Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Maxim Tyurin]

Dmitriy Kruglikov writes:

> А строка, iroute 192.168.1.0/24, которую я шлепнул по многолетней привычке,
> работать отказалась, хотя в таблице маршрутизации все выглядело великолепно.
>
> Два дня жестокого порно...
> Ибо /24 для меня выглядит так же легитимно, как и 255.255.255.0
>
> Не наступайте на эти грабли :)

Ну вообще-то в конфиге openvpn нигде не используется CIDR нотация.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Dmitriy Kruglikov]

21 августа 2008 г. 11:15 пользователь Maxim Tyurin  написал:
>
> Ну вообще-то в конфиге openvpn нигде не используется CIDR нотация.
Да ...
Но я не мог и предположить, что она _запрещена_ ...
Точнее, не работоспособна ...
Для меня-то они обе идентичны и с таким я встретился впервые.


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Nikolay A. Fetisov]

On Thu, 21 Aug 2008 09:19:25 +0300
Dmitriy Kruglikov wrote:

> ...
> Есди это и не баг, то стоит задокументировать, а именно:
> ... строка должна быть:
> iroute 192.168.1.0 255.255.255.0

Оно задокументировано, openvpn(8):
...
  --iroute network [netmask]
              Generate an internal route to a specific client. The
netmask parameter, if omitted, defaults to 255.255.255.255.
....... 

И это не баг - OpenVPN не предполагает, что клиенты (и сервер) знают о
существовании iproute2. Весь синтаксис рассчитан на добрые старые
ifconfig и route, которые и вызываются OpenVPN'ом при настройке
соединения. Кстати, в логах можно посмотреть, с какими именно
параметрами вызываются эти _внешние_ команды.

-- 
С уважением,
Николай Фетисов

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Dmitriy Kruglikov]

21 августа 2008 г. 12:08 пользователь Nikolay A. Fetisov  написал:
> Оно задокументировано, openvpn(8):
> ...
>  --iroute network [netmask]
>              Generate an internal route to a specific client. The
> netmask parameter, if omitted, defaults to 255.255.255.255.
> .......
Но тут не написано, что _только_ в таком виде ...
Может быть янки не так уж и не правы, когда пишут на микроволновках о том,
что кошек в них сушить запрещено ...
А собачек, и нтересно, можно ?

> Весь синтаксис рассчитан на добрые старые
> ifconfig и route, которые и вызываются OpenVPN'ом при настройке
> соединения. Кстати, в логах можно посмотреть, с какими именно
> параметрами вызываются эти _внешние_ команды.
Видел, конечно ...
Но там не было сообщений об ошибках, и в таблицу маршрутизации
сети _добавлялись_, и ip route get выдавал _правильный_ маршрут ...
А пакетики не бегали ...

И именно в этом, неадекватном, поведении я и усматриваю баг.
О том, что нельзя некоторые параметры применять одновременно,
OpenVPN иронически уведомляет (типа, это, вероятно, не то, что вы хотели)
А о том, что он не понимает маску в такой нотации с чуством ложной стыдливости
умалчивает ...
И маршрут, как ни странно, добавляется ...

P.S.
Я действительно привык писать маску в такой нотации,
и где-то с 1992 года это у меня первый случай облома ...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Dmitriy Kruglikov]

26 августа 2008 г. 6:56 пользователь Denis A. Lopin написал:
>
> А заподсказку о граблях спасибо.
>
Всегда рад быть полезным.

В отместку можете поделиться опытом указания статических маршрутов для
клиентов pptpd.
Мне нужно вдолбить клиенту о том, что некоторая сеть находится по ту
сторону канала openvpn :)
Клиенты могут быть как Вынь, так и нормальные...

И клиентов тех - 5 рыл, по этому городить радиус нецелесообразно.
Но, видать, другого выхода нет.


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Dmitriy Kruglikov]

27 августа 2008 г. 21:18 пользователь Denis A. Lopin  написал:
> Ваши клиенты каким либообразом авторизуются в сети или просто находятся в
> локалке?
Клиент<->PPTP<->Сервер1<->OpenVPN<->Сервер2<->Локалка
Сервер1 знает все о локалке, и Сервер2 знает о сети, из которой
получают адреса Клиенты.
Но клиент не получает информацию о Локалке, которая находится за Сервер2.
Клиент получает доступ только к сегменту сети Сервер1

Выставлять Сервер1 в качестве шлюза по умолчанию - плохо, ибо у
Клиента тогда потухнет остальной Инет.
Пересылать через Сервер1 весь его трафик, вытягивая из ppp и
заворачивая обратно в Инет - не очень хочется, хотя, как последнее
средство, можно применить.

P.S.
Как настраивать маршрутизацию, я знаю :)
Я не знаю способа, как заставить рабочую станцию Клиента получить эти маршруты.
Варианты с набором команд на клиенте не проходят, так как они мне не доступны.
Туда я могу ментально сообщить только точку входа, логин и пароль.
Я даже не знаю, какая там ОСь, и не исключено, что там Simbian или еще
какая экзотика.

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Dmitriy Kruglikov]

28 августа 2008 г. 20:43 пользователь Denis A. Lopin  написал:
> Но в данном случае получается что до подключения через pptp клиенты
> собственно ничего о другой сети и не знают.
>  а к инету доступ они получают авторизовавшись на  pptp сервере и получив
> маршрут по умолчанию? Я правильно понял схему?
Не совсем ...
Клиенты подключаются к Инету как попало ...
И маршрутизацию они получают от своего провайдера или еще как ...
Потом они добираются до моего сервера pptp и поднимают VPN в мою
(корпоративную) сеть.
И должны получить еще некоторый набор статических маршрутов.

При подключении к Инет маршрутизация приплывает по DHCP или от Radius
провайдера.
А от меня маршрутизацию выдать можно только через такой же Radius,
чего я делать не хочу,
так как это из пушки по мухам.



-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Владимир]

Dmitriy Kruglikov пишет:
> 28 августа 2008 г. 20:43 пользователь Denis A. Lopin  написал:
>   
>> Но в данном случае получается что до подключения через pptp клиенты
>> собственно ничего о другой сети и не знают.
>>  а к инету доступ они получают авторизовавшись на  pptp сервере и получив
>> маршрут по умолчанию? Я правильно понял схему?
>>     
> Не совсем ...
> Клиенты подключаются к Инету как попало ...
> И маршрутизацию они получают от своего провайдера или еще как ...
> Потом они добираются до моего сервера pptp и поднимают VPN в мою
> (корпоративную) сеть.
> И должны получить еще некоторый набор статических маршрутов.
>
>   

В сети кто то один должен вести маршрутную таблицу, и никак по другому.
Или договаривайтесь с провайдером о выдаче нужных вам статических 
маршрутов,
или прячте своих клиентов за шлюз.



-- 
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru

Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN

[Dmitriy Kruglikov]

29 августа 2008 г. 10:28 пользователь Владимир  написал:
>
> В сети кто то один должен вести маршрутную таблицу, и никак по другому.
> Или договаривайтесь с провайдером о выдаче нужных вам статических маршрутов,
> или прячте своих клиентов за шлюз.
>
Мистер, вы о чем ???
У меня клиенты по всему шарику ползают ...
С кем договариваться ?


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com