[Sysadmins] Настройка OpenVPN

[Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

Здравствуйте!

Есть OpenVPN сервер, есть сеть (10.8.0.1/24), в которую входят клиенты. Тут 
всё работает: сервер видит всех, клиенты видят сервер и друг друга --- 
полная идиллия. Но один из клиентов является GSM-роутером и за ним есть ещё 
сеть. На роутере поднят OpenVPN-клиент на роутер и его сеть 
(192.168.50.16/28). В этой сети стоит компьютер (192.168.50.20), который 
видит OVPN-сервер, сервер видит его, но другие клиенты этот компьютер не 
видят, и он других клиентов тоже не видит.

Конфиги:

Сервер
port 1194
proto udp
dev tun
ca   /etc/openvpn/keys/ca-root.pem
cert /etc/openvpn/keys/openvpn-server.cert
key  /etc/openvpn/keys/openvpn-server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
route 192.168.50.16 255.255.255.240
push "dhcp-option DOMAIN pul"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
management localhost 7505

Клиент
client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
ca /var/openvpn/ca.pem
cert /var/openvpn/cert.pem
key /var/openvpn/key.pem
persist-key
persist-tun
keepalive 10 120
comp-lzo
verb 5

# cat /var/lib/openvpn/etc/openvpn/ccd/ruh2b
ifconfig-push 10.8.0.86 10.8.0.85
iroute 192.168.50.16 255.255.255.240

У других клиентов в соответствующем файле второй строки нет.

Кому и что надо сказать ещё?

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

06.04.2014 16:58, Vladimir Karpinsky пишет:
> Есть OpenVPN сервер, есть сеть (10.8.0.1/24), в которую входят клиенты. Тут
> всё работает: сервер видит всех, клиенты видят сервер и друг друга ---
> полная идиллия. Но один из клиентов является GSM-роутером и за ним есть ещё
> сеть. На роутере поднят OpenVPN-клиент на роутер и его сеть
> (192.168.50.16/28). В этой сети стоит компьютер (192.168.50.20), который
> видит OVPN-сервер, сервер видит его, но другие клиенты этот компьютер не
> видят, и он других клиентов тоже не видит.

Понятно, что не хватает маршрута. Если я на другом VPN-клиенте (например, 
10.8.0.30) прописываю:

$ route add -net 192.168.50.16/28 gw 10.8.0.30

то всё работает:

$ ping 192.168.50.20
PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data.
64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms
...

И в обратную сторону тоже нормально.

Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось 
автоматически, скорее всего через /var/lib/openvpn/etc/openvpn/ccd/VPN-name?

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Настройка OpenVPN

[Anton Gorlov]

Если клиенты подцепляются через openvpn то да

06.04.2014 18:38, Vladimir Karpinsky пишет:
> $ ping 192.168.50.20
> PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data.
> 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms
> ...
>
> И в обратную сторону тоже нормально.
>
> Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось 
> автоматически, скорее всего через 
> /var/lib/openvpn/etc/openvpn/ccd/VPN-name?

Re: [Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

06.04.2014 20:09, Anton Gorlov пишет:
> Если клиенты подцепляются через openvpn то да

Я, собственно, и спрашиваю, что там надо прописать?

> 06.04.2014 18:38, Vladimir Karpinsky пишет:
>> $ ping 192.168.50.20
>> PING 192.168.50.20 (192.168.50.20) 56(84) bytes of data.
>> 64 bytes from 192.168.50.20: icmp_seq=1 ttl=127 time=93.1 ms
>> ...
>>
>> И в обратную сторону тоже нормально.
>>
>> Остаётся вопрос, как сделать так, чтобы клиенту это прописывалось
>> автоматически, скорее всего через /var/lib/openvpn/etc/openvpn/ccd/VPN-name?
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

06.04.2014 20:32, Anton Gorlov пишет:
> В моём случае это
>
> ifconfig-push 10.0.10.37 10.0.10.2   (статик ип себе даю)
> push "route 192.168.0.0 255.255.255.0" (роут раз)
> push "route 10.0.18.0 255.255.255.0" (роут два)

Спасибо!

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

06.04.2014 20:32, Anton Gorlov пишет:
>
> В моём случае это
>
> ifconfig-push 10.0.10.37 10.0.10.2   (статик ип себе даю)
> push "route 192.168.0.0 255.255.255.0" (роут раз)
> push "route 10.0.18.0 255.255.255.0" (роут два)

Возник ещё вопрос: можно ли сделать доступной через OpenVPN только часть 
сети? Например: роутер управляет сетью 192.168.50/28, но доступ к туннелю 
мне нужен только для 4-х адресов 192.168.50.20/30. Не возникнут ли тут 
какие-то проблемы?

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Настройка OpenVPN

[Anton Gorlov]

Можно файрволлом ограничивать в принципе

08.04.2014 03:10, Vladimir Karpinsky пишет:
> 06.04.2014 20:32, Anton Gorlov пишет:
>>
>> В моём случае это
>>
>> ifconfig-push 10.0.10.37 10.0.10.2   (статик ип себе даю)
>> push "route 192.168.0.0 255.255.255.0" (роут раз)
>> push "route 10.0.18.0 255.255.255.0" (роут два)
>
> Возник ещё вопрос: можно ли сделать доступной через OpenVPN только 
> часть сети? Например: роутер управляет сетью 192.168.50/28, но доступ 
> к туннелю мне нужен только для 4-х адресов 192.168.50.20/30. Не 
> возникнут ли тут какие-то проблемы?
>

Re: [Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

08.04.2014 11:42, Anton Gorlov пишет:
> Можно файрволлом ограничивать в принципе

Другими словами, организовать такой доступ настройками OpenVPN через iroute 
(для самого роутера) и push route (для остальных) это нельзя --- надо это 
делать другими средствами. Правильно я понимаю?

К сожалению у меня сейчас нет возможности поэкспериментировать ---  я 
встречусь с роутером только в пятницу и очень ненадолго. Поэтому хотелось 
бы к этому моменту иметь более-менее готовый рецепт.

> 08.04.2014 03:10, Vladimir Karpinsky пишет:
>> 06.04.2014 20:32, Anton Gorlov пишет:
>>>
>>> В моём случае это
>>>
>>> ifconfig-push 10.0.10.37 10.0.10.2   (статик ип себе даю)
>>> push "route 192.168.0.0 255.255.255.0" (роут раз)
>>> push "route 10.0.18.0 255.255.255.0" (роут два)
>>
>> Возник ещё вопрос: можно ли сделать доступной через OpenVPN только часть
>> сети? Например: роутер управляет сетью 192.168.50/28, но доступ к туннелю
>> мне нужен только для 4-х адресов 192.168.50.20/30. Не возникнут ли тут
>> какие-то проблемы?

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Настройка OpenVPN

[Dmitriy L. Kruglikov]

On Tue, 08 Apr 2014 13:44:24 +0400
Vladimir Karpinsky wrote:

VK> Другими словами, организовать такой доступ настройками
VK> OpenVPN через iroute (для самого роутера) и push route (для
VK> остальных) это нельзя --- надо это делать другими
VK> средствами. Правильно я понимаю?

Сделать можно.
Если пользователь сам, с той стороны, не пропишет себе маршруты.
Не уверен за iroute, не проверял.
А к тем маршрутам, которые приходят через push route,
добавить руками можно, проверено.

Подозреваю, что iroute сработает так, как нужно, но не гарантирую.

-- 
Best regards,
 Dmitriy Kruglikov

Re: [Sysadmins] Настройка OpenVPN

[Anton Farygin]

On 08.04.2014 14:42, Dmitriy L. Kruglikov wrote:
> On Tue, 08 Apr 2014 13:44:24 +0400
> Vladimir Karpinsky wrote:
>
> VK> Другими словами, организовать такой доступ настройками
> VK> OpenVPN через iroute (для самого роутера) и push route (для
> VK> остальных) это нельзя --- надо это делать другими
> VK> средствами. Правильно я понимаю?
>
> Сделать можно.
> Если пользователь сам, с той стороны, не пропишет себе маршруты.
> Не уверен за iroute, не проверял.
> А к тем маршрутам, которые приходят через push route,
> добавить руками можно, проверено.
>
> Подозреваю, что iroute сработает так, как нужно, но не гарантирую.
>

Лучше закрыть всё файрволлом.

Re: [Sysadmins] Настройка OpenVPN

[Dmitriy L. Kruglikov]

On Tue, 08 Apr 2014 15:58:57 +0400
Anton Farygin wrote:

AF> Лучше закрыть всё файрволлом.
Однозначно.

-- 
Best regards,
 Dmitriy Kruglikov

Re: [Sysadmins] Настройка OpenVPN

[Anton Gorlov]

08.04.2014 16:11, Dmitriy L. Kruglikov пишет:
> On Tue, 08 Apr 2014 15:58:57 +0400
> Anton Farygin wrote:
>
> AF> Лучше закрыть всё файрволлом.
> Однозначно.
>
А собсно другого выбора как бы и нет. Пологаться что "клиент"  не 
пропишет роуты глупо

Re: [Sysadmins] Настройка OpenVPN

[Vladimir Karpinsky]

08.04.2014 14:42, Dmitriy L. Kruglikov пишет:
> On Tue, 08 Apr 2014 13:44:24 +0400
> Vladimir Karpinsky wrote:
>
> VK> Другими словами, организовать такой доступ настройками
> VK> OpenVPN через iroute (для самого роутера) и push route (для
> VK> остальных) это нельзя --- надо это делать другими
> VK> средствами. Правильно я понимаю?
>
> Сделать можно.
> Если пользователь сам, с той стороны, не пропишет себе маршруты.
> Не уверен за iroute, не проверял.
> А к тем маршрутам, которые приходят через push route,
> добавить руками можно, проверено.
>
> Подозреваю, что iroute сработает так, как нужно, но не гарантирую.

Сразу оговорюсь, что сисадмином не являюсь и уровень моих знаний о 
маршрутизации из-за плинтусом практически не виден. Поиск решения этой 
задачи привёл к выводу, что необходимы и iroute для роутера за которым есть 
сеть которую надо видеть остальным и push route для остальных. Из 
предыдущего абзаца, я делаю вывод, что это не так --- iroute Вы не 
используете, но нужный результат получаете. Я правильно понимаю?

Что касается закрыванием файерволом, то тут задача не спрятать --- надо, 
во-первых, понизить вероятность каких-то случайностей, а, во-вторых, не 
плодить лишних сущностей. Защиты от квалифицированного вредительства в 
данном случае очень трудна, поскольку доступ к "железному телам" имеется у 
большого количества народа, и если враг найдётся, то эта проблема будет 
далеко не самой серьёзной.

-- 
	С уважением,
		Владимир.