[Comm] OpenVPN

[Comm] OpenVPN

[Vladimir Karpinsky]

Здравствуйте!

Пытаюсь поднять OpenVPN сервер и подключиться к нему из-под Windows. Нашёл 
ветку на форуме (http://forum.altlinux.org/index.php?topic=10782.0), где 
добрый человек по имени freeak достаточно подробно объясняет, как это 
делать через web-интерфейс (помощь в этом интерфейсе может помочь только 
тому, кто и без неё знает, что надо делать). Сервер поднялся, но 
подключиться к нему не удаётся:

Sep  2 10:01:02 plkv openvpn[14801]: 192.168.5.199:1735 VERIFY ERROR: 
depth=1, error=self signed certificate in certificate chain: 
/C=RU/O=XX_XXX/OU=XX_XXX_Certification_Authority/CN=XX_XXX_Root_Certification_Authority
Sep  2 10:01:02 plkv openvpn[14801]: 192.168.5.199:1735 TLS_ERROR: BIO read 
tls_read_plaintext error: error:140890B2:SSL 
routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sep  2 10:01:02 plkv openvpn[14801]: 192.168.5.199:1735 TLS Error: TLS 
object -> incoming plaintext read error
Sep  2 10:01:02 plkv openvpn[14801]: 192.168.5.199:1735 TLS Error: TLS 
handshake failed


Конфиг на сервере:

port 1194
proto udp
dev tun
ca   /var/lib/ssl/certs/openvpn-server-CA.crt
cert /var/lib/ssl/certs/openvpn-server.cert
key  /var/lib/ssl/private/openvpn-server.key  # This file should be kept 
secret!
dh /var/lib/ssl/certs/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.5.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Конфиг клиента:

client
dev tun
proto udp
remote 123.456.789.123 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert Home.cert
key Home.key
comp-lzo
verb 5


Где-то я запутался, но не могу понять где. Помогите, пожалуйста.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 10:15 AM, Vladimir Karpinsky wrote:
> dh /var/lib/ssl/certs/dh1024.pem
как минимум этого вот нет на клиенте
ca одни и те же?

-- 
wbr, Michael A. Kangin

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 13:22, Michael A. Kangin пишет:
> On 09/02/2012 10:15 AM, Vladimir Karpinsky wrote:
>> dh /var/lib/ssl/certs/dh1024.pem
> как минимум этого вот нет на клиенте

Положил, результата нет

> ca одни и те же?

Подскажите, пожалуйста, где бы это было бы хорошо разжёвано, --- я до конца 
не понимаю логики работы, и сомневаюсь, что правильно понимаю какие 
сертификаты куда надо класть. То что я нашёл делается через easy-rsa. У нас 
этого нет, и подробной документации с альт-спецификой найти тоже не могу.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 02:55 PM, Vladimir Karpinsky wrote:

>>> >> dh /var/lib/ssl/certs/dh1024.pem
>> > как минимум этого вот нет на клиенте
> Положил, результата нет
А сам-то ключ положили? он идентичный серверному?


> Подскажите, пожалуйста, где бы это было бы хорошо разжёвано, --- я до конца
> не понимаю логики работы, и сомневаюсь, что правильно понимаю какие
> сертификаты куда надо класть. То что я нашёл делается через easy-rsa. У нас
> этого нет, и подробной документации с альт-спецификой найти тоже не могу.

openvpn может работать или со статичным ключом, одинаковым для клиента и 
сервера, или с CA-инфраструктурой, когда есть один сертификат CA, 
которому все доверяют, и по сертификато-ключу на каждый клиент и сервер.

Если вам нужно соединить только один клиент и один сервер, проще 
воспользоваться статичным ключом.
Примеры конфигов для этого типа лежат в
/usr/share/doc/openvpn-docs-*/sample-config-files/static-*.conf
(должен быть установлен пакет openvpn-docs)

Иначе же разворачивайте CA-инфраструктуру, если вы не пользуетесь уже 
какой-то готовой. Это вот easy-rsa я никогда почему-то не мог осилить, 
оказалось проще ручками по многочисленным статьям
(например, http://www.opennet.ru/base/sec/openssl.txt.html)
Делаете себе самоподписанный x509 сертификат для CA, делаете сертификаты 
для серверов и клиентов, указываете это всё в конфигах.
Примеры конфигов для этого типа:
/usr/share/doc/openvpn-docs-*/sample-config-files/server.conf
и /usr/share/doc/openvpn-docs-*/sample-config-files/client.conf

Там дофига комментариев, но почитать их душеполезно.


-- 
wbr, Michael A. Kangin

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 15:14, Michael A. Kangin пишет:
> On 09/02/2012 02:55 PM, Vladimir Karpinsky wrote:
>
>>>> >> dh /var/lib/ssl/certs/dh1024.pem
>>> > как минимум этого вот нет на клиенте
>> Положил, результата нет
> А сам-то ключ положили? он идентичный серверному?

dh1024.pem положил и написал про него в клиентский конфиг по аналогии с 
серверным.

> Иначе же разворачивайте CA-инфраструктуру, если вы не пользуетесь уже
> какой-то готовой. Это вот easy-rsa я никогда почему-то не мог осилить,
> оказалось проще ручками по многочисленным статьям

Этот вариант мне надо реализовать. Я пытался ещё web-интерфейс альтератора 
использовать, но по нему внешней документации вообще не нашёл, то что 
внутри называется "справка" напоминает майкрософтовскую справку в её худшем 
виде.

> (например, http://www.opennet.ru/base/sec/openssl.txt.html)
> Делаете себе самоподписанный x509 сертификат для CA, делаете сертификаты
> для серверов и клиентов, указываете это всё в конфигах.
> Примеры конфигов для этого типа:
> /usr/share/doc/openvpn-docs-*/sample-config-files/server.conf
> и /usr/share/doc/openvpn-docs-*/sample-config-files/client.conf
>
> Там дофига комментариев, но почитать их душеполезно.

Я никак до конца не могу расставить себе по полочкам что есть что среди:

openvpn-client-CA.crt
openvpn-server-CA.crt
openvpn-server.cert
openvpn-server.csr
openvpn-server.pem
openvpn-server.key



-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 04:45 PM, Vladimir Karpinsky wrote:

> Я никак до конца не могу расставить себе по полочкам что есть что среди:
>
> openvpn-client-CA.crt
> openvpn-server-CA.crt

Это сертификат CA. Он должен быть единым для сервера и клиентов.

> openvpn-server.cert
> openvpn-server.csr
> openvpn-server.pem

Похоже, что это куча синонимов для одного и того же сертификата сервера.

> openvpn-server.key

Ключ для сервера.

А откуда это всё?


-- 
wbr, Michael A. Kangin

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 16:56, Michael A. Kangin пишет:
> On 09/02/2012 04:45 PM, Vladimir Karpinsky wrote:
>
>> Я никак до конца не могу расставить себе по полочкам что есть что среди:
>>
>> openvpn-client-CA.crt
>> openvpn-server-CA.crt
>
> Это сертификат CA. Он должен быть единым для сервера и клиентов.

Там ещё есть ca-root.pem, он, правда, совпадает с openvpn-client-CA.crt.

>> openvpn-server.cert
>> openvpn-server.csr
>> openvpn-server.pem
>
> Похоже, что это куча синонимов для одного и того же сертификата сервера.

Увы, они разные

>> openvpn-server.key
>
> Ключ для сервера.
>
> А откуда это всё?

# ls  /var/lib/ssl/certs/op* -l
-rw------- 1 root root 3380 Сен  2 00:01 
/var/lib/ssl/certs/openvpn-client-CA.crt
-rw------- 2 root root  782 Май 10 20:59 
/var/lib/ssl/certs/openvpn-server-CA.crt
-rw-r--r-- 2 root root  810 Сен  1 22:47 /var/lib/ssl/certs/openvpn-server.cert
-rw-r--r-- 1 root root  668 Сен  1 21:30 /var/lib/ssl/certs/openvpn-server.csr
lrwxrwxrwx 1 root root   19 Сен  1 22:47 
/var/lib/ssl/certs/openvpn-server.pem -> openvpn-server.cert

Всё это произведено альтератором, вчера я ещё добавил ;-)

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 05:15 PM, Vladimir Karpinsky wrote:

Наверное, если нужны не шашечки, а ехать, лучше почитать документацию на 
openvpn, openssl и добиться работающего решения.
А потом, на досуге, с пониманием того, как должно быть, можно и работу 
альтератора поизучать.

-- 
wbr, Michael A. Kangin

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 18:35, Michael A. Kangin пишет:
> On 09/02/2012 05:15 PM, Vladimir Karpinsky wrote:
>
> Наверное, если нужны не шашечки, а ехать, лучше почитать документацию на
> openvpn, openssl и добиться работающего решения.
> А потом, на досуге, с пониманием того, как должно быть, можно и работу
> альтератора поизучать.

Тут не всё так однозначно: сделать надо 1 раз и надолго, боюсь, что даже, 
если всерьёз разберусь, то к следующему разу (не факт, что он возникнет 
вообще) забуду, поскольку это далеко не основная работа. Поэтому я бы 
предпочёл пошаговое решение с пояснениями, --- думаю, что, с учётом уже 
прочитанного, понимание может придти по ходу. Я просто надеялся, что коль 
скоро создан "интуитивно-понятный" web-интерфейс, то это можно будет просто 
использовать и получить результат, но увы...

Ещё чуть потрепыхаюсь, а потом пойду учиться...

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 18:35, Michael A. Kangin пишет:
> Наверное, если нужны не шашечки, а ехать, лучше почитать документацию на
> openvpn, openssl и добиться работающего решения.

Попробую задать конкретный вопрос:

На сервере есть сертификаты и ключ, описанные в конфиге:

ca   /var/lib/ssl/certs/openvpn-server-CA.crt
cert /var/lib/ssl/certs/openvpn-server.cert
key  /var/lib/ssl/private/openvpn-server.key
dh /var/lib/ssl/certs/dh1024.pem

Есть ещё сертификаты для клиентов, например:

Home.cert
Home.csr
Home.key

Что из этого должно лежать на клиенте и как оно должно быть описано в 
клиентском конфиге? Где на сервере должны быть описаны клиентские 
сертификаты? Клиент --- Windows, но, вероятно, это не принципиально, конфиг 
там аналогичный.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 08:02 PM, Vladimir Karpinsky wrote:

> На сервере есть сертификаты и ключ, описанные в конфиге:
>
> ca   /var/lib/ssl/certs/openvpn-server-CA.crt
> cert /var/lib/ssl/certs/openvpn-server.cert
> key  /var/lib/ssl/private/openvpn-server.key
> dh /var/lib/ssl/certs/dh1024.pem
>
> Есть ещё сертификаты для клиентов, например:
>
> Home.cert
> Home.csr

Вот я не знаю который из них у вас сертификат, подписанный 
вышеупомянутым openvpn-server-CA.crt и с соответствующим нижеупомянутым 
Home.key

> Home.key
>
> Что из этого должно лежать на клиенте и как оно должно быть описано в
> клиентском конфиге?

На клиенте должен лежать сертификат CA, подписанный им клиентский 
сертификат, и ключ, соответствующий клиентскому сертификату.


> Где на сервере должны быть описаны клиентские
> сертификаты?

Нигде. При установке соединения клиент предъявляет свой сертификат, а 
сервер проверяет, что он, сертификат, подписан тем сертификатом CA, 
которому он, сервер, доверяет.

> Клиент --- Windows, но, вероятно, это не принципиально, конфиг
> там аналогичный.
>


-- 
wbr, Michael A. Kangin

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 20:41, Michael A. Kangin пишет:
> На клиенте должен лежать сертификат CA, подписанный им клиентский
> сертификат, и ключ, соответствующий клиентскому сертификату.

Решил плясать от печки, но столкнулся с тем, что в openssl.conf 
предполагается строка:

database                 = $dir/index.txt

Но я нигде ни в чруте, ни в /etc такого файла не вижу, без этого не 
проходит подписывание.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael Shigorin]

On Sun, Sep 02, 2012 at 10:15:26AM +0400, Vladimir Karpinsky wrote:
> Пытаюсь поднять OpenVPN сервер и подключиться к нему из-под Windows. Нашёл 
> ветку на форуме (http://forum.altlinux.org/index.php?topic=10782.0), где 
> добрый человек по имени freeak достаточно подробно объясняет, как это 
> делать через web-интерфейс (помощь в этом интерфейсе может помочь только 
> тому, кто и без неё знает, что надо делать).

Это, кстати, повод повесить багу со ссылкой на пояснение
человеческим языком.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----        Sep 29, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 21:51, Vladimir Karpinsky пишет:
> Решил плясать от печки

Прошёл ещё раз по всем позициям, соединение установить удалось. Но ping 
идёт от клиента к серверу, а наоборот нет, это так и должно быть?

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 10:31 PM, Vladimir Karpinsky wrote:

> Прошёл ещё раз по всем позициям, соединение установить удалось. Но ping
> идёт от клиента к серверу, а наоборот нет, это так и должно быть?

Виндусы после XP вроде гордо перестали отвечать на пинги - фильтруют 
ICMP на файрволе.


-- 
wbr, Michael A. Kangin

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

02.09.2012 23:27, Michael A. Kangin пишет:
> On 09/02/2012 10:31 PM, Vladimir Karpinsky wrote:
>
>> Прошёл ещё раз по всем позициям, соединение установить удалось. Но ping
>> идёт от клиента к серверу, а наоборот нет, это так и должно быть?
>
> Виндусы после XP вроде гордо перестали отвечать на пинги - фильтруют ICMP
> на файрволе.

Да, всё верно --- это файрвол. Спасибо!

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

Здравствуйте!

Вроде разобрался, даже какое-то понимание появилось. Спасибо Михаилу 
Кангину за помощь и терпение в наставлении на путь истинный. Теперь 
возникло несколько вопросов надёжности, удобства пользования, стратегии:

1. Останавливаю сервер. После рестарта сервера, клиент соединится не может 
(ping, ssh), соединение происходит только после рестарта клиента. Это так и 
должно быть? Как бы сделать так, чтобы рестарт сервера не вызывал 
"отсыхание" клиента? Перезапускать клиентов каждый раз руками может 
оказаться не только сложно, но даже невозможно. С Линуксовым клиентом чуть 
проще --- можно написать скрипт, который в отсутствие отклика на пинг будет 
перезапускать службу openvpn. С Виндами такое тоже можно сделать, но 
несколько сложнее, тем более, что клиенты "дохленькие" и не хотелось бы их 
грузить дополнительными задачами. Очень надеюсь, что для этого есть 
какое-нибудь "встроенное" решение.

2. Существует ли механизм "резервирования" сервера: подключение к 
резервному серверу, если основной оказывается недоступным.

3. Правильно ли я понимаю, что при кажущейся прозрачности работы одного 
клиента с другим, весь трафик идёт через сервер?

4. Имея всего десяток клиентов, не очень трудно запомнить/записать их 
адреса, но удобнее работать с именами. Понятно, что DNS-сервер в этом 
должен помочь, но он должен работать исключительно на tun-интерфейс. 
Посмотрел на настройки DNS-сервера в web-интерфейсе Ковчега, обновлённого 
до p6, и такой возможности не увидел. Подскажите, пожалуйста, какое-нибудь 
несложное решение этой проблемы. С настройкой DNS-сервера до сих пор дела 
не имел.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael Shigorin]

On Tue, Sep 04, 2012 at 11:05:50AM +0400, Vladimir Karpinsky wrote:
> Как бы сделать так, чтобы рестарт сервера не вызывал
> "отсыхание" клиента?

Попробуйте добавить в конфигурацию клиента что-то вроде
ping-restart 2 (значение таймаута подберите по обстоятельствам).

> 4. Имея всего десяток клиентов, не очень трудно
> запомнить/записать их адреса, но удобнее работать с именами.
> Понятно, что DNS-сервер в этом должен помочь, но он должен
> работать исключительно на tun-интерфейс.  Посмотрел на
> настройки DNS-сервера в web-интерфейсе Ковчега, обновлённого до
> p6, и такой возможности не увидел. Подскажите, пожалуйста,
> какое-нибудь несложное решение этой проблемы. С настройкой
> DNS-сервера до сих пор дела не имел.

Могу только заметить, что в 1998/1999 у меня прочтение DNS-HOWTO
и настройка прямой/обратной зоны заняли что-то в районе получаса.
Т.е. это можно брать как примерную верхнюю границу разумных трат
времени на простенький DNS :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----        Sep 29, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

04.09.2012 17:22, Michael Shigorin пишет:
> On Tue, Sep 04, 2012 at 11:05:50AM +0400, Vladimir Karpinsky wrote:
>> Как бы сделать так, чтобы рестарт сервера не вызывал
>> "отсыхание" клиента?
>
> Попробуйте добавить в конфигурацию клиента что-то вроде
> ping-restart 2 (значение таймаута подберите по обстоятельствам).

на ping-restart ругается, что нет такой опции (или я её неправильно 
готовлю), но то ли надо было просто подождать, то ли keepalive 10 120 помогло.

>> 4. Имея всего десяток клиентов, не очень трудно
>> запомнить/записать их адреса, но удобнее работать с именами.
>> Понятно, что DNS-сервер в этом должен помочь, но он должен
>> работать исключительно на tun-интерфейс.  Посмотрел на
>> настройки DNS-сервера в web-интерфейсе Ковчега, обновлённого до
>> p6, и такой возможности не увидел. Подскажите, пожалуйста,
>> какое-нибудь несложное решение этой проблемы. С настройкой
>> DNS-сервера до сих пор дела не имел.
>
> Могу только заметить, что в 1998/1999 у меня прочтение DNS-HOWTO
> и настройка прямой/обратной зоны заняли что-то в районе получаса.
> Т.е. это можно брать как примерную верхнюю границу разумных трат
> времени на простенький DNS :)

Просто очередной раз решил воспользоваться альтератором, но похоже опять 
облом ;-)

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

Тут ещё натолкнулся:

при поднятом VPN (10.8...) с Вин-клиента пытаюсь попасть через ssh в 
локальной сети на 192.168... и не получается. Tracert явно показывает, что 
пытаюсь ломится через 10.8.0.1. Выход во внешний мир при этом происходит 
без проблем. Стоит опустить VPN, как всё получается. Т.е. имею какие-то 
проблемы с маршрутизацией, коннект идёт через VPNовский интерфейс вместо 
того чтобы идти по локальной сети. Как это можно побороть?

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Dmitriy Kruglikov]

4 сентября 2012 г., 16:41 пользователь Vladimir Karpinsky написал:
> Как это можно побороть?
Посмотреть таблицу маршрутов, чтоб понять, кто и куда развернулся.
Рулить маршрутизацией после старта VPN.


-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

04.09.2012 18:19, Dmitriy Kruglikov пишет:
> 4 сентября 2012 г., 16:41 пользователь Vladimir Karpinsky написал:
>> Как это можно побороть?
> Посмотреть таблицу маршрутов, чтоб понять, кто и куда развернулся.
> Рулить маршрутизацией после старта VPN.

С VPN
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
           0.0.0.0          0.0.0.0      192.168.5.1    192.168.5.155     25
          10.8.0.0    255.255.255.0         10.8.0.9        10.8.0.10     30
          10.8.0.8  255.255.255.252         On-link         10.8.0.10    286
         10.8.0.10  255.255.255.255         On-link         10.8.0.10    286
         10.8.0.11  255.255.255.255         On-link         10.8.0.10    286
         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
       192.168.5.0    255.255.255.0         10.8.0.9        10.8.0.10     30
     192.168.5.155  255.255.255.255         On-link     192.168.5.155    281
     192.168.5.255  255.255.255.255         On-link     192.168.5.155    281
         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
         224.0.0.0        240.0.0.0         On-link         10.8.0.10    286
         224.0.0.0        240.0.0.0         On-link     192.168.5.155    281
   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
   255.255.255.255  255.255.255.255         On-link         10.8.0.10    286
   255.255.255.255  255.255.255.255         On-link     192.168.5.155    281
===========================================================================
	

Без

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
           0.0.0.0          0.0.0.0      192.168.5.1    192.168.5.155     25
         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
     192.168.5.155  255.255.255.255         On-link     192.168.5.155    281
     192.168.5.255  255.255.255.255         On-link     192.168.5.155    281
         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
         224.0.0.0        240.0.0.0         On-link     192.168.5.155    281
   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
   255.255.255.255  255.255.255.255         On-link     192.168.5.155    281
===========================================================================

Что-то здесь явно неправильно, но знаний понять что пока явно не хватает...

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Dmitriy Kruglikov]

4 сентября 2012 г., 17:41 пользователь Vladimir Karpinsky  написал:

>
> Что-то здесь явно неправильно, но знаний понять что пока явно не хватает...
 192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
 192.168.5.0    255.255.255.0         10.8.0.9        10.8.0.10     30

Метрика маршрута через 10.8.0.9 меньше, чем метрика маршрута через 192.168.5.155
Традиционные вопросы "какого?" и "как?"
В смысле, зачем и каким образом маршрут на локальный сегмент через VPN
попадает в таблицу маршрутизации?


-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Comm] OpenVPN

[Mikhail Efremov]

On Tue, 4 Sep 2012 18:55:48 +0300 Dmitriy Kruglikov wrote:
> 4 сентября 2012 г., 17:41 пользователь Vladimir Karpinsky  написал:
> 
> >
> > Что-то здесь явно неправильно, но знаний понять что пока явно не хватает...
>  192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
>  192.168.5.0    255.255.255.0         10.8.0.9        10.8.0.10     30
> 
> Метрика маршрута через 10.8.0.9 меньше, чем метрика маршрута через 192.168.5.155
> Традиционные вопросы "какого?" и "как?"
> В смысле, зачем и каким образом маршрут на локальный сегмент через VPN
> попадает в таблицу маршрутизации?

Надо в первую очередь смотреть конфигурацию сервера. Если там сказано,
что такой маршрут через VPN, то на клиенте так и будет.

-- 
WBR, Mikhail Efremov

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

04.09.2012 20:29, Mikhail Efremov пишет:
> On Tue, 4 Sep 2012 18:55:48 +0300 Dmitriy Kruglikov wrote:
>> 4 сентября 2012 г., 17:41 пользователь Vladimir Karpinsky  написал:
>>
>>>
>>> Что-то здесь явно неправильно, но знаний понять что пока явно не хватает...
>>   192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
>>   192.168.5.0    255.255.255.0         10.8.0.9        10.8.0.10     30
>>
>> Метрика маршрута через 10.8.0.9 меньше, чем метрика маршрута через 192.168.5.155
>> Традиционные вопросы "какого?" и "как?"
>> В смысле, зачем и каким образом маршрут на локальный сегмент через VPN
>> попадает в таблицу маршрутизации?
>
> Надо в первую очередь смотреть конфигурацию сервера. Если там сказано,
> что такой маршрут через VPN, то на клиенте так и будет.

Откуда-то брал пример ccd/client

push "route 10.8.0.0 255.255.255.0"
ifconfig-push 10.8.0.10 10.8.0.9

Видимо этот route и портит жизнь, оставил только последнюю строку.

Теперь таблица такая:


IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
           0.0.0.0          0.0.0.0      192.168.5.1    192.168.5.155     25
          10.8.0.0    255.255.255.0         10.8.0.9        10.8.0.10     30
          10.8.0.8  255.255.255.252         On-link         10.8.0.10    286
         10.8.0.10  255.255.255.255         On-link         10.8.0.10    286
         10.8.0.11  255.255.255.255         On-link         10.8.0.10    286
         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
     192.168.5.155  255.255.255.255         On-link     192.168.5.155    281
     192.168.5.255  255.255.255.255         On-link     192.168.5.155    281
         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
         224.0.0.0        240.0.0.0         On-link         10.8.0.10    286
         224.0.0.0        240.0.0.0         On-link     192.168.5.155    281
   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
   255.255.255.255  255.255.255.255         On-link         10.8.0.10    286
   255.255.255.255  255.255.255.255         On-link     192.168.5.155    281
===========================================================================

Вроде, проблемы исчезли.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

> Откуда-то брал пример ccd/client
>
> push "route 10.8.0.0 255.255.255.0"
> ifconfig-push 10.8.0.10 10.8.0.9

> Вроде, проблемы исчезли.

Не вру, всё то же самое. Помогло добавление строки

iroute 192.168.5.0 255.255.255.0

И после этого строку с route можно удалять, а можно и оставить.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

04.09.2012 20:52, Vladimir Karpinsky пишет:
> Не вру, всё то же самое. Помогло добавление строки
>
> iroute 192.168.5.0 255.255.255.0

Тут, правда, есть грабля: я завтра с этим ноутбуком приду в сеть 
192.168.15, а потом ещё куда, и мне придётся опять править этот файл. М.б. 
как-то можно это автоматизировать?

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Serge Boudnik]

04.09.2012 20:59, Vladimir Karpinsky пишет:
> 04.09.2012 20:52, Vladimir Karpinsky пишет:
>> Не вру, всё то же самое. Помогло добавление строки
>>
>> iroute 192.168.5.0 255.255.255.0
>
> Тут, правда, есть грабля: я завтра с этим ноутбуком приду в сеть 
> 192.168.15, а потом ещё куда, и мне придётся опять править этот файл. 
> М.б. как-то можно это автоматизировать?
>
Судя по симптомам, ovpn переназначает default router.
Эта можно отключить в конфиге.

-- 
WBR, Serge Boudnik

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

04.09.2012 20:29, Mikhail Efremov пишет:
> On Tue, 4 Sep 2012 18:55:48 +0300 Dmitriy Kruglikov wrote:
>> 4 сентября 2012 г., 17:41 пользователь Vladimir Karpinsky  написал:
>>
>>>
>>> Что-то здесь явно неправильно, но знаний понять что пока явно не хватает...
>>   192.168.5.0    255.255.255.0         On-link     192.168.5.155    281
>>   192.168.5.0    255.255.255.0         10.8.0.9        10.8.0.10     30
>>
>> Метрика маршрута через 10.8.0.9 меньше, чем метрика маршрута через 192.168.5.155
>> Традиционные вопросы "какого?" и "как?"
>> В смысле, зачем и каким образом маршрут на локальный сегмент через VPN
>> попадает в таблицу маршрутизации?
>
> Надо в первую очередь смотреть конфигурацию сервера. Если там сказано,
> что такой маршрут через VPN, то на клиенте так и будет.

Нашёл ошибку: в конфиге сервера была раскомментирована строка:

push "route 192.168.5.0 255.255.255.0"

По всей видимости случайно...

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Michael Shigorin]

On Tue, Sep 04, 2012 at 04:22:27PM +0300, I wrote:
> > Как бы сделать так, чтобы рестарт сервера не вызывал
> > "отсыхание" клиента?
> Попробуйте добавить в конфигурацию клиента что-то вроде
> ping-restart 2 (значение таймаута подберите по обстоятельствам).

Совет был крайне поспешным (не заметил сразу, т.к. обычно syslog
заглушен по причине SSD, а документацию читал наспех).  Читать как:

ping 2
ping-restart 10

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----        Sep 29, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

07.09.2012 14:04, Michael Shigorin пишет:
> On Tue, Sep 04, 2012 at 04:22:27PM +0300, I wrote:
>>> Как бы сделать так, чтобы рестарт сервера не вызывал
>>> "отсыхание" клиента?
>> Попробуйте добавить в конфигурацию клиента что-то вроде
>> ping-restart 2 (значение таймаута подберите по обстоятельствам).
>
> Совет был крайне поспешным (не заметил сразу, т.к. обычно syslog
> заглушен по причине SSD, а документацию читал наспех).  Читать как:
>
> ping 2
> ping-restart 10

У меня пока работает

keepalive 10 120

Я так понимаю, что это практически одно и то же, с ping-restart их 
одновременно запихивать нельзя, openvpn даже ругается на это при запуске. 
Понаблюдаю, если будут проблемы, попробую это вариант. Спасибо!

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

04.09.2012 17:22, Michael Shigorin пишет:
> Могу только заметить, что в 1998/1999 у меня прочтение DNS-HOWTO
> и настройка прямой/обратной зоны заняли что-то в районе получаса.
> Т.е. это можно брать как примерную верхнюю границу разумных трат
> времени на простенький DNS:)

Поднять поднял, но не понимаю, как объяснить клиентам, что им надо 
пользоваться. Добавил в настройки openvpn сервера
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DOMAIN vpn.qqq"

DNS сервер  у клиента прорезался, а, вот, суффикс нет.

Но и это полбеды, при попытке nslookup'нуть что-нибудь туннельное без 
указания DNS сервера, всё равно лезет на дефолтный DNS. Можно как-то 
объяснить, что, если надо лезть в туннельный интерфейс, то DNS надо 
использовать соответствующий.

-- 
	С уважением,
		Владимир.

Re: [Comm] OpenVPN

[Mikhail Efremov]

On Thu, 13 Sep 2012 19:06:46 +0400 Vladimir Karpinsky wrote:
> 04.09.2012 17:22, Michael Shigorin пишет:
> > Могу только заметить, что в 1998/1999 у меня прочтение DNS-HOWTO
> > и настройка прямой/обратной зоны заняли что-то в районе получаса.
> > Т.е. это можно брать как примерную верхнюю границу разумных трат
> > времени на простенький DNS:)
> 
> Поднять поднял, но не понимаю, как объяснить клиентам, что им надо 
> пользоваться. Добавил в настройки openvpn сервера
> push "dhcp-option DNS 10.8.0.1"
> push "dhcp-option DOMAIN vpn.qqq"
> 
> DNS сервер  у клиента прорезался, а, вот, суффикс нет.

Странно. И адрес сервера тоже не должен был сам собою попасть
в /etc/resolv.conf. Кто-то его туда записал. При настройке с помощью
etcnet это можно делать ifup-post скриптом. Так делает альтераторный
модуль, например.

> Но и это полбеды, при попытке nslookup'нуть что-нибудь туннельное без 
> указания DNS сервера, всё равно лезет на дефолтный DNS. Можно как-то 
> объяснить, что, если надо лезть в туннельный интерфейс, то DNS надо 
> использовать соответствующий.

Это делается с помощью локального DNS-сервера на клиенте. Я для этого
использую dnsmasq. А у resolvconf есть полезная опция -p, специально на
такой случай.

-- 
WBR, Mikhail Efremov

Re: [Comm] OpenVPN

[Vladimir Karpinsky]

13.09.2012 21:33, Mikhail Efremov пишет:
>> Поднять поднял, но не понимаю, как объяснить клиентам, что им надо
>> пользоваться. Добавил в настройки openvpn сервера
>> push "dhcp-option DNS 10.8.0.1"
>> push "dhcp-option DOMAIN vpn.qqq"
>>
>> DNS сервер  у клиента прорезался, а, вот, суффикс нет.
>
> Странно. И адрес сервера тоже не должен был сам собою попасть
> в /etc/resolv.conf. Кто-то его туда записал. При настройке с помощью
> etcnet это можно делать ifup-post скриптом. Так делает альтераторный
> модуль, например.

Я смотрю по виндовому клиенту, --- там после "push DNS...", этот DNS 
появляется в свойствах подключения, но не используется. В линуксовом 
клиенте в resolv.conf ничего не попадает.

>> Но и это полбеды, при попытке nslookup'нуть что-нибудь туннельное без
>> указания DNS сервера, всё равно лезет на дефолтный DNS. Можно как-то
>> объяснить, что, если надо лезть в туннельный интерфейс, то DNS надо
>> использовать соответствующий.
>
> Это делается с помощью локального DNS-сервера на клиенте. Я для этого
> использую dnsmasq.

Вот только что делать, когда клиенты виндовые и дохлые (расчитанные только 
на сбор данных с железяки и отправку их в "Центр").

> А у resolvconf есть полезная опция -p, специально на
> такой случай.

Что-то в мане про -p не шибко подробно написано...

В конце концов без этого можно жить, я очередной раз надеялся, что сделаю 
жизнь удобнее малой кровью.

-- 
	С уважением,
		Владимир.