[sisyphus] NetworkManager-openvpn

[sisyphus] NetworkManager-openvpn

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 740 bytes --]

Не смог подключиться к openvpn через NM. Диагностики, как всегда с NM,
никакой, но если после мучений таки выдрать строку запуска openvpn,
выполнить её руками и параллельно запустить
/usr/lib/nm-openvpn-service-openvpn-helper, он выдаёт
"nm-openvpn-service-openvpn-helper didn't receive a valid VPN Gateway from
openvpn." Правда, он это выдаёт даже если его просто так запустить.
При этом если аутентификация не по static key, то почему-то нельзя указать
адреса для --ifconfig, на что сервер выдаёт warning (правда, соединения-то
всё равно нету).

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

Если есть хотя бы тень сомнения в том, надо ли увеличивать номер релиза,
увеличивайте.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Sat, 17 Oct 2009 20:09:02 +0600 Andrey Rahmatullin wrote:
> Не смог подключиться к openvpn через NM. Диагностики, как всегда с NM,
> никакой

В /var/log/messages должно быть полно информации и от NM, и от openvpn.
Если мало - можно выставить переменную окружения OPENVPN_DEBUG, тогда
NM запускает openvpn с --verb 10. 

> При этом если аутентификация не по static key, то
> почему-то нельзя указать адреса для --ifconfig, на что сервер выдаёт
> warning (правда, соединения-то всё равно нету).

Адреса должны приезжать от сервера, я не понял о каком warning речь.
Я без проблем подключался к тестовому openvpn серверу. Точно правильно
выставлены опции openvpn: LZO, UDP/TCP, TUN/TAP?

-- 
WBR, Mikhail Efremov

Re: [sisyphus] NetworkManager-openvpn

[Ildar Mulyukov]

On 17.10.2009 20:09:02, Andrey Rahmatullin wrote:
> Не смог подключиться к openvpn через NM. Диагностики, как всегда с NM,
> никакой, но если после мучений таки выдрать строку запуска openvpn,
> выполнить её руками и параллельно запустить
> /usr/lib/nm-openvpn-service-openvpn-helper, он выдаёт
> "nm-openvpn-service-openvpn-helper didn't receive a valid VPN Gateway  
> from
> openvpn." Правда, он это выдаёт даже если его просто так запустить.
> При этом если аутентификация не по static key, то почему-то нельзя  
> указать
> адреса для --ifconfig, на что сервер выдаёт warning (правда,  
> соединения-то
> всё равно нету).

У Вас туннель должен стать Шлюзом по умолчанию?
Если нет - надо кликнуть: IPv4 -> Routes -> Use this connection only  
for resources on its network.

Дебилизм, если честно. Почему NM не может взять эту информацию из  
самого тунеля (от сервера)?

С уважением,
-- 
Ildar  Mulyukov,  free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
Jabber: ildar@jabber.ru
ICQ: 4334029
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================

Re: [sisyphus] NetworkManager-openvpn

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 2414 bytes --]

On Mon, Oct 19, 2009 at 01:13:16AM +0400, Mikhail Efremov wrote:
> В /var/log/messages должно быть полно информации и от NM, и от openvpn.
Если брать вариант с TLS, то так:

nm-openvpn[12716]: OpenVPN 2.0.8 i586-alt-linux-gnu [SSL] [LZO] [EPOLL] built on Jun  5 2009
NetworkManager: <info>  VPN connection '<вырезано>' (Connect) reply received.
nm-openvpn[12716]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
nm-openvpn[12716]: WARNING: file '/usr/share/doc/openvpn-docs-2.0.9/sample-keys/client.key' is group or others accessible
nm-openvpn[12716]: UDPv4 link local: [undef]
nm-openvpn[12716]: UDPv4 link remote: <вырезано>:1194
nm-openvpn[12716]: WARNING: 'ifconfig' is present in remote config but missing in local config, remote='ifconfig 10.8.0.2 10.8.0.1'
nm-openvpn[12716]: [Test-Server] Peer Connection Initiated with <вырезано>:1194
nm-openvpn[12716]: TUN/TAP device tun0 opened
nm-openvpn[12716]: /usr/lib/nm-openvpn-service-openvpn-helper tun0 1500 1541   init
NetworkManager: <info>  VPN plugin failed: 2
nm-openvpn[12716]: script failed: shell command exited with error status: 1
nm-openvpn[12716]: Exiting

> Если мало - можно выставить переменную окружения OPENVPN_DEBUG, тогда
> NM запускает openvpn с --verb 10. 
Попробую.
Где придётся выставлять эту переменную?

> Адреса должны приезжать от сервера
Вот я и не понял, что для этого надо сделать. Конфиг сервера:

dev tun
ifconfig 10.8.0.1 10.8.0.2
tls-server
ca /usr/share/doc/openvpn/examples/sample-keys/ca.crt
cert /usr/share/doc/openvpn/examples/sample-keys/server.crt
key /usr/share/doc/openvpn/examples/sample-keys/server.key
dh /usr/share/doc/openvpn/examples/sample-keys/dh1024.pem

> я не понял о каком warning речь.
WARNING: 'ifconfig' is present in local config but missing in remote
config, local='ifconfig 10.8.0.1 10.8.0.2'

> Я без проблем подключался к тестовому openvpn серверу. Точно правильно
> выставлены опции openvpn: LZO, UDP/TCP, TUN/TAP?
Все галки в "дополнительно" сняты.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

Изменение базовых /etc/{passed,group} не поможет для многочисленных
систем, где пакет setup будет обновлен, а не установлен заново.

К сожалению, по этой причине мы не можем свободно манипулировать базовыми
/etc/{passed,group}.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Mon, 19 Oct 2009 11:32:49 +0600 Andrey Rahmatullin wrote:
> '/usr/share/doc/openvpn-docs-2.0.9/sample-keys/client.key' is group
> or others accessible nm-openvpn[12716]: UDPv4 link local: [undef]
> nm-openvpn[12716]: UDPv4 link remote: <вырезано>:1194
> nm-openvpn[12716]: WARNING: 'ifconfig' is present in remote config
> but missing in local config, remote='ifconfig 10.8.0.2 10.8.0.1'
> nm-openvpn[12716]: [Test-Server] Peer Connection Initiated with
> <вырезано>:1194 nm-openvpn[12716]: TUN/TAP device tun0 opened
> nm-openvpn[12716]: /usr/lib/nm-openvpn-service-openvpn-helper tun0
> 1500 1541   init NetworkManager: <info>  VPN plugin failed: 2
> nm-openvpn[12716]: script failed: shell command exited with error
> status: 1 nm-openvpn[12716]: Exiting

Да, по этому выводу мало что понятно.

> > Если мало - можно выставить переменную окружения OPENVPN_DEBUG,
> > тогда NM запускает openvpn с --verb 10. 
> Попробую.
> Где придётся выставлять эту переменную?

Можно остановить NM и запускать руками как
OPENVPN_DEBUG=1 /usr/sbin/NetworkManager --no-daemon

> > Адреса должны приезжать от сервера
> Вот я и не понял, что для этого надо сделать. Конфиг сервера:
> 
> dev tun
> ifconfig 10.8.0.1 10.8.0.2
> tls-server
> ca /usr/share/doc/openvpn/examples/sample-keys/ca.crt
> cert /usr/share/doc/openvpn/examples/sample-keys/server.crt
> key /usr/share/doc/openvpn/examples/sample-keys/server.key
> dh /usr/share/doc/openvpn/examples/sample-keys/dh1024.pem
> 
> > я не понял о каком warning речь.
> WARNING: 'ifconfig' is present in local config but missing in remote
> config, local='ifconfig 10.8.0.1 10.8.0.2'

Хм, я использовал просто server, оно разворачивается в tls-server,
ifconfig, etc. Такого warning не припомню. Т.е примерно так:
port 1194
proto udp
dev  tun
ca /usr/share/doc/openvpn/examples/sample-keys/ca.crt
cert /usr/share/doc/openvpn/examples/sample-keys/server.crt
key /usr/share/doc/openvpn/examples/sample-keys/server.key
dh /usr/share/doc/openvpn/examples/sample-keys/dh1024.pem
server 10.8.0.0 255.255.255.0
user openvpn
group openvpn
ifconfig-pool-persist ipp.txt
keepalive 10 120
persist-key
persist-tun
client-to-client
status openvpn-status.log
verb 3
# Дополнительные маршруты
push "route 11.11.11.0 255.255.255.0"

> > Я без проблем подключался к тестовому openvpn серверу. Точно
> > правильно выставлены опции openvpn: LZO, UDP/TCP, TUN/TAP?
> Все галки в "дополнительно" сняты.

Там главное чтобы совпадало с настройками сервера. Например, если на
сервере выставлено comp-lzo, а на клиенте - нет, то работать ничего не
будет, причем вменяемой диагностики openvpn не выдает, насколько я
помню.

-- 
WBR, Mikhail Efremov

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Mon, 19 Oct 2009 10:24:31 +0600 Ildar Mulyukov wrote:
> У Вас туннель должен стать Шлюзом по умолчанию?
> Если нет - надо кликнуть: IPv4 -> Routes -> Use this connection only  
> for resources on its network.
> 
> Дебилизм, если честно. Почему NM не может взять эту информацию из  
> самого тунеля (от сервера)?

Потому что никому, кроме самого клиента, не известно, хочет ли он
использовать этот туннель как default route.

-- 
WBR, Mikhail Efremov

Re: [sisyphus] NetworkManager-openvpn

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 481 bytes --]

On Mon, Oct 19, 2009 at 04:43:03PM +0400, Mikhail Efremov wrote:
> Хм, я использовал просто server, оно разворачивается в tls-server,
> ifconfig, etc. 
Вот так заработало, спасибо.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

> Коллеги, если вы курите творение под названием PHP, то
> представляю для вас новый более забористый продукт - PHP5.
А что, хорошая трава. И главное недорого.
Курить кофе мне стало не по карману.
		-- alb in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

Re: [sisyphus] NetworkManager-openvpn

[Ildar Mulyukov]

On 19.10.2009 18:44:49, Mikhail Efremov wrote:
> On Mon, 19 Oct 2009 10:24:31 +0600 Ildar Mulyukov wrote:
> > У Вас туннель должен стать Шлюзом по умолчанию?
> > Если нет - надо кликнуть: IPv4 -> Routes -> Use this connection only
> > for resources on its network.
> >
> > Дебилизм, если честно. Почему NM не может взять эту информацию из
> > самого тунеля (от сервера)?
> 
> Потому что никому, кроме самого клиента, не известно, хочет ли он
> использовать этот туннель как default route.

Ещё как известно. Серверу. На сервере есть для этого соотв. ручка.
-- 
Ildar

Re: [sisyphus] NetworkManager-openvpn

[Alexander Volkov]

On 2009-10-19 16:43:03 +0400, Mikhail Efremov wrote:
ME> On Mon, 19 Oct 2009 11:32:49 +0600 Andrey Rahmatullin wrote:
ME> Там главное чтобы совпадало с настройками сервера. Например, если на
ME> сервере выставлено comp-lzo, а на клиенте - нет, то работать ничего не
ME> будет, причем вменяемой диагностики openvpn не выдает, насколько я
ME> помню.
Вот как раз про comp-lzo в логе пишет однозначно, если с сервером не
совпадает...

--
 Regards, Alexander

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Mon, 19 Oct 2009 17:27:28 +0400 Alexander Volkov wrote:
> ME> Там главное чтобы совпадало с настройками сервера. Например, если
> ME> на сервере выставлено comp-lzo, а на клиенте - нет, то работать
> ME> ничего не будет, причем вменяемой диагностики openvpn не выдает,
> ME> насколько я помню.
> Вот как раз про comp-lzo в логе пишет однозначно, если с сервером не
> совпадает...

Ну, может я ошибаюсь. Просто помнится в такой ситуации я не сразу
понял в чем проблема.

-- 
WBR, Mikhail Efremov

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Mon, 19 Oct 2009 19:17:14 +0600 Ildar Mulyukov wrote:
> > > У Вас туннель должен стать Шлюзом по умолчанию?
> > > Если нет - надо кликнуть: IPv4 -> Routes -> Use this connection
> > > only for resources on its network.
> > >
> > > Дебилизм, если честно. Почему NM не может взять эту информацию из
> > > самого тунеля (от сервера)?
> > 
> > Потому что никому, кроме самого клиента, не известно, хочет ли он
> > использовать этот туннель как default route.
> 
> Ещё как известно. Серверу. На сервере есть для этого соотв. ручка.

Какая? Не помню такого.
В любом случае, принимать решение куда ставить маршрут по умолчанию
должен сам клиент. VPN сервер не должен влиять на это. Он же не DHCP
сервер.

-- 
WBR, Mikhail Efremov

Re: [sisyphus] NetworkManager-openvpn

[Ildar Mulyukov]

On 19.10.2009 23:56:54, Mikhail Efremov wrote:
> On Mon, 19 Oct 2009 19:17:14 +0600 Ildar Mulyukov wrote:
> > > > У Вас туннель должен стать Шлюзом по умолчанию?
> > > > Если нет - надо кликнуть: IPv4 -> Routes -> Use this connection
> > > > only for resources on its network.
> > > >
> > > > Дебилизм, если честно. Почему NM не может взять эту информацию  
> из
> > > > самого тунеля (от сервера)?
> > >
> > > Потому что никому, кроме самого клиента, не известно, хочет ли он
> > > использовать этот туннель как default route.
> >
> > Ещё как известно. Серверу. На сервере есть для этого соотв. ручка.
> 
> Какая? Не помню такого.
> В любом случае, принимать решение куда ставить маршрут по умолчанию
> должен сам клиент. VPN сервер не должен влиять на это. Он же не DHCP
> сервер.

"Вы просто не умеете их готовить"
1. OpenVPN-сервер является "как-бы" DHCP, т.к. выдаёт соотв. информацию  
клиенту. Внутренне они разные, но функционально вполне сопоставимы.
2. Почему-то во многих протоколах считается, что серверу виднее (напр.,  
какие шлюзы использовать клиенту и т.п.)
В данном случае это тоже оправдано - сервер знает, для чего его будут  
использовать. В крайнем случае это можно кастомизировать для каждого  
клиента.
3. Прятать эту кнопку так глубоко - спасибо разработчикам!
*. в общем, см. опцию --redirect-gateway в man openvpn

С уважением,
-- 
Ildar  Mulyukov,  free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
Jabber: ildar@jabber.ru
ICQ: 4334029
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Tue, 20 Oct 2009 09:47:36 +0600 Ildar Mulyukov wrote:
> > В любом случае, принимать решение куда ставить маршрут по умолчанию
> > должен сам клиент. VPN сервер не должен влиять на это. Он же не DHCP
> > сервер.
> 
> "Вы просто не умеете их готовить"
> 1. OpenVPN-сервер является "как-бы" DHCP, т.к. выдаёт соотв.
> информацию клиенту. Внутренне они разные, но функционально вполне
> сопоставимы.

Не совсем. VPN-сервер действительно во многом похож на DHCP, но
все-таки между ними есть существенное различие. DHCP осуществляет
вообще настройку сети на клиенте, а VPN туннель строится поверх уже
существующей сети.

> 2. Почему-то во многих протоколах считается, что серверу
> виднее (напр., какие шлюзы использовать клиенту и т.п.)
> В данном случае это тоже оправдано - сервер знает, для чего его
> будут использовать. В крайнем случае это можно кастомизировать для
> каждого клиента.

Насколько я помню в том же PPTP, например, default route точно также
настраивается на клиенте. Или о каких протоколах речь?

> 3. Прятать эту кнопку так глубоко - спасибо разработчикам!
> *. в общем, см. опцию --redirect-gateway в man openvpn

Да, и я использую эту опцию в _клиенте_ для установки default route.
Хотя может можно сделать push этой опции с сервера, не пробовал.

-- 
WBR, Mikhail Efremov

Re: [sisyphus] NetworkManager-openvpn

[Ildar Mulyukov]

On 21.10.2009 04:32:38, Mikhail Efremov wrote:
> On Tue, 20 Oct 2009 09:47:36 +0600 Ildar Mulyukov wrote:
> > > В любом случае, принимать решение куда ставить маршрут по  
> умолчанию
> > > должен сам клиент. VPN сервер не должен влиять на это. Он же не  
> DHCP
> > > сервер.
> >
> > "Вы просто не умеете их готовить"
> > 1. OpenVPN-сервер является "как-бы" DHCP, т.к. выдаёт соотв.
> > информацию клиенту. Внутренне они разные, но функционально вполне
> > сопоставимы.
> 
> Не совсем. VPN-сервер действительно во многом похож на DHCP, но
> все-таки между ними есть существенное различие. DHCP осуществляет
> вообще настройку сети на клиенте, а VPN туннель строится поверх уже
> существующей сети.
хорошо.

> > 2. Почему-то во многих протоколах считается, что серверу
> > виднее (напр., какие шлюзы использовать клиенту и т.п.)
> > В данном случае это тоже оправдано - сервер знает, для чего его
> > будут использовать. В крайнем случае это можно кастомизировать для
> > каждого клиента.
> 
> Насколько я помню в том же PPTP, например, default route точно также
> настраивается на клиенте. Или о каких протоколах речь?

При использовании PPTP этим занимается pppd.
Я имел в виду прежде всего DHCP. И исходил из такого предположения:
>> серверу виднее
и лучше как можно больше настраивать на сервере, чтобы максимально  
упростить настройку на клиенте.
В случае с NM как раз тот самый "наихудший случай":
	IPv4 Settings
		Method Automatic
и по логике всё остальное должно работать само.
Но почему-то нужно догадаться, что под "серенькими" выключенными  
виджетами нужно нажать на кнопочку, чтобы _вручную_ настроить то, что  
может настраиваться автоматически.
Вот такое внутреннее противоречие. Поэтому, извините, использовал такое  
грубое слово "дебилизм".

> > 3. Прятать эту кнопку так глубоко - спасибо разработчикам!
> > *. в общем, см. опцию --redirect-gateway в man openvpn
> 
> Да, и я использую эту опцию в _клиенте_ для установки default route.
> Хотя может можно сделать push этой опции с сервера, не пробовал.

можно-можно...
-- 
Ildar

Re: [sisyphus] NetworkManager-openvpn

[Mykola S. Grechukh]

21 октября 2009 г. 11:07 пользователь Ildar Mulyukov <> написал:
> В случае с NM как раз тот самый "наихудший случай":
>        IPv4 Settings
>                Method Automatic
> и по логике всё остальное должно работать само.

оно и работает само. Если сервер пушит дефолт

> Но почему-то нужно догадаться, что под "серенькими" выключенными виджетами
> нужно нажать на кнопочку, чтобы _вручную_ настроить то, что может
> настраиваться автоматически.

не нужно

> Вот такое внутреннее противоречие. Поэтому, извините, использовал такое
> грубое слово "дебилизм".
>
>> > 3. Прятать эту кнопку так глубоко - спасибо разработчикам!
>> > *. в общем, см. опцию --redirect-gateway в man openvpn
>>
>> Да, и я использую эту опцию в _клиенте_ для установки default route.
>> Хотя может можно сделать push этой опции с сервера, не пробовал.
>
> можно-можно...

а иногда надо наоборот - сервер предлагает дефолт, а мне нужны только
несколько сетей через туннель.

--
Mykola Grechukh
RISC Group IT Solutions

Re: [sisyphus] NetworkManager-openvpn

[Ildar Mulyukov]

On 21.10.2009 17:37:55, Mykola S. Grechukh wrote:
> 21 октября 2009 г. 11:07 пользователь Ildar Mulyukov <> написал:
> > В случае с NM как раз тот самый "наихудший случай":
> >        IPv4 Settings
> >                Method Automatic
> > и по логике всё остальное должно работать само.
> 
> оно и работает само. Если сервер пушит дефолт
> 
> > Но почему-то нужно догадаться, что под "серенькими" выключенными  
> виджетами
> > нужно нажать на кнопочку, чтобы _вручную_ настроить то, что может
> > настраиваться автоматически.
> 
> не нужно
> 
> > Вот такое внутреннее противоречие. Поэтому, извините, использовал  
> такое
> > грубое слово "дебилизм".
> >
> >> > 3. Прятать эту кнопку так глубоко - спасибо разработчикам!
> >> > *. в общем, см. опцию --redirect-gateway в man openvpn
> >>
> >> Да, и я использую эту опцию в _клиенте_ для установки default  
> route.
> >> Хотя может можно сделать push этой опции с сервера, не пробовал.
> >
> > можно-можно...
> 
> а иногда надо наоборот - сервер предлагает дефолт, а мне нужны только
> несколько сетей через туннель.

Всё бывает.
Я не против этого чекбокса. Я против того, чтобы он был спрятан за
>> "серенькими" выключенными виджетами

Впрочем, написание писем на эту тему уже на порядок превысило время,  
которое я потратил, чтобы найти решение через Гугль. Пора завязывать.
-- 
Ildar

Re: [sisyphus] NetworkManager-openvpn

[Mykola S. Grechukh]

21 октября 2009 г. 15:37 пользователь Ildar Mulyukov <> написал:
> On 21.10.2009 17:37:55, Mykola S. Grechukh wrote:
>>
>> 21 октября 2009 г. 11:07 пользователь Ildar Mulyukov <> написал:
>> > В случае с NM как раз тот самый "наихудший случай":
>> >        IPv4 Settings
>> >                Method Automatic
>> > и по логике всё остальное должно работать само.
>>
>> оно и работает само. Если сервер пушит дефолт
>>
>> > Но почему-то нужно догадаться, что под "серенькими" выключенными
>> > виджетами
>> > нужно нажать на кнопочку, чтобы _вручную_ настроить то, что может
>> > настраиваться автоматически.
>>
>> не нужно
>>
>> > Вот такое внутреннее противоречие. Поэтому, извините, использовал такое
>> > грубое слово "дебилизм".
>> >
>> >> > 3. Прятать эту кнопку так глубоко - спасибо разработчикам!
>> >> > *. в общем, см. опцию --redirect-gateway в man openvpn
>> >>
>> >> Да, и я использую эту опцию в _клиенте_ для установки default route.
>> >> Хотя может можно сделать push этой опции с сервера, не пробовал.
>> >
>> > можно-можно...
>>
>> а иногда надо наоборот - сервер предлагает дефолт, а мне нужны только
>> несколько сетей через туннель.
>
> Всё бывает.
> Я не против этого чекбокса. Я против того, чтобы он был спрятан за
>>>
>>> "серенькими" выключенными виджетами
>
> Впрочем, написание писем на эту тему уже на порядок превысило время, которое
> я потратил, чтобы найти решение через Гугль. Пора завязывать.

у меня работает без всяких сереньких виджетов. ЧЯДНТ?

--
Mykola Grechukh
RISC Group IT Solutions

Re: [sisyphus] NetworkManager-openvpn

[Mikhail Efremov]

On Wed, 21 Oct 2009 14:07:49 +0600 Ildar Mulyukov wrote:
> > Насколько я помню в том же PPTP, например, default route точно также
> > настраивается на клиенте. Или о каких протоколах речь?
> 
> При использовании PPTP этим занимается pppd.

Я про то, что не помню там возможности серверу принудительно заставить
клиент поставить default route в туннель. Впрочем, я там такого и не
искал. Обычно это настраивается все-таки в клиенте.

> В случае с NM как раз тот самый "наихудший случай":
> 	IPv4 Settings
> 		Method Automatic
> и по логике всё остальное должно работать само.
> Но почему-то нужно догадаться, что под "серенькими" выключенными  
> виджетами нужно нажать на кнопочку, чтобы _вручную_ настроить то,
> что может настраиваться автоматически.
> Вот такое внутреннее противоречие. Поэтому, извините, использовал
> такое грубое слово "дебилизм".

NM по умолчанию ставит default route в туннель для всех VPN. И я думаю
в данном случае это вполне разумное поведение. Мне думается, что
предполагается использование для доступа в Инет, предоставляемом
провайдером через VPN, и не факт, что провайдерский сервер будет
пушить эту опцию, даже если это возможно. А изменить это поведение
всегда можно в настройках. Тот, кто знает что искать - найдет. Она
находится во вполне логичном месте - в настройке маршрутов. А тем кто не
знает - не поможет и вынос этой опции даже на самое видное место. В
любом случае, это уже пожелания к апстриму.

> > > 3. Прятать эту кнопку так глубоко - спасибо разработчикам!
> > > *. в общем, см. опцию --redirect-gateway в man openvpn
> > 
> > Да, и я использую эту опцию в _клиенте_ для установки default route.
> > Хотя может можно сделать push этой опции с сервера, не пробовал.
> 
> можно-можно...

Ок, спасибо, попробую на досуге.

-- 
WBR, Mikhail Efremov