Полная версия этой страницы: OpenVPN, маршруты и iptables
schmel
Есть сеть: 2 ideco сервера и один траффпро.
ideco -- ideco соединены по openvpn. Пришла необходимость подключить 3й офис с траффпро.



чисто теория - как должно происходить соединение openvpn other_os---->ideco<--- ideco?
Поправьте если не прав:
1. Выбираем, какой офис будет основным
2. Создаем на ideco шлюзе в основном офисе интерфейс openvpn, генерируем ключ, скачиваем и загружаем на машину. Прописываем свой внешний IP и удаленный внешний IP.
3. Во втором офисе изменяем защищенный адрес сервера, так, чтобы он не пересекался с главным офисом
4. Во 2м офисе создаем интерфейс openvpn, загружаем ключ сгенерированный в главном офисе, прописаем IP адреса.
5. Прописываем маршруты между офисами на обоих шлюзах.
6. Подключаем 3й офис. Создаем в главном офисе еще один интерфейс openvpn, генерируем ключ, скачиваем и загружаем на машину. Прописываем свой внешний IP и удаленный внешний IP.
7. Проверяем чтобы ip в офисах не пересекались.
8. На linux машине строгаем такой конфиг:


mode p2p
local свой_внешний_ip
remote внешний_ip_главного_офиса
secret /etc/openvpn/keys/openvpn.rsa.key #Сгенерированный ключ 2го интерфейса в главном офисе
port 1194
proto udp
dev tun
dev-type tun
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
ifconfig 10.10.5.0 10.129.0.0 # Соединяемые подсети локального и удаленного офиса
verb 1
log /var/log/openvpn.log



9. Прописываем маршруты к главному офису.
route add -net remote_local_net/24 tun_интерфейс


Сделал все по правилам, создается tun интерфейс, но пинг не идет. Нужны ли какие нить правила iptables? Я просто маршруты вручную прописывал.

Вот openvpn.log

Wed Jul 27 16:54:24 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Wed Jul 27 16:54:24 2011 Re-using pre-shared static key
Wed Jul 27 16:54:24 2011 LZO compression initialized
Wed Jul 27 16:54:24 2011 Preserving previous TUN/TAP instance: tun0
Wed Jul 27 16:54:24 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jul 27 16:54:24 2011 Local Options hash (VER=V4): \'ac1d9bc7\'
Wed Jul 27 16:54:24 2011 Expected Remote Options hash (VER=V4): \'66ee51b0\'
Wed Jul 27 16:54:24 2011 Socket Buffers: R=[112640->131072] S=[112640->131072]
Wed Jul 27 16:54:24 2011 UDPv4 link local (bound): [AF_INET]85.x.x.205:1194
Wed Jul 27 16:54:24 2011 UDPv4 link remote: [AF_INET]85.x.x.66:1194

Sly
проверьте сперва пинг на точка точка, потом смотрите логи openvpn, проверьте так же с сервера traffpro открыт ли порт openvpn к которому вы подключаетесь.
schmel
Sly,
Как конкретно проверить пинг точка-точка? пропинговать ip удаленного сервера? пинг вообще не идет ни в одной стороне.

судя по этому логу:

Wed Jul 27 16:19:48 2011 OpenVPN 2.1.0 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 20 2010
Wed Jul 27 16:19:48 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Jul 27 16:19:48 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Wed Jul 27 16:19:48 2011 WARNING: file \\\'/etc/openvpn/keys/openvpn.rsa.key\\\' is group or others accessible
Wed Jul 27 16:19:48 2011 Static Encrypt: Cipher \\\'BF-CBC\\\' initialized with 128 bit key
Wed Jul 27 16:19:48 2011 Static Encrypt: Using 160 bit message hash \\\'SHA1\\\' for HMAC authentication
Wed Jul 27 16:19:48 2011 Static Decrypt: Cipher \\\'BF-CBC\\\' initialized with 128 bit key
Wed Jul 27 16:19:48 2011 Static Decrypt: Using 160 bit message hash \\\'SHA1\\\' for HMAC authentication
Wed Jul 27 16:19:48 2011 LZO compression initialized
Wed Jul 27 16:19:48 2011 TUN/TAP device tun0 opened
Wed Jul 27 16:19:48 2011 TUN/TAP TX queue length set to 100
Wed Jul 27 16:19:48 2011 /sbin/ifconfig tun0 10.10.5.1 pointopoint 10.129.0.0 mtu 1500
Wed Jul 27 16:19:48 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jul 27 16:19:48 2011 Local Options hash (VER=V4): \\\'ac1d9bc7\\\'
Wed Jul 27 16:19:48 2011 Expected Remote Options hash (VER=V4): \\\'66ee51b0\\\'
Wed Jul 27 16:19:48 2011 GID set to nogroup
Wed Jul 27 16:19:48 2011 UID set to nobody
Wed Jul 27 16:19:48 2011 Socket Buffers: R=[112640->131072] S=[112640->131072]
Wed Jul 27 16:19:48 2011 UDPv4 link local (bound): [AF_INET]85.x.x.205:1194
Wed Jul 27 16:19:48 2011 UDPv4 link remote: [AF_INET]85.x.x.66:1194
Wed Jul 27 16:54:22 2011 Inactivity timeout (--ping-restart), restarting
Wed Jul 27 16:54:22 2011 TCP/UDP: Closing socket
Wed Jul 27 16:54:22 2011 SIGUSR1[soft,ping-restart] received, process restarting
Wed Jul 27 16:54:22 2011 Restart pause, 2 second(s)
Wed Jul 27 16:54:24 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Jul 27 16:54:24 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Wed Jul 27 16:54:24 2011 Re-using pre-shared static key
Wed Jul 27 16:54:24 2011 LZO compression initialized
Wed Jul 27 16:54:24 2011 Preserving previous TUN/TAP instance: tun0
Wed Jul 27 16:54:24 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jul 27 16:54:24 2011 Local Options hash (VER=V4): \\\'ac1d9bc7\\\'
Wed Jul 27 16:54:24 2011 Expected Remote Options hash (VER=V4): \\\'66ee51b0\\\'
Wed Jul 27 16:54:24 2011 Socket Buffers: R=[112640->131072] S=[112640->131072]
Wed Jul 27 16:54:24 2011 UDPv4 link local (bound): [AF_INET]85.x.x.205:1194
Wed Jul 27 16:54:24 2011 UDPv4 link remote: [AF_INET]85.x.x.66:1194  


Соединение создается, создается туннель tun0, но через некоторое время соединение врется по причине пинг недоступности.
Может это поможет прояснить ситуацию? :
Вот ifconfig с ubuntu
eth0 Link encap:Ethernet HWaddr 00:30:48:2c:8e:82
inet addr:192.168.9.254 Bcast:192.168.9.255 Mask:255.255.255.0
inet6 addr: fe80::230:48ff:fe2c:8e82/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:365785 errors:0 dropped:0 overruns:0 frame:0
TX packets:387000 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:65748319 (65.7 MB) TX bytes:324102120 (324.1 MB)

eth1 Link encap:Ethernet HWaddr 00:30:48:2c:8e:83
inet6 addr: fe80::230:48ff:fe2c:8e83/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:433539 errors:0 dropped:0 overruns:0 frame:0
TX packets:368642 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:335926549 (335.9 MB) TX bytes:69591233 (69.5 MB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:111691 errors:0 dropped:0 overruns:0 frame:0
TX packets:111691 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:16282622 (16.2 MB) TX bytes:16282622 (16.2 MB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:85.x.38.x P-t-P:80.95.33.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1100 Metric:1
RX packets:426485 errors:0 dropped:0 overruns:0 frame:0
TX packets:361584 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:326108905 (326.1 MB) TX bytes:61424326 (61.4 MB)

ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.9.254 P-t-P:10.67.15.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1472 Metric:1
RX packets:24404 errors:0 dropped:0 overruns:0 frame:0
TX packets:7452 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2480224 (2.4 MB) TX bytes:1540499 (1.5 MB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.9.254 P-t-P:192.168.1.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:31 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:2604 (2.6 KB)


route -n c ubuntu

Destination Gateway Genmask Flags Metric Ref Use Iface
85.х.х.66 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
80.95.3х.1х1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.67.15.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
10.67.15.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.9.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0


sudo iptables-save с траффпро

# Generated by iptables-save v1.4.4 on Mon Aug 1 08:50:36 2011
*nat
:PREROUTING ACCEPT [77366:5906498]
:POSTROUTING ACCEPT [56482:4037746]
:OUTPUT ACCEPT [80799:5990086]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.129.0.0/16 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Aug 1 08:50:36 2011
# Generated by iptables-save v1.4.4 on Mon Aug 1 08:50:36 2011
*filter
:INPUT ACCEPT [76587:26413210]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [71556:9635234]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -j NFQUEUE --queue-num 0
-A FORWARD -i tun+ -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -p tcp -m tcp --sport 3128 -j NFQUEUE --queue-num 0
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Mon Aug 1 08:50:36 2011
# Generated by iptables-save v1.4.4 on Mon Aug 1 08:50:36 2011
*mangle
:PREROUTING ACCEPT [347886:57873814]
:INPUT ACCEPT [196368:43601455]
:FORWARD ACCEPT [679252:369791299]
:OUTPUT ACCEPT [192386:27430047]
:POSTROUTING ACCEPT [379133:317425265]
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i ppp0 -j ACCEPT
-A FORWARD -o ppp12 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp7 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp11 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp10 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp9 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp8 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp6 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp5 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp4 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp3 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp2 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -o ppp0 -j ACCEPT
COMMIT
# Completed on Mon Aug 1 08:50:36 2011

заранее спасибо за помощь...
kazakov-fmf
похоже это в идеко дело, как можно исправить эту ошибку?
Sly
Ну собственно адрес уже используется, ну а дальше читать маны по openvpn.
kazakov-fmf
решение проблемы тут http://www.ideco-software.ru/forum3/default.aspx?g=posts&m=30160痐
schmel
Порт, поменяли, теперь нет ошибки, что адрес уже используется, но соединение не проходит - в логах такая ошибка:
ubuntu
Tue Aug 16 03:26:23 2011 SIGUSR1[soft,ping-restart] received, process restarting
Tue Aug 16 03:26:25 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined script
Tue Aug 16 03:26:25 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Tue Aug 16 03:26:25 2011 Re-using pre-shared static key
Tue Aug 16 03:26:25 2011 LZO compression initialized
Tue Aug 16 03:26:25 2011 Preserving previous TUN/TAP instance: tun0
Tue Aug 16 03:26:25 2011 UDPv4 link local (bound): [AF_INET]85.237.38.205:1294
Tue Aug 16 03:26:25 2011 UDPv4 link remote: [AF_INET]85.234.37.66:1294
Tue Aug 16 03:26:25 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Tue Aug 16 03:26:35 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Tue Aug 16 03:26:35 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Tue Aug 16 03:28:25 2011 Inactivity timeout (--ping-restart), restarting


ideco



вот конфиг с ubuntu
mode p2p
local 85.237.38.205
remote 85.234.37.66
secret /etc/openvpn/keys/openvpn.rsa.key
port 1294
proto udp
dev tun
#dev-type tun
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
ifconfig 10.129.0.7 10.129.0.0
route 10.129.0.0 255.255.0.0
route 192.168.1.0 255.255.255.0
verb 1
log /var/log/openvpn.log

так же пробовал без строчки ifconfig и с различными вариациями ip (10.129.0.1 10.129.0.0; 192.168.1.3 192.168.1.254; ) в логах теже ошибки.
Что примечательно в конфиге ideco этой строчки вообще нет...
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.