* [Sysadmins] Настройка OpenVPN @ 2014-04-06 12:58 Vladimir Karpinsky 2014-04-06 14:38 ` Vladimir Karpinsky 0 siblings, 1 reply; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-06 12:58 UTC (permalink / raw) To: sysadmins Здравствуйте! Есть OpenVPN сервер, есть сеть (10.8.0.1/24), в которую входят клиенты. Тут всё работает: сервер видит всех, клиенты видят сервер и друг друга --- полная идиллия. Но один из клиентов является GSM-роутером и за ним есть ещё сеть. На роутере поднят OpenVPN-клиент на роутер и его сеть (192.168.50.16/28). В этой сети стоит компьютер (192.168.50.20), который видит OVPN-сервер, сервер видит его, но другие клиенты этот компьютер не видят, и он других клиентов тоже не видит. Конфиги: Сервер port 1194 proto udp dev tun ca /etc/openvpn/keys/ca-root.pem cert /etc/openvpn/keys/openvpn-server.cert key /etc/openvpn/keys/openvpn-server.key dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir /etc/openvpn/ccd route 192.168.50.16 255.255.255.240 push "dhcp-option DOMAIN pul" client-to-client keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 management localhost 7505 Клиент client dev tun proto udp remote xxx.xxx.xxx.xxx 1194 resolv-retry infinite ca /var/openvpn/ca.pem cert /var/openvpn/cert.pem key /var/openvpn/key.pem persist-key persist-tun keepalive 10 120 comp-lzo verb 5 # cat /var/lib/openvpn/etc/openvpn/ccd/ruh2b ifconfig-push 10.8.0.86 10.8.0.85 iroute 192.168.50.16 255.255.255.240 У других клиентов в соответствующем файле второй строки нет. Кому и что надо сказать ещё? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-06 12:58 [Sysadmins] Настройка OpenVPN Vladimir Karpinsky @ 2014-04-06 14:38 ` Vladimir Karpinsky 2014-04-06 16:09 ` Anton Gorlov 0 siblings, 1 reply; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-06 14:38 UTC (permalink / raw) To: sysadmins 06.04.2014 16:58, Vladimir Karpinsky пишет: > Есть OpenVPN сервер, есть сеть (10.8.0.1/24), в которую входят клиенты. Тут > всё работает: сервер видит всех, клиенты видят сервер и друг друга --- > полная идиллия. Но один из клиентов является GSM-роутером и за ним есть ещё > сеть. На роутере поднят OpenVPN-клиент на роутер и его сеть > (192.168.50.16/28). В этой сети стоит компьютер (192.168.50.20), который > видит OVPN-сервер, сервер видит его, но другие клиенты этот компьютер не > видят, и он других клиентов тоже не видит. Понятно, что не хватает маршрута. Если я на другом VPN-клиенте (например, 10.8.0.30) прописываю: $ route add -net 192.168.50.16/28 gw 10.8.0.30 то всё работает: $ ping 192.168.50.20 PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data. 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms ... И в обратную сторону тоже нормально. Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось автоматически, скорее всего через /var/lib/openvpn/etc/openvpn/ccd/VPN-name? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-06 14:38 ` Vladimir Karpinsky @ 2014-04-06 16:09 ` Anton Gorlov 2014-04-06 16:19 ` Vladimir Karpinsky 0 siblings, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2014-04-06 16:09 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Если клиенты подцепляются через openvpn то да 06.04.2014 18:38, Vladimir Karpinsky пишет: > $ ping 192.168.50.20 > PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data. > 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms > ... > > И в обратную сторону тоже нормально. > > Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось > автоматически, скорее всего через > /var/lib/openvpn/etc/openvpn/ccd/VPN-name? ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-06 16:09 ` Anton Gorlov @ 2014-04-06 16:19 ` Vladimir Karpinsky 0 siblings, 1 reply; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-06 16:19 UTC (permalink / raw) To: sysadmins 06.04.2014 20:09, Anton Gorlov пишет: > Если клиенты подцепляются через openvpn то да Я, собственно, и спрашиваю, что там надо прописать? > 06.04.2014 18:38, Vladimir Karpinsky пишет: >> $ ping 192.168.50.20 >> PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data. >> 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms >> ... >> >> И в обратную сторону тоже нормально. >> >> Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось >> автоматически, скорее всего через /var/lib/openvpn/etc/openvpn/ccd/VPN-name? > > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
[parent not found: <5341818C.4070408@altlinux.ru>]
* Re: [Sysadmins] Настройка OpenVPN @ 2014-04-06 17:15 ` Vladimir Karpinsky 2014-04-07 23:10 ` Vladimir Karpinsky 1 sibling, 0 replies; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-06 17:15 UTC (permalink / raw) To: sysadmins 06.04.2014 20:32, Anton Gorlov пишет: > В моём случае это > > ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю) > push "route 192.168.0.0 255.255.255.0" (роут раз) > push "route 10.0.18.0 255.255.255.0" (роут два) Спасибо! -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-06 17:15 ` Vladimir Karpinsky @ 2014-04-07 23:10 ` Vladimir Karpinsky 2014-04-08 7:42 ` Anton Gorlov 1 sibling, 1 reply; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-07 23:10 UTC (permalink / raw) To: sysadmins 06.04.2014 20:32, Anton Gorlov пишет: > > В моём случае это > > ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю) > push "route 192.168.0.0 255.255.255.0" (роут раз) > push "route 10.0.18.0 255.255.255.0" (роут два) Возник ещё вопрос: можно ли сделать доступной через OpenVPN только часть сети? Например: роутер управляет сетью 192.168.50/28, но доступ к туннелю мне нужен только для 4-х адресов 192.168.50.20/30. Не возникнут ли тут какие-то проблемы? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-07 23:10 ` Vladimir Karpinsky @ 2014-04-08 7:42 ` Anton Gorlov 2014-04-08 9:44 ` Vladimir Karpinsky 0 siblings, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2014-04-08 7:42 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Можно файрволлом ограничивать в принципе 08.04.2014 03:10, Vladimir Karpinsky пишет: > 06.04.2014 20:32, Anton Gorlov пишет: >> >> В моём случае это >> >> ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю) >> push "route 192.168.0.0 255.255.255.0" (роут раз) >> push "route 10.0.18.0 255.255.255.0" (роут два) > > Возник ещё вопрос: можно ли сделать доступной через OpenVPN только > часть сети? Например: роутер управляет сетью 192.168.50/28, но доступ > к туннелю мне нужен только для 4-х адресов 192.168.50.20/30. Не > возникнут ли тут какие-то проблемы? > ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-08 7:42 ` Anton Gorlov @ 2014-04-08 9:44 ` Vladimir Karpinsky 2014-04-08 10:42 ` Dmitriy L. Kruglikov 0 siblings, 1 reply; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-08 9:44 UTC (permalink / raw) To: sysadmins 08.04.2014 11:42, Anton Gorlov пишет: > Можно файрволлом ограничивать в принципе Другими словами, организовать такой доступ настройками OpenVPN через iroute (для самого роутера) и push route (для остальных) это нельзя --- надо это делать другими средствами. Правильно я понимаю? К сожалению у меня сейчас нет возможности поэкспериментировать --- я встречусь с роутером только в пятницу и очень ненадолго. Поэтому хотелось бы к этому моменту иметь более-менее готовый рецепт. > 08.04.2014 03:10, Vladimir Karpinsky пишет: >> 06.04.2014 20:32, Anton Gorlov пишет: >>> >>> В моём случае это >>> >>> ifconfig-push 10.0.10.37 10.0.10.2 (статик ип себе даю) >>> push "route 192.168.0.0 255.255.255.0" (роут раз) >>> push "route 10.0.18.0 255.255.255.0" (роут два) >> >> Возник ещё вопрос: можно ли сделать доступной через OpenVPN только часть >> сети? Например: роутер управляет сетью 192.168.50/28, но доступ к туннелю >> мне нужен только для 4-х адресов 192.168.50.20/30. Не возникнут ли тут >> какие-то проблемы? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-08 9:44 ` Vladimir Karpinsky @ 2014-04-08 10:42 ` Dmitriy L. Kruglikov 2014-04-08 11:58 ` Anton Farygin 2014-04-08 18:51 ` Vladimir Karpinsky 0 siblings, 2 replies; 13+ messages in thread From: Dmitriy L. Kruglikov @ 2014-04-08 10:42 UTC (permalink / raw) To: sysadmins On Tue, 08 Apr 2014 13:44:24 +0400 Vladimir Karpinsky wrote: VK> Другими словами, организовать такой доступ настройками VK> OpenVPN через iroute (для самого роутера) и push route (для VK> остальных) это нельзя --- надо это делать другими VK> средствами. Правильно я понимаю? Сделать можно. Если пользователь сам, с той стороны, не пропишет себе маршруты. Не уверен за iroute, не проверял. А к тем маршрутам, которые приходят через push route, добавить руками можно, проверено. Подозреваю, что iroute сработает так, как нужно, но не гарантирую. -- Best regards, Dmitriy Kruglikov ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-08 10:42 ` Dmitriy L. Kruglikov @ 2014-04-08 11:58 ` Anton Farygin 2014-04-08 12:11 ` Dmitriy L. Kruglikov 2014-04-08 18:51 ` Vladimir Karpinsky 1 sibling, 1 reply; 13+ messages in thread From: Anton Farygin @ 2014-04-08 11:58 UTC (permalink / raw) To: sysadmins On 08.04.2014 14:42, Dmitriy L. Kruglikov wrote: > On Tue, 08 Apr 2014 13:44:24 +0400 > Vladimir Karpinsky wrote: > > VK> Другими словами, организовать такой доступ настройками > VK> OpenVPN через iroute (для самого роутера) и push route (для > VK> остальных) это нельзя --- надо это делать другими > VK> средствами. Правильно я понимаю? > > Сделать можно. > Если пользователь сам, с той стороны, не пропишет себе маршруты. > Не уверен за iroute, не проверял. > А к тем маршрутам, которые приходят через push route, > добавить руками можно, проверено. > > Подозреваю, что iroute сработает так, как нужно, но не гарантирую. > Лучше закрыть всё файрволлом. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-08 11:58 ` Anton Farygin @ 2014-04-08 12:11 ` Dmitriy L. Kruglikov 2014-04-08 12:34 ` Anton Gorlov 0 siblings, 1 reply; 13+ messages in thread From: Dmitriy L. Kruglikov @ 2014-04-08 12:11 UTC (permalink / raw) To: sysadmins On Tue, 08 Apr 2014 15:58:57 +0400 Anton Farygin wrote: AF> Лучше закрыть всё файрволлом. Однозначно. -- Best regards, Dmitriy Kruglikov ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-08 12:11 ` Dmitriy L. Kruglikov @ 2014-04-08 12:34 ` Anton Gorlov 0 siblings, 0 replies; 13+ messages in thread From: Anton Gorlov @ 2014-04-08 12:34 UTC (permalink / raw) To: ALT Linux sysadmins' discussion 08.04.2014 16:11, Dmitriy L. Kruglikov пишет: > On Tue, 08 Apr 2014 15:58:57 +0400 > Anton Farygin wrote: > > AF> Лучше закрыть всё файрволлом. > Однозначно. > А собсно другого выбора как бы и нет. Пологаться что "клиент" не пропишет роуты глупо ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Настройка OpenVPN 2014-04-08 10:42 ` Dmitriy L. Kruglikov 2014-04-08 11:58 ` Anton Farygin @ 2014-04-08 18:51 ` Vladimir Karpinsky 1 sibling, 0 replies; 13+ messages in thread From: Vladimir Karpinsky @ 2014-04-08 18:51 UTC (permalink / raw) To: sysadmins 08.04.2014 14:42, Dmitriy L. Kruglikov пишет: > On Tue, 08 Apr 2014 13:44:24 +0400 > Vladimir Karpinsky wrote: > > VK> Другими словами, организовать такой доступ настройками > VK> OpenVPN через iroute (для самого роутера) и push route (для > VK> остальных) это нельзя --- надо это делать другими > VK> средствами. Правильно я понимаю? > > Сделать можно. > Если пользователь сам, с той стороны, не пропишет себе маршруты. > Не уверен за iroute, не проверял. > А к тем маршрутам, которые приходят через push route, > добавить руками можно, проверено. > > Подозреваю, что iroute сработает так, как нужно, но не гарантирую. Сразу оговорюсь, что сисадмином не являюсь и уровень моих знаний о маршрутизации из-за плинтусом практически не виден. Поиск решения этой задачи привёл к выводу, что необходимы и iroute для роутера за которым есть сеть которую надо видеть остальным и push route для остальных. Из предыдущего абзаца, я делаю вывод, что это не так --- iroute Вы не используете, но нужный результат получаете. Я правильно понимаю? Что касается закрыванием файерволом, то тут задача не спрятать --- надо, во-первых, понизить вероятность каких-то случайностей, а, во-вторых, не плодить лишних сущностей. Защиты от квалифицированного вредительства в данном случае очень трудна, поскольку доступ к "железному телам" имеется у большого количества народа, и если враг найдётся, то эта проблема будет далеко не самой серьёзной. -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2014-04-08 18:51 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2014-04-06 12:58 [Sysadmins] Настройка OpenVPN Vladimir Karpinsky 2014-04-06 14:38 ` Vladimir Karpinsky 2014-04-06 16:09 ` Anton Gorlov 2014-04-06 16:19 ` Vladimir Karpinsky 2014-04-06 17:15 ` Vladimir Karpinsky 2014-04-07 23:10 ` Vladimir Karpinsky 2014-04-08 7:42 ` Anton Gorlov 2014-04-08 9:44 ` Vladimir Karpinsky 2014-04-08 10:42 ` Dmitriy L. Kruglikov 2014-04-08 11:58 ` Anton Farygin 2014-04-08 12:11 ` Dmitriy L. Kruglikov 2014-04-08 12:34 ` Anton Gorlov 2014-04-08 18:51 ` Vladimir Karpinsky
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git