[Sysadmins] openvpn client network

[Sysadmins] openvpn client network

[Alexander Volkov]

Здравствуйте.
Решил тут заменить на одном из офисов vtund на openvpn - да не тут то
было. То что прекрасно работает для одного клиента - отказалось работать
для подсети.
Настраивал openvpn по рецепту naf@  - работает для ALT и ХР без проблем,
авторизация по ключам.
Добавил ключей ещё для одного клиента, на сервере создал каталог ccd, в ём
файл имени common name этого клиента, где прописана директива iroute, в
server.conf добавлена директива route, которая благополучно на сервере же
добавляется в маршруты при старте сервиса. Сам клиентский шлюз работает на
ура, но вот сеть за ним - не видит основную, в логах - отлуп пакетам.
Гугл навел на настройку, которая сделана.
Тупик.
Подскажите, у кого подсети работают?

--
 Regards, Alexander

Re: [Sysadmins] openvpn client network

[Nikolay A. Fetisov]

On Mon, 3 Apr 2006 16:46:54 +0400
Alexander Volkov wrote:

> ......
> Добавил ключей ещё для одного клиента, на сервере создал каталог ccd, в ём
> файл имени common name этого клиента, где прописана директива iroute, в
> server.conf добавлена директива route, которая благополучно на сервере же
> добавляется в маршруты при старте сервиса. 

После поднятия канала маршруты стоят правильно и на сервере, и на
клиенте? 

> Сам клиентский шлюз работает на
> ура, но вот сеть за ним - не видит основную, в логах - отлуп пакетам.
В каких логах? Про пакеты openvpn вроде бы ничего не пишет. Межсетевые
экраны всё, что нужно, пропускают?


-- 
С уважением,	
Николай Фетисов

Re: [Sysadmins] openvpn client network

[Alexander Volkov]

On 2006-04-04 00:15:09 +0400, Nikolay A. Fetisov wrote:
NAF> On Mon, 3 Apr 2006 16:46:54 +0400
NAF> Alexander Volkov wrote:

NAF> > ......
NAF> > Добавил ключей ещё для одного клиента, на сервере создал каталог ccd, в ём
NAF> > файл имени common name этого клиента, где прописана директива iroute, в
NAF> > server.conf добавлена директива route, которая благополучно на сервере же
NAF> > добавляется в маршруты при старте сервиса. 

NAF> После поднятия канала маршруты стоят правильно и на сервере, и на
NAF> клиенте? 
да, это в первую очередь проверял.

NAF> > Сам клиентский шлюз работает на
NAF> > ура, но вот сеть за ним - не видит основную, в логах - отлуп пакетам.
NAF> В каких логах? Про пакеты openvpn вроде бы ничего не пишет. Межсетевые
NAF> экраны всё, что нужно, пропускают?
ещё как пишет... Экран пропускает. Ибо на vtun проверено с этой же
подсетью.
Поскольку маршруты ч-з vtun и openvpn идут по разным сетям, ip ro flush
cache тоже делал перед рестартом openvpn.


--
 Regards, Alexander

Re: [Sysadmins] openvpn client network

[Nikolay A. Fetisov]

On Tue, 4 Apr 2006 09:08:54 +0400
Alexander Volkov wrote:

> On 2006-04-04 00:15:09 +0400, Nikolay A. Fetisov wrote:
> .....
> NAF> После поднятия канала маршруты стоят правильно и на сервере, и на
> NAF> клиенте? 
> да, это в первую очередь проверял.
> 
> NAF> > Сам клиентский шлюз работает на
> NAF> > ура, но вот сеть за ним - не видит основную, в логах - отлуп пакетам.
> NAF> В каких логах? Про пакеты openvpn вроде бы ничего не пишет. Межсетевые
> NAF> экраны всё, что нужно, пропускают?
> ещё как пишет... 

А что пишет-то?

> Экран пропускает. Ибо на vtun проверено с этой же
> подсетью.
> Поскольку маршруты ч-з vtun и openvpn идут по разным сетям, ip ro flush
> cache тоже делал перед рестартом openvpn.

Может быть, посмотреть с помощью tcpdump на сервере и клиенте openvpn,
получают ли они пакеты и куда дальше их отправляют?


-- 
С уважением,	
Николай Фетисов

Re: [Sysadmins] openvpn client network

[Alexander Volkov]

NAF> А что пишет-то?
Sun Apr  2 19:01:59 2006 us=764569 luna/81.18.136.53:1025 MULTI: bad
source address from client [192.168.2.139], packet dropped
NAF> > Экран пропускает. Ибо на vtun проверено с этой же
NAF> > подсетью.
NAF> > Поскольку маршруты ч-з vtun и openvpn идут по разным сетям, ip ro flush
NAF> > cache тоже делал перед рестартом openvpn.

NAF> Может быть, посмотреть с помощью tcpdump на сервере и клиенте openvpn,
NAF> получают ли они пакеты и куда дальше их отправляют?
--
 Regards, Alexander

Re: [Sysadmins] openvpn client network

[Alexander Volkov]

NAF> Может быть, посмотреть с помощью tcpdump на сервере и клиенте openvpn,
NAF> получают ли они пакеты и куда дальше их отправляют?
судя по приведенному сообщению в логе, пакет от машины за клиентом не
признается сервером и дропается...
А вот почему - непонятно.
--
 Regards, Alexander

Re: [Sysadmins] openvpn client network

[Nikolay A. Fetisov]

On Tue, 4 Apr 2006 10:17:23 +0400
Alexander Volkov wrote:

> NAF> Может быть, посмотреть с помощью tcpdump на сервере и клиенте openvpn,
> NAF> получают ли они пакеты и куда дальше их отправляют?
> судя по приведенному сообщению в логе, пакет от машины за клиентом не
> признается сервером и дропается...
> А вот почему - непонятно.

Надо бы проверить, использовал ли сервер файл с настройками клиента из
ccd. В логах должна быть строка вида:

OPTIONS IMPORT: reading client specific options from: ccd/XXX

В ccd/XXX нужна строка 

iroute 192.168.2.0 255.255.255.0

В основном файле конфигурации сервера должно присутствовать 

route 192.168.2.0 255.255.255.0


Более подробно есть в http://openvpn.net/howto.html#scope , часть 
"Including multiple machines on the client side when using a routed VPN
(dev tun)".



-- 
С уважением,	
Николай Фетисов

Re: [Sysadmins] openvpn client network

[Alexander Volkov]

On 2006-04-04 11:38:55 +0400, Nikolay A. Fetisov wrote:

NAF> Надо бы проверить, использовал ли сервер файл с настройками клиента из
NAF> ccd. В логах должна быть строка вида:

NAF> OPTIONS IMPORT: reading client specific options from: ccd/XXX
а вот этого нет :( Есть вот что (после проверок ключей)
..
Sun Apr  2 19:01:09 2006 us=409683 81.18.136.53:1025 [luna] Peer
Connection Initiated with 81.18.136.53:1025
Sun Apr  2 19:01:09 2006 us=410020 luna/81.18.136.53:1025 MULTI: Learn:
10.8.0.14 -> luna/81.18.136.53:1025
Sun Apr  2 19:01:09 2006 us=410115 luna/81.18.136.53:1025 MULTI: primary
virtual IP for luna/81.18.136.53:1025: 10.8.0.14
Sun Apr  2 19:01:10 2006 us=452250 luna/81.18.136.53:1025 PUSH: Received
control message: 'PUSH_REQUEST'
Sun Apr  2 19:01:10 2006 us=452558 luna/81.18.136.53:1025 SENT CONTROL
[luna]: 'PUSH_REPLY,route 192.168.2.0 255.255.255.128,dhcp-option DNS 192.168.2.32,dhcp-option WINS
192.168.2.32,route 10.8.0.1,ping 30
,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13' (status=1)
Sun Apr  2 19:01:10 2006 us=795691 luna/81.18.136.53:1025 MULTI: bad
source address from client [192.168.2.139], packet dropped

NAF> В ccd/XXX нужна строка 

NAF> iroute 192.168.2.0 255.255.255.0
там iroute 192.168.2.136 255.255.255.248
NAF> В основном файле конфигурации сервера должно присутствовать 

NAF> route 192.168.2.0 255.255.255.0
наличествует, только у меня маска укорочена в основной сети до 128.
В логе:
Sun Apr  2 18:32:02 2006 us=909916 ip route add 192.168.2.136/29 via 10.8.0.2


NAF> Более подробно есть в http://openvpn.net/howto.html#scope , часть 
NAF> "Including multiple machines on the client side when using a routed VPN
NAF> (dev tun)".
да, эт всё изучено от корки до корки. Такое впечатление, что не берется
файл ccd/luna

--
 Regards, Alexander

Re: [Sysadmins] openvpn client network

[Nikolay A. Fetisov]

On Tue, 4 Apr 2006 12:12:03 +0400
Alexander Volkov wrote:
> ......
> NAF> Более подробно есть в http://openvpn.net/howto.html#scope , часть 
> NAF> "Including multiple machines on the client side when using a routed VPN
> NAF> (dev tun)".
> да, эт всё изучено от корки до корки. Такое впечатление, что не берется
> файл ccd/luna

Похоже на это. Вопрос, лежит ли ccd/luna внутри chroot, в котором живёт
openvpn? Он пытается открыть файл при каждом входящем соединении, уже
работая под пользователем и внутри chroot.

Для openvpn-2.0-alt1 каталог ccd должен был быть
в /var/lib/openvpn/cache, или к нему надо было указывать полный путь.

В принципе, можно подцепиться к серверному процессу через
strace и посмотреть, куда openvpn пытается за файлом обратится.

-- 
С уважением,	
Николай Фетисов

[Sysadmins] SUMMARY: Re: openvpn client network -

[Alexander Volkov]

On 2006-04-04 12:50:35 +0400, Nikolay A. Fetisov wrote:
NAF> On Tue, 4 Apr 2006 12:12:03 +0400
NAF> Alexander Volkov wrote:
NAF> > ......
NAF> > NAF> Более подробно есть в http://openvpn.net/howto.html#scope , часть 
NAF> > NAF> "Including multiple machines on the client side when using a routed VPN
NAF> > NAF> (dev tun)".
NAF> > да, эт всё изучено от корки до корки. Такое впечатление, что не берется
NAF> > файл ccd/luna

NAF> Похоже на это. Вопрос, лежит ли ccd/luna внутри chroot, в котором живёт
NAF> openvpn? Он пытается открыть файл при каждом входящем соединении, уже
NAF> работая под пользователем и внутри chroot.

NAF> Для openvpn-2.0-alt1 каталог ccd должен был быть
NAF> в /var/lib/openvpn/cache, или к нему надо было указывать полный путь.
Урряаа-- заработало!
Каталог ccd надо класть в /var/lib/openvpn.
Наверно стОит занести это в readme.alt?


--
 Regards, Alexander

Re: [Sysadmins] SUMMARY: Re: openvpn client network -

[Michael Shigorin]

On Tue, Apr 04, 2006 at 04:16:38PM +0400, Alexander Volkov wrote:
> Урряаа-- заработало!  Каталог ccd надо класть в
> /var/lib/openvpn.  Наверно стОит занести это в readme.alt?

Ну можете в качестве благодарности набросаить и привесить 
в bugzilla, +/- страничку в wiki нарисовать.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] SUMMARY: Re: openvpn client network -

[Alexander Volkov]

On 2006-04-04 15:59:04 +0300, Michael Shigorin wrote:
MS> Ну можете в качестве благодарности набросаить и привесить 
MS> в bugzilla, +/- страничку в wiki нарисовать.
FR #9367
Там в одно предложение умещается, так что страничку наверное многовато
будет ;), ибо остальной документации достаточно.

--
 Regards, Alexander

Re: [Sysadmins] openvpn client network

[Alexander Volkov]

On 2006-04-04 11:38:55 +0400, Nikolay A. Fetisov wrote:
NAF> OPTIONS IMPORT: reading client specific options from: ccd/XXX
вдогонку - есть в логе 
Tue Apr  4 12:27:12 2006 us=365813   client_config_dir =
'/etc/openvpn/ccd'
Tue Apr  4 12:27:12 2006 us=365862   ccd_exclusive = DISABLED
--
 Regards, Alexander