* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
@ 2008-08-21 8:15 ` Maxim Tyurin
2008-08-21 8:53 ` Dmitriy Kruglikov
2008-08-21 9:08 ` Nikolay A. Fetisov
1 sibling, 1 reply; 9+ messages in thread
From: Maxim Tyurin @ 2008-08-21 8:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy Kruglikov writes:
> А строка, iroute 192.168.1.0/24, которую я шлепнул по многолетней привычке,
> работать отказалась, хотя в таблице маршрутизации все выглядело великолепно.
>
> Два дня жестокого порно...
> Ибо /24 для меня выглядит так же легитимно, как и 255.255.255.0
>
> Не наступайте на эти грабли :)
Ну вообще-то в конфиге openvpn нигде не используется CIDR нотация.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
2008-08-21 8:15 ` [Sysadmins] О правилах указания масок сетей в настройках OpenVPN Maxim Tyurin
@ 2008-08-21 8:53 ` Dmitriy Kruglikov
0 siblings, 0 replies; 9+ messages in thread
From: Dmitriy Kruglikov @ 2008-08-21 8:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
21 августа 2008 г. 11:15 пользователь Maxim Tyurin написал:
>
> Ну вообще-то в конфиге openvpn нигде не используется CIDR нотация.
Да ...
Но я не мог и предположить, что она _запрещена_ ...
Точнее, не работоспособна ...
Для меня-то они обе идентичны и с таким я встретился впервые.
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
2008-08-21 8:15 ` [Sysadmins] О правилах указания масок сетей в настройках OpenVPN Maxim Tyurin
@ 2008-08-21 9:08 ` Nikolay A. Fetisov
2008-08-21 9:26 ` Dmitriy Kruglikov
1 sibling, 1 reply; 9+ messages in thread
From: Nikolay A. Fetisov @ 2008-08-21 9:08 UTC (permalink / raw)
To: sysadmins
On Thu, 21 Aug 2008 09:19:25 +0300
Dmitriy Kruglikov wrote:
> ...
> Есди это и не баг, то стоит задокументировать, а именно:
> ... строка должна быть:
> iroute 192.168.1.0 255.255.255.0
Оно задокументировано, openvpn(8):
...
--iroute network [netmask]
Generate an internal route to a specific client. The
netmask parameter, if omitted, defaults to 255.255.255.255.
.......
И это не баг - OpenVPN не предполагает, что клиенты (и сервер) знают о
существовании iproute2. Весь синтаксис рассчитан на добрые старые
ifconfig и route, которые и вызываются OpenVPN'ом при настройке
соединения. Кстати, в логах можно посмотреть, с какими именно
параметрами вызываются эти _внешние_ команды.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
2008-08-21 9:08 ` Nikolay A. Fetisov
@ 2008-08-21 9:26 ` Dmitriy Kruglikov
0 siblings, 1 reply; 9+ messages in thread
From: Dmitriy Kruglikov @ 2008-08-21 9:26 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
21 августа 2008 г. 12:08 пользователь Nikolay A. Fetisov написал:
> Оно задокументировано, openvpn(8):
> ...
> --iroute network [netmask]
> Generate an internal route to a specific client. The
> netmask parameter, if omitted, defaults to 255.255.255.255.
> .......
Но тут не написано, что _только_ в таком виде ...
Может быть янки не так уж и не правы, когда пишут на микроволновках о том,
что кошек в них сушить запрещено ...
А собачек, и нтересно, можно ?
> Весь синтаксис рассчитан на добрые старые
> ifconfig и route, которые и вызываются OpenVPN'ом при настройке
> соединения. Кстати, в логах можно посмотреть, с какими именно
> параметрами вызываются эти _внешние_ команды.
Видел, конечно ...
Но там не было сообщений об ошибках, и в таблицу маршрутизации
сети _добавлялись_, и ip route get выдавал _правильный_ маршрут ...
А пакетики не бегали ...
И именно в этом, неадекватном, поведении я и усматриваю баг.
О том, что нельзя некоторые параметры применять одновременно,
OpenVPN иронически уведомляет (типа, это, вероятно, не то, что вы хотели)
А о том, что он не понимает маску в такой нотации с чуством ложной стыдливости
умалчивает ...
И маршрут, как ни странно, добавляется ...
P.S.
Я действительно привык писать маску в такой нотации,
и где-то с 1992 года это у меня первый случай облома ...
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
@ 2008-08-27 7:30 ` Dmitriy Kruglikov
0 siblings, 1 reply; 9+ messages in thread
From: Dmitriy Kruglikov @ 2008-08-27 7:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
26 августа 2008 г. 6:56 пользователь Denis A. Lopin написал:
>
> А заподсказку о граблях спасибо.
>
Всегда рад быть полезным.
В отместку можете поделиться опытом указания статических маршрутов для
клиентов pptpd.
Мне нужно вдолбить клиенту о том, что некоторая сеть находится по ту
сторону канала openvpn :)
Клиенты могут быть как Вынь, так и нормальные...
И клиентов тех - 5 рыл, по этому городить радиус нецелесообразно.
Но, видать, другого выхода нет.
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
@ 2008-08-28 6:37 ` Dmitriy Kruglikov
0 siblings, 1 reply; 9+ messages in thread
From: Dmitriy Kruglikov @ 2008-08-28 6:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
27 августа 2008 г. 21:18 пользователь Denis A. Lopin написал:
> Ваши клиенты каким либообразом авторизуются в сети или просто находятся в
> локалке?
Клиент<->PPTP<->Сервер1<->OpenVPN<->Сервер2<->Локалка
Сервер1 знает все о локалке, и Сервер2 знает о сети, из которой
получают адреса Клиенты.
Но клиент не получает информацию о Локалке, которая находится за Сервер2.
Клиент получает доступ только к сегменту сети Сервер1
Выставлять Сервер1 в качестве шлюза по умолчанию - плохо, ибо у
Клиента тогда потухнет остальной Инет.
Пересылать через Сервер1 весь его трафик, вытягивая из ppp и
заворачивая обратно в Инет - не очень хочется, хотя, как последнее
средство, можно применить.
P.S.
Как настраивать маршрутизацию, я знаю :)
Я не знаю способа, как заставить рабочую станцию Клиента получить эти маршруты.
Варианты с набором команд на клиенте не проходят, так как они мне не доступны.
Туда я могу ментально сообщить только точку входа, логин и пароль.
Я даже не знаю, какая там ОСь, и не исключено, что там Simbian или еще
какая экзотика.
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
@ 2008-08-29 6:50 ` Dmitriy Kruglikov
2008-08-29 7:28 ` Владимир
0 siblings, 1 reply; 9+ messages in thread
From: Dmitriy Kruglikov @ 2008-08-29 6:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
28 августа 2008 г. 20:43 пользователь Denis A. Lopin написал:
> Но в данном случае получается что до подключения через pptp клиенты
> собственно ничего о другой сети и не знают.
> а к инету доступ они получают авторизовавшись на pptp сервере и получив
> маршрут по умолчанию? Я правильно понял схему?
Не совсем ...
Клиенты подключаются к Инету как попало ...
И маршрутизацию они получают от своего провайдера или еще как ...
Потом они добираются до моего сервера pptp и поднимают VPN в мою
(корпоративную) сеть.
И должны получить еще некоторый набор статических маршрутов.
При подключении к Инет маршрутизация приплывает по DHCP или от Radius
провайдера.
А от меня маршрутизацию выдать можно только через такой же Radius,
чего я делать не хочу,
так как это из пушки по мухам.
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
2008-08-29 6:50 ` Dmitriy Kruglikov
@ 2008-08-29 7:28 ` Владимир
2008-08-29 8:34 ` Dmitriy Kruglikov
0 siblings, 1 reply; 9+ messages in thread
From: Владимир @ 2008-08-29 7:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy Kruglikov пишет:
> 28 августа 2008 г. 20:43 пользователь Denis A. Lopin написал:
>
>> Но в данном случае получается что до подключения через pptp клиенты
>> собственно ничего о другой сети и не знают.
>> а к инету доступ они получают авторизовавшись на pptp сервере и получив
>> маршрут по умолчанию? Я правильно понял схему?
>>
> Не совсем ...
> Клиенты подключаются к Инету как попало ...
> И маршрутизацию они получают от своего провайдера или еще как ...
> Потом они добираются до моего сервера pptp и поднимают VPN в мою
> (корпоративную) сеть.
> И должны получить еще некоторый набор статических маршрутов.
>
>
В сети кто то один должен вести маршрутную таблицу, и никак по другому.
Или договаривайтесь с провайдером о выдаче нужных вам статических
маршрутов,
или прячте своих клиентов за шлюз.
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] О правилах указания масок сетей в настройках OpenVPN
2008-08-29 7:28 ` Владимир
@ 2008-08-29 8:34 ` Dmitriy Kruglikov
0 siblings, 0 replies; 9+ messages in thread
From: Dmitriy Kruglikov @ 2008-08-29 8:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
29 августа 2008 г. 10:28 пользователь Владимир написал:
>
> В сети кто то один должен вести маршрутную таблицу, и никак по другому.
> Или договаривайтесь с провайдером о выдаче нужных вам статических маршрутов,
> или прячте своих клиентов за шлюз.
>
Мистер, вы о чем ???
У меня клиенты по всему шарику ползают ...
С кем договариваться ?
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-08-29 8:34 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-08-21 8:15 ` [Sysadmins] О правилах указания масок сетей в настройках OpenVPN Maxim Tyurin
2008-08-21 8:53 ` Dmitriy Kruglikov
2008-08-21 9:08 ` Nikolay A. Fetisov
2008-08-21 9:26 ` Dmitriy Kruglikov
2008-08-27 7:30 ` Dmitriy Kruglikov
2008-08-28 6:37 ` Dmitriy Kruglikov
2008-08-29 6:50 ` Dmitriy Kruglikov
2008-08-29 7:28 ` Владимир
2008-08-29 8:34 ` Dmitriy Kruglikov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git