* [Sysadmins] Настройка OpenVPN
@ 2014-04-06 12:58 Vladimir Karpinsky
2014-04-06 14:38 ` Vladimir Karpinsky
0 siblings, 1 reply; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-06 12:58 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
Есть OpenVPN сервер, есть сеть (10.8.0.1/24), в которую входят клиенты. Тут
всё работает: сервер видит всех, клиенты видят сервер и друг друга ---
полная идиллия. Но один из клиентов является GSM-роутером и за ним есть ещё
сеть. На роутере поднят OpenVPN-клиент на роутер и его сеть
(192.168.50.16/28). В этой сети стоит компьютер (192.168.50.20), который
видит OVPN-сервер, сервер видит его, но другие клиенты этот компьютер не
видят, и он других клиентов тоже не видит.
Конфиги:
Сервер
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca-root.pem
cert /etc/openvpn/keys/openvpn-server.cert
key /etc/openvpn/keys/openvpn-server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
route 192.168.50.16 255.255.255.240
push "dhcp-option DOMAIN pul"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
management localhost 7505
Клиент
client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
ca /var/openvpn/ca.pem
cert /var/openvpn/cert.pem
key /var/openvpn/key.pem
persist-key
persist-tun
keepalive 10 120
comp-lzo
verb 5
# cat /var/lib/openvpn/etc/openvpn/ccd/ruh2b
ifconfig-push 10.8.0.86 10.8.0.85
iroute 192.168.50.16 255.255.255.240
У других клиентов в соответствующем файле второй строки нет.
Кому и что надо сказать ещё?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-06 12:58 [Sysadmins] Настройка OpenVPN Vladimir Karpinsky
@ 2014-04-06 14:38 ` Vladimir Karpinsky
2014-04-06 16:09 ` Anton Gorlov
0 siblings, 1 reply; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-06 14:38 UTC (permalink / raw)
To: sysadmins
06.04.2014 16:58, Vladimir Karpinsky пишет:
> Есть OpenVPN сервер, есть сеть (10.8.0.1/24), в которую входят клиенты. Тут
> всё работает: сервер видит всех, клиенты видят сервер и друг друга ---
> полная идиллия. Но один из клиентов является GSM-роутером и за ним есть ещё
> сеть. На роутере поднят OpenVPN-клиент на роутер и его сеть
> (192.168.50.16/28). В этой сети стоит компьютер (192.168.50.20), который
> видит OVPN-сервер, сервер видит его, но другие клиенты этот компьютер не
> видят, и он других клиентов тоже не видит.
Понятно, что не хватает маршрута. Если я на другом VPN-клиенте (например,
10.8.0.30) прописываю:
$ route add -net 192.168.50.16/28 gw 10.8.0.30
то всё работает:
$ ping 192.168.50.20
PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data.
64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms
...
И в обратную сторону тоже нормально.
Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось
автоматически, скорее всего через /var/lib/openvpn/etc/openvpn/ccd/VPN-name?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-06 14:38 ` Vladimir Karpinsky
@ 2014-04-06 16:09 ` Anton Gorlov
2014-04-06 16:19 ` Vladimir Karpinsky
0 siblings, 1 reply; 13+ messages in thread
From: Anton Gorlov @ 2014-04-06 16:09 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Если клиенты подцепляются через openvpn то да
06.04.2014 18:38, Vladimir Karpinsky пишет:
> $ ping 192.168.50.20
> PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data.
> 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms
> ...
>
> И в обратную сторону тоже нормально.
>
> Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось
> автоматически, скорее всего через
> /var/lib/openvpn/etc/openvpn/ccd/VPN-name?
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-06 16:09 ` Anton Gorlov
@ 2014-04-06 16:19 ` Vladimir Karpinsky
0 siblings, 1 reply; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-06 16:19 UTC (permalink / raw)
To: sysadmins
06.04.2014 20:09, Anton Gorlov пишет:
> Если клиенты подцепляются через openvpn то да
Я, собственно, и спрашиваю, что там надо прописать?
> 06.04.2014 18:38, Vladimir Karpinsky пишет:
>> $ ping 192.168.50.20
>> PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data.
>> 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms
>> ...
>>
>> И в обратную сторону тоже нормально.
>>
>> Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось
>> автоматически, скорее всего через /var/lib/openvpn/etc/openvpn/ccd/VPN-name?
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
@ 2014-04-06 17:15 ` Vladimir Karpinsky
2014-04-07 23:10 ` Vladimir Karpinsky
1 sibling, 0 replies; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-06 17:15 UTC (permalink / raw)
To: sysadmins
06.04.2014 20:32, Anton Gorlov пишет:
> В моём случае это
>
> ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю)
> push "route 192.168.0.0 255.255.255.0" (роут раз)
> push "route 10.0.18.0 255.255.255.0" (роут два)
Спасибо!
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-06 17:15 ` Vladimir Karpinsky
@ 2014-04-07 23:10 ` Vladimir Karpinsky
2014-04-08 7:42 ` Anton Gorlov
1 sibling, 1 reply; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-07 23:10 UTC (permalink / raw)
To: sysadmins
06.04.2014 20:32, Anton Gorlov пишет:
>
> В моём случае это
>
> ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю)
> push "route 192.168.0.0 255.255.255.0" (роут раз)
> push "route 10.0.18.0 255.255.255.0" (роут два)
Возник ещё вопрос: можно ли сделать доступной через OpenVPN только часть
сети? Например: роутер управляет сетью 192.168.50/28, но доступ к туннелю
мне нужен только для 4-х адресов 192.168.50.20/30. Не возникнут ли тут
какие-то проблемы?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-07 23:10 ` Vladimir Karpinsky
@ 2014-04-08 7:42 ` Anton Gorlov
2014-04-08 9:44 ` Vladimir Karpinsky
0 siblings, 1 reply; 13+ messages in thread
From: Anton Gorlov @ 2014-04-08 7:42 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Можно файрволлом ограничивать в принципе
08.04.2014 03:10, Vladimir Karpinsky пишет:
> 06.04.2014 20:32, Anton Gorlov пишет:
>>
>> В моём случае это
>>
>> ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю)
>> push "route 192.168.0.0 255.255.255.0" (роут раз)
>> push "route 10.0.18.0 255.255.255.0" (роут два)
>
> Возник ещё вопрос: можно ли сделать доступной через OpenVPN только
> часть сети? Например: роутер управляет сетью 192.168.50/28, но доступ
> к туннелю мне нужен только для 4-х адресов 192.168.50.20/30. Не
> возникнут ли тут какие-то проблемы?
>
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-08 7:42 ` Anton Gorlov
@ 2014-04-08 9:44 ` Vladimir Karpinsky
2014-04-08 10:42 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-08 9:44 UTC (permalink / raw)
To: sysadmins
08.04.2014 11:42, Anton Gorlov пишет:
> Можно файрволлом ограничивать в принципе
Другими словами, организовать такой доступ настройками OpenVPN через iroute
(для самого роутера) и push route (для остальных) это нельзя --- надо это
делать другими средствами. Правильно я понимаю?
К сожалению у меня сейчас нет возможности поэкспериментировать --- я
встречусь с роутером только в пятницу и очень ненадолго. Поэтому хотелось
бы к этому моменту иметь более-менее готовый рецепт.
> 08.04.2014 03:10, Vladimir Karpinsky пишет:
>> 06.04.2014 20:32, Anton Gorlov пишет:
>>>
>>> В моём случае это
>>>
>>> ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю)
>>> push "route 192.168.0.0 255.255.255.0" (роут раз)
>>> push "route 10.0.18.0 255.255.255.0" (роут два)
>>
>> Возник ещё вопрос: можно ли сделать доступной через OpenVPN только часть
>> сети? Например: роутер управляет сетью 192.168.50/28, но доступ к туннелю
>> мне нужен только для 4-х адресов 192.168.50.20/30. Не возникнут ли тут
>> какие-то проблемы?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-08 9:44 ` Vladimir Karpinsky
@ 2014-04-08 10:42 ` Dmitriy L. Kruglikov
2014-04-08 11:58 ` Anton Farygin
2014-04-08 18:51 ` Vladimir Karpinsky
0 siblings, 2 replies; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2014-04-08 10:42 UTC (permalink / raw)
To: sysadmins
On Tue, 08 Apr 2014 13:44:24 +0400
Vladimir Karpinsky wrote:
VK> Другими словами, организовать такой доступ настройками
VK> OpenVPN через iroute (для самого роутера) и push route (для
VK> остальных) это нельзя --- надо это делать другими
VK> средствами. Правильно я понимаю?
Сделать можно.
Если пользователь сам, с той стороны, не пропишет себе маршруты.
Не уверен за iroute, не проверял.
А к тем маршрутам, которые приходят через push route,
добавить руками можно, проверено.
Подозреваю, что iroute сработает так, как нужно, но не гарантирую.
--
Best regards,
Dmitriy Kruglikov
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-08 10:42 ` Dmitriy L. Kruglikov
@ 2014-04-08 11:58 ` Anton Farygin
2014-04-08 12:11 ` Dmitriy L. Kruglikov
2014-04-08 18:51 ` Vladimir Karpinsky
1 sibling, 1 reply; 13+ messages in thread
From: Anton Farygin @ 2014-04-08 11:58 UTC (permalink / raw)
To: sysadmins
On 08.04.2014 14:42, Dmitriy L. Kruglikov wrote:
> On Tue, 08 Apr 2014 13:44:24 +0400
> Vladimir Karpinsky wrote:
>
> VK> Другими словами, организовать такой доступ настройками
> VK> OpenVPN через iroute (для самого роутера) и push route (для
> VK> остальных) это нельзя --- надо это делать другими
> VK> средствами. Правильно я понимаю?
>
> Сделать можно.
> Если пользователь сам, с той стороны, не пропишет себе маршруты.
> Не уверен за iroute, не проверял.
> А к тем маршрутам, которые приходят через push route,
> добавить руками можно, проверено.
>
> Подозреваю, что iroute сработает так, как нужно, но не гарантирую.
>
Лучше закрыть всё файрволлом.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-08 11:58 ` Anton Farygin
@ 2014-04-08 12:11 ` Dmitriy L. Kruglikov
2014-04-08 12:34 ` Anton Gorlov
0 siblings, 1 reply; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2014-04-08 12:11 UTC (permalink / raw)
To: sysadmins
On Tue, 08 Apr 2014 15:58:57 +0400
Anton Farygin wrote:
AF> Лучше закрыть всё файрволлом.
Однозначно.
--
Best regards,
Dmitriy Kruglikov
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-08 12:11 ` Dmitriy L. Kruglikov
@ 2014-04-08 12:34 ` Anton Gorlov
0 siblings, 0 replies; 13+ messages in thread
From: Anton Gorlov @ 2014-04-08 12:34 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
08.04.2014 16:11, Dmitriy L. Kruglikov пишет:
> On Tue, 08 Apr 2014 15:58:57 +0400
> Anton Farygin wrote:
>
> AF> Лучше закрыть всё файрволлом.
> Однозначно.
>
А собсно другого выбора как бы и нет. Пологаться что "клиент" не
пропишет роуты глупо
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN
2014-04-08 10:42 ` Dmitriy L. Kruglikov
2014-04-08 11:58 ` Anton Farygin
@ 2014-04-08 18:51 ` Vladimir Karpinsky
1 sibling, 0 replies; 13+ messages in thread
From: Vladimir Karpinsky @ 2014-04-08 18:51 UTC (permalink / raw)
To: sysadmins
08.04.2014 14:42, Dmitriy L. Kruglikov пишет:
> On Tue, 08 Apr 2014 13:44:24 +0400
> Vladimir Karpinsky wrote:
>
> VK> Другими словами, организовать такой доступ настройками
> VK> OpenVPN через iroute (для самого роутера) и push route (для
> VK> остальных) это нельзя --- надо это делать другими
> VK> средствами. Правильно я понимаю?
>
> Сделать можно.
> Если пользователь сам, с той стороны, не пропишет себе маршруты.
> Не уверен за iroute, не проверял.
> А к тем маршрутам, которые приходят через push route,
> добавить руками можно, проверено.
>
> Подозреваю, что iroute сработает так, как нужно, но не гарантирую.
Сразу оговорюсь, что сисадмином не являюсь и уровень моих знаний о
маршрутизации из-за плинтусом практически не виден. Поиск решения этой
задачи привёл к выводу, что необходимы и iroute для роутера за которым есть
сеть которую надо видеть остальным и push route для остальных. Из
предыдущего абзаца, я делаю вывод, что это не так --- iroute Вы не
используете, но нужный результат получаете. Я правильно понимаю?
Что касается закрыванием файерволом, то тут задача не спрятать --- надо,
во-первых, понизить вероятность каких-то случайностей, а, во-вторых, не
плодить лишних сущностей. Защиты от квалифицированного вредительства в
данном случае очень трудна, поскольку доступ к "железному телам" имеется у
большого количества народа, и если враг найдётся, то эта проблема будет
далеко не самой серьёзной.
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2014-04-08 18:51 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2014-04-06 12:58 [Sysadmins] Настройка OpenVPN Vladimir Karpinsky
2014-04-06 14:38 ` Vladimir Karpinsky
2014-04-06 16:09 ` Anton Gorlov
2014-04-06 16:19 ` Vladimir Karpinsky
2014-04-06 17:15 ` Vladimir Karpinsky
2014-04-07 23:10 ` Vladimir Karpinsky
2014-04-08 7:42 ` Anton Gorlov
2014-04-08 9:44 ` Vladimir Karpinsky
2014-04-08 10:42 ` Dmitriy L. Kruglikov
2014-04-08 11:58 ` Anton Farygin
2014-04-08 12:11 ` Dmitriy L. Kruglikov
2014-04-08 12:34 ` Anton Gorlov
2014-04-08 18:51 ` Vladimir Karpinsky
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git