Вход | Регистрация


Информационные технологии :: Администрирование

OpenVPN как дать доступ клиентам во внутреннюю локалку?

OpenVPN как дать доступ клиентам во внутреннюю локалку?
Я
   fly7
 
20.01.13 - 20:15
есть локальная сеть 10.0.100.ххх
есть OpenVPN сервер локальный IP 10.0.100.11  VPN IP 10.0.110.1

подключился к VPN, получил IP 10.0.110.3
как настроить доступ из дома на 10.0.100.50 ?
 
 
   Hazer79
 
1 - 20.01.13 - 20:35
(0) Ты сначала определись какая у тебя всё-таки подсеть - 100 или 110 ?
   fly7
 
2 - 20.01.13 - 21:18
(1) 100 это локальная сеть
110 это сеть VPN
   Chai Nic
 
3 - 20.01.13 - 21:47
Должны быть правильно заданы маршруты. В частности, на клиенте должен быть маршрут на 100 сеть через 110.1, на шлюзе должны быть маршруты в обе сети, а также на 100.50 должен быть маршрут к 110 сети через 100.11
   AkeHayc
 
4 - 20.01.13 - 22:10
push route "адрес локальной сети"
   AkeHayc
 
5 - 20.01.13 - 22:20
это надо в серверном конфиге прописать.
   fly7
 
6 - 20.01.13 - 22:52
(5) на сервере я прописал
push "route 10.0.100.0 255.255.255.0"

не работает (
   AkeHayc
 
7 - 21.01.13 - 11:22
А порт 1194 открыт?
   fly7
 
8 - 21.01.13 - 12:54
(7) я другой порт пробросил
к самому OpenVPN подключился, IP получил, но не вижу локальную сеть за шлюзом

вот конфиг сервера

port 35900
proto tcp-server
dev tap
mode server
ca C://OpenVPN//keys//ca.crt
cert C://OpenVPN//keys//Server.crt
key C://OpenVPN//keys//Server.key
dh C://OpenVPN//keys//dh1024.pem
server 10.0.110.0 255.255.255.0
ifconfig 10.0.110.1 255.255.255.0
route 10.0.110.0 255.255.255.0
route 10.0.100.0 255.255.255.0
push "route 10.0.100.0 255.255.255.0"
tls-server
client-to-client
keepalive 10 120


вот конфиг клиента

ifconfig 10.0.110.2 255.255.255.0
dev tap
remote 10.0.100.11
remote хх.хх.хх.хх
rport 35900
proto tcp-client
connect-retry 1
connect-retry-max 605000 # about 1 week
resolv-retry 10
nobind
tls-client
ca C://vpn_keys//ca.crt
cert C://vpn_keys//anton_macbook.crt
key C://vpn_keys//anton_macbook.key
   Jump
 
9 - 21.01.13 - 16:36
(6)А сервер физически доступ к сети 10.0.100.0 имеет?
Или ты просто маршрут прописал?
   fly7
 
10 - 21.01.13 - 17:21
(9) сервер физически 10.0.100.11, доступ в сеть 10.0.100.ххх имеет, на роутере до него проброшен порт 35900

из дома подключаюсь OpenVPNом, получаю IP 10.0.110.2, хочу иметь доступ в сеть 10.0.100.ххх например 10.0.100.20
 
 Рекламное место пустует
   Jump
 
11 - 21.01.13 - 17:26
(10)Нарисовать схему сети сможешь?
Ну честное слово не понятно, где сервер, где нужная сеть, где дом.
ОК?
   fly7
 
12 - 21.01.13 - 22:15
(11) как то так примерно https://dl.dropbox.com/u/577178/111.png
   ПесняПроЗайцев
 
13 - 21.01.13 - 22:18
(0) Само все делается, если не через Жеппу поставил.
у тебя должно быть 2 адреса и доп вирт ТАП адаптер.
   ПесняПроЗайцев
 
14 - 21.01.13 - 22:20
А вообще, тут в зависимости от конторы или тебе рубить яйцы или премию, что-ли.. а потом отрубить яйцы.
   fly7
 
15 - 21.01.13 - 22:38
(14) по существу есть чо сказать?
   Jump
 
16 - 21.01.13 - 22:47
(12)Впн сервер у тебя поднят на чем? На циске, или на компьютере (какая ось) который в локальной сети 10.0.100.ххх ?
   fly7
 
17 - 21.01.13 - 22:49
(16) на компе 10.0.100.11  Win 2008
   fly7
 
18 - 21.01.13 - 22:49
(16) на циске только проброшен порт снаружи до 10.0.100.11
   Jump
 
19 - 21.01.13 - 22:52
(17)Вот ты в самой винде и добавь маршрут, и все заработает.
   Jump
 
20 - 21.01.13 - 22:53
Циска тут получается совсем не при чем, т.е она к VPN не касается, она лишь обеспечивает доступ из интернета до VPN сервера.
   fly7
 
21 - 21.01.13 - 22:54
(20) да
   fly7
 
22 - 21.01.13 - 22:54
(20) я хочу через 10.0.110.1 попасть в сеть 10.0.100.хх
   Jump
 
23 - 21.01.13 - 22:59
В винде попробуй route -p add сеть маска шлюз
Сеть - твоя локалка
Шлюз - сетевуха которая глядит в твою локалку.
   fly7
 
24 - 21.01.13 - 23:02
(23) у меня дома
rote -p add 10.0.102.2 255.255.255.0 10.0.100.11
?

10.0.102.2  домашний VPN IP
10.0.100.11 локальный IP VPN сервера
   fly7
 
25 - 21.01.13 - 23:03
пишет
route: неверный параметр 10.0.100.11
   Jump
 
26 - 21.01.13 - 23:05
(24)Не у тебя дома.
На сервере.
Т.е в командной строке того компьютера, на котором запущен сервер VPN.
   fly7
 
27 - 21.01.13 - 23:08
на сервере
route -p add 10.0.100.11 255.255.255.0 10.0.102.2

пишет
route: неверный параметр 10.0.102.2
   fly7
 
28 - 21.01.13 - 23:09
C:\>route -p add 10.0.110.1 255.255.255.0 10.0.100.11
route: неверный параметр 10.0.100.11
   Jump
 
29 - 21.01.13 - 23:10
(28)на сервере ping 10.0.100.11 идет?
   fly7
 
30 - 21.01.13 - 23:11
(29) на VPN сервер? так это он и есть 10.0.100.11 )
   fly7
 
31 - 21.01.13 - 23:11
на 10.0.100.11 стоит VPN сервер
   Jump
 
32 - 21.01.13 - 23:14
Так давай по порядку - у твоего сервера на котором крутится впн есть сетевая карта которая смотрит в сеть.
Какой у нее айпишник?

Далее на этом же сервере есть виртуальный адаптер VPN какой у него айпишник?
Короче сделай ipconfig на сервере, и давай его вывод сюда.
   Jump
 
33 - 21.01.13 - 23:17
Да и route print тоже бы неплохо, чтобы номера интерфейсов глянуть.
 
 
   fly7
 
34 - 21.01.13 - 23:17
(32) https://dl.dropbox.com/u/577178/ttt.txt

локальный IP VPN сервера 10.0.100.11
VPN IP VPN сервера 10.0.110.1
   fly7
 
35 - 21.01.13 - 23:18
Настройка протокола IP для Windows

  Имя компьютера  . . . . . . . . . : AD
  Основной DNS-суффикс  . . . . . . : kapricci.local
  Тип узла. . . . . . . . . . . . . : Гибридный
  IP-маршрутизация включена . . . . : Нет
  WINS-прокси включен . . . . . . . : Нет
  Порядок просмотра суффиксов DNS . : kapricci.local

Ethernet adapter Подключение по локальной сети 2:

  DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
  Физический адрес. . . . . . . . . : 00-FF-40-ED-70-A3
  DHCP включен. . . . . . . . . . . : Да
  Автонастройка включена. . . . . . : Да
  Локальный IPv6-адрес канала . . . : fe80::a0cf:3862:4b5:17da%15(Основной)
  IPv4-адрес. . . . . . . . . . . . : 10.0.110.1(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Аренда получена. . . . . . . . . . : 18 января 2013 г. 22:42:27
  Срок аренды истекает. . . . . . . . . . : 18 января 2014 г. 22:42:27
  Основной шлюз. . . . . . . . . :
  DHCP-сервер. . . . . . . . . . . : 10.0.110.0
  IAID DHCPv6 . . . . . . . . . . . : 385941312
  DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-18-6F-21-80-00-22-4D-51-92-5A
  DNS-серверы. . . . . . . . . . . : ::1
                                      127.0.0.1
  NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

  DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
  Физический адрес. . . . . . . . . : 00-22-4D-51-92-5A
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да
  Локальный IPv6-адрес канала . . . : fe80::edff:d6d7:1ef8:a5cd%11(Основной)
  IPv4-адрес. . . . . . . . . . . . : 10.0.100.11(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз. . . . . . . . . : 10.0.100.1
  IAID DHCPv6 . . . . . . . . . . . : 234889805
  DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-18-6F-21-80-00-22-4D-51-92-5A
  DNS-серверы. . . . . . . . . . . : ::1
                                      127.0.0.1
  NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{8C190691-E1DB-4C4E-8544-D0C2AD5A6383}:

  Состояние среды. . . . . . . . : Среда передачи недоступна.
  DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
  Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

  Состояние среды. . . . . . . . : Среда передачи недоступна.
  DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
  Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{40ED70A3-4892-4EBB-A88F-374E7A7448BE}:

  Состояние среды. . . . . . . . : Среда передачи недоступна.
  DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
  Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да
   fly7
 
36 - 21.01.13 - 23:20
   fly7
 
37 - 21.01.13 - 23:22
(33)
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
         0.0.0.0          0.0.0.0       10.0.100.1      10.0.100.11    266
      10.0.100.0    255.255.255.0         On-link       10.0.100.11    266
     10.0.100.11  255.255.255.255         On-link       10.0.100.11    266
    10.0.100.255  255.255.255.255         On-link       10.0.100.11    266
      10.0.110.0    255.255.255.0         On-link        10.0.110.1    286
      10.0.110.1  255.255.255.255         On-link        10.0.110.1    286
    10.0.110.255  255.255.255.255         On-link        10.0.110.1    286
       127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
       127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
 127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link       10.0.100.11    266
       224.0.0.0        240.0.0.0         On-link        10.0.110.1    286
 255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 255.255.255.255  255.255.255.255         On-link       10.0.100.11    266
 255.255.255.255  255.255.255.255         On-link        10.0.110.1    286
   глазковыколупыватель
 
38 - 21.01.13 - 23:22
(0) ip forward включил?
   Jump
 
39 - 21.01.13 - 23:23
route -p add 10.0.110.0 255.255.255.0 10.0.100.11
попробуй, если нет то давай вывод route print
   Jump
 
40 - 21.01.13 - 23:24
Точнее так -
route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11
попробуй, если нет то давай вывод route print
   fly7
 
41 - 21.01.13 - 23:24
(39)
C:\>route -p add 10.0.110.0 255.255.255.0 10.0.100.11
route: неверный параметр 10.0.100.11
   Jump
 
42 - 21.01.13 - 23:27
(38)Кстати да. Очень даже может быть.
http://support.microsoft.com/kb/315236?wa=wsignin1.0
Хотя на сервере вроде включена по умолчанию, или нет?
   Jump
 
43 - 21.01.13 - 23:28
Не, вроде на пользовательской только отключена, на сервере из коробки должна по идее работать.
   fly7
 
44 - 21.01.13 - 23:32
(40)
C:\>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11
Запрошенная операция требует повышения.
   Jump
 
45 - 21.01.13 - 23:32
(44)Дык под админом запусти cmd
   fly7
 
46 - 21.01.13 - 23:34
C:\Windows\system32>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11
ОК

но с домашнего 10.0.110.2   10.0.100.20 не пингуется
   Jump
 
47 - 21.01.13 - 23:35
(46)попробуй для начала попинговать с домашнего 10.0.100.11
И глянь файервол, он может блокировать между двумя сетями пакеты.
   глазковыколупыватель
 
48 - 21.01.13 - 23:36
(42) на 2003 по умолчанию выкл. Не знаю, как в 2008.
   fly7
 
49 - 21.01.13 - 23:37
(47) каспера выгрузил
10.0.100.11 не пингуется ((
 
 Рекламное место пустует
   глазковыколупыватель
 
50 - 21.01.13 - 23:40
(0) Тут что? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter ?
   Jump
 
51 - 21.01.13 - 23:40
(49)Ой блин ошибся у тебя же айпишник на сервере 10.0.110.1 в локалку смотрит?
А я написал 10.0.110.11 надо поправить
И маршрут удалить
И добавить правильный.
route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.1
   Jump
 
52 - 21.01.13 - 23:41
Т.е
на сервере
route delete 10.0.110.0 mask 255.255.255.0 10.0.100.11
route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.1

А потом
ping 10.0.100.1 на домашнем компьютере попробовать.
   fly7
 
53 - 21.01.13 - 23:45
C:\Windows\system32>route delete 10.0.110.0 mask 255.255.255.0 10.0.100.11
ОК

C:\Windows\system32>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.1
ОК


но 10.0.100.11 не пингуется (
   fly7
 
54 - 21.01.13 - 23:48
(50) нет такой буквы в этом слове
https://dl.dropbox.com/u/577178/333.png
   Jump
 
55 - 21.01.13 - 23:48
(53)Ух...
Я чего-то не понял на сервере айпишник который смотрит в локалку 10.0.100.1  или 10.0.100.11
А?
А то у тебя в одном листинге один айпишик, а в другом другой
   fly7
 
56 - 21.01.13 - 23:49
(55) да, на VPN сервере IP  10.0.100.11 и 10.0.110.1
   Jump
 
57 - 21.01.13 - 23:50
(54)Етить твою за ногу...
IPEnableRouter поставь значение 1
   fly7
 
58 - 21.01.13 - 23:50
(56) 10.0.100.1 тоже не пингуется из дома
   глазковыколупыватель
 
59 - 21.01.13 - 23:50
(54) Это на сервере? Добавь параметр  "IPEnableRouter" , значение 1. Перегрузи сервер, пробуй.
   fly7
 
60 - 21.01.13 - 23:51
(57)(59) поставил
перегружать??
   fly7
 
61 - 21.01.13 - 23:51
   глазковыколупыватель
 
62 - 21.01.13 - 23:52
(61) йайа
   Jump
 
63 - 21.01.13 - 23:52
(61)Перезагружай.
   fly7
 
64 - 21.01.13 - 23:53
(63)(62) ждем )
   Jump
 
65 - 21.01.13 - 23:55
И это я запутался.
Ежели на сервере выход в локалку  10.0.100.11 то правильным был первый вариант, вертай назад маршрут :)_
route delete 10.0.110.0 mask 255.255.255.0 10.0.100.1
route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11
   fly7
 
66 - 21.01.13 - 23:56
(65) после ребута маршруты сохраняются?
   Jump
 
67 - 21.01.13 - 23:56
Ты видимо выложил выводы ipconfig c сервера и с домашнего? Откуда такая путаница?
   глазковыколупыватель
 
68 - 21.01.13 - 23:56
(65) Должно все без маршрутов работать, если в конфиге сервера есть "пуш роут"
   Jump
 
69 - 21.01.13 - 23:57
(66)Да ты же ключ -p поставил
   глазковыколупыватель
 
70 - 21.01.13 - 23:57
(66) с -p - да
   Jump
 
71 - 21.01.13 - 23:58
Ну да. короче сначала удали маршрут, попробуй доступ, а уж потом если не получится, тогда добавляй.
   fly7
 
72 - 21.01.13 - 23:58
(66) OpenVPN локально подключился, 10.0.100.1 и 11 не пингутся
   fly7
 
73 - 21.01.13 - 23:59
(71) удалил
route delete 10.0.110.0 mask 255.255.255.0 10.0.100.1
из дома 10.0.100.11 не пингуется
   fly7
 
74 - 22.01.13 - 00:00
(71) на сервере
C:\Windows\system32>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11
ОК

локально 10.0.100.11 не пингуется (
   глазковыколупыватель
 
75 - 22.01.13 - 00:00
10.0.110.1  пингуешь?
   fly7
 
76 - 22.01.13 - 00:00
(68) нифига ((
   fly7
 
77 - 22.01.13 - 00:02
(75) блин нет((( но вчера работало! я по RDP заходил на него!
   глазковыколупыватель
 
78 - 22.01.13 - 00:03
покажь лог впн-подключения
   Jump
 
79 - 22.01.13 - 00:04
(74)Что значит "локально 10.0.100.11 не пингуется"
Из дома не пингуется? или на сервере не пингуется 10.0.100.11 ???
   fly7
 
80 - 22.01.13 - 00:05
(79) из дома, когда VPN подключен, на сервер он сам себя пингует конечно
   fly7
 
81 - 22.01.13 - 00:06
(78)
Tue Jan 22 00:04:26 2013 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Tue Jan 22 00:04:26 2013 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Jan 22 00:04:26 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jan 22 00:04:26 2013 TAP-WIN32 device [Подключение по локальной сети 6] opened: \\.\Global\{8FCE2E01-08CF-4590-A493-263EC5AA969C}.tap
Tue Jan 22 00:04:26 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.110.2/255.255.255.0 on interface {8FCE2E01-08CF-4590-A493-263EC5AA969C} [DHCP-serv: 10.0.110.0, lease-time: 31536000]
Tue Jan 22 00:04:26 2013 Successful ARP Flush on interface [28] {8FCE2E01-08CF-4590-A493-263EC5AA969C}
Tue Jan 22 00:04:26 2013 Attempting to establish TCP connection with 10.0.100.11:35900
Tue Jan 22 00:04:47 2013 TCP: connect to 10.0.100.11:35900 failed, will try again in 1 seconds: Connection timed out (WSAETIMEDOUT)
Tue Jan 22 00:04:47 2013 SIGUSR1[soft,init_instance] received, process restarting
Tue Jan 22 00:04:48 2013 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Jan 22 00:04:48 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jan 22 00:04:48 2013 TAP-WIN32 device [Подключение по локальной сети 6] opened: \\.\Global\{8FCE2E01-08CF-4590-A493-263EC5AA969C}.tap
Tue Jan 22 00:04:48 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.110.2/255.255.255.0 on interface {8FCE2E01-08CF-4590-A493-263EC5AA969C} [DHCP-serv: 10.0.110.0, lease-time: 31536000]
Tue Jan 22 00:04:48 2013 Successful ARP Flush on interface [28] {8FCE2E01-08CF-4590-A493-263EC5AA969C}
Tue Jan 22 00:04:48 2013 Attempting to establish TCP connection with 81.211.2.230:35900
Tue Jan 22 00:04:48 2013 TCP connection established with 81.211.2.230:35900
Tue Jan 22 00:04:48 2013 TCPv4_CLIENT link local: [undef]
Tue Jan 22 00:04:48 2013 TCPv4_CLIENT link remote: 81.211.2.230:35900
Tue Jan 22 00:04:50 2013 WARNING: 'ifconfig' is present in local config but missing in remote config, local='ifconfig 10.0.110.0 255.255.255.0'
Tue Jan 22 00:04:50 2013 [Server] Peer Connection Initiated with 81.211.2.230:35900
Tue Jan 22 00:04:56 2013 Initialization Sequence Completed
   Jump
 
82 - 22.01.13 - 00:07
(80)Упс...
А дома у тебя какой айпишник локальный?
Случайно не из сети 10.0.100.xxx ?
   глазковыколупыватель
 
83 - 22.01.13 - 00:08
(82) Было такое на винде. Пока не переставил впн - не работало. Симптомы такие же. Вчера все норм - сегодня - не работает. Хочешь - попробуй.
   глазковыколупыватель
 
84 - 22.01.13 - 00:08
(83) к (81)
   fly7
 
85 - 22.01.13 - 00:08
(82) дома у меня 10.0.110.2
   Jump
 
86 - 22.01.13 - 00:12
(85)Попробуй на домашнем компьютере прописать
route -p add 10.0.110.0 mask 255.255.255.0 10.0.110.3
   Jump
 
87 - 22.01.13 - 00:13
стоп
не пробуй
   Jump
 
88 - 22.01.13 - 00:14
(85)дома у тебя два адаптера
локальный - какой адрес
впн - какой адрес
   fly7
 
89 - 22.01.13 - 00:15
парни, спасибо за участие!
но я спать )
довайте завтра продролжим
   Jump
 
90 - 22.01.13 - 00:16
ок, это дело нужное, четыре часа ночи блин, а завтра еще работать надо.
   глазковыколупыватель
 
91 - 22.01.13 - 00:17
таки переставь впн на клиенте, если win7, в конфиге посмотри route method exe и route delay2


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует