = 192.168.150.1/24
VPN = tap0 = 192.168.200/24

И зачем 200/24 если это соединение точка-точка?

Ruza

Фаервол отключал, вот только толку это не принесло. Именно поэтому полез на форум.

###### flush all chains
$ipt -F
$ipt -t nat -F
$ipt -t mangle -F
#
###### Delete all chains
$ipt -X
$ipt -t nat -X
$ipt -t mangle -X


Со стороны локальной сети центрального офиса (LAN-1) все запросы выглядят так:


Вот что пишется мне с рабочего места:

код

admin:/home/echo # traceroute 192.168.150.120
traceroute to 192.168.150.120 (192.168.150.120), 30 hops max, 40 byte packets
1 192.168.100.1 (192.168.100.1) 0.247 ms 0.243 ms 0.243 ms
2 192.168.200.2 (192.168.200.2) 23.375 ms 53.457 ms 68.805 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *


ПК, который я опрашиваю включен. С рутера, который находится в филиале он пингуется

past0r
у тебя настроено tap соединение, а дальнейший конфиг подразумевает tun соединение - ты бы определилися как ты хочешь связываться мостом или тунелем... В случае tun, нужно указать в конфигах сервера и клиента
Код: dev tun

NOwlar
Спасибо, но отсутсвие коннекта мне подсказывает, что дело все-таки не v openVPN а в рутере, который находится в удаленном офисе, вот только куда там капать
он попросту пакеты не пробрасывает

такое ощущение, что нету связи между интерфейсами

past0r
именно в роутере, на котором OpenVPN server крутится
кстати я тебя обманул (перепутал сети 100 и 150).. нужна строчка iroute 192.168.150.0 255.255.255.0, директива route 192.168.150.0 255.255.255.0 в server.conf отвечает за роутинг пакетов от ядра до OpenVPN сервера через tun интерфейс, а строка
iroute 192.168.150.0 255.255.255.0 в /etc/openvpn/ccd/NTagil отвечает за роутинг пакетов от OpenVPN сервера к клиентам. Обе эти строчки необходимы.. И опять же - нужно определиться как будет работать связь через мост (tap) или через туннель (tun), а то у тебя смесь получается (конфиг OpenVPN и нетфильтра для tun, а используешь директиву dev tap)