Dojscie do klientow OpenVPN z sieci LAN


(Yodacki) #1

Witam,


(_nikt79_) #2

Czy Twoi klienci OVPN posiadają systemy Windows ?

Jeżeli tak to weź pod uwagę ograniczenie Windows narzucające dla OVPN wyłącznie sieci /30 jednopołączeniowe.( 4 adresy : 1 na sieć 1 na serwer 1 na klienta i 1 na broadcast )

https://openvpn.net/index.php/open-source/faq/77-server/273-qifconfig-poolq-option-use-a-30-subnet-4-private-ip-addresses-per-client-when-used-in-tun-mode.html

Ponadto zawsze warto zweryfikować czy nie ma po drodze firewalla którego domyślna polityka coś blokuje.


(roobal) #3

Pokaż konfigurację serwera i klienta.


(Yodacki) #4

Klientów w sumie będzie ok. 20. To absolutne maksimum. Stacje windowsowe i linuksowe.

Konfigurację serwera i klienta zamieszczę jutro. Nie mam w tej chwili dojścia do serwera.

Dziękuję za zainteresowanie :slight_smile:


(Yodacki) #5

Tak jak obiecałem, wstawiam konfig serwera openvpn i konfig klienta

Konfig serwera

dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 78.x.x.2
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server1.php via-env
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 100
push "route 10.10.0.0 255.255.0.0"
push "dhcp-option DNS 10.10.10.60"
push "dhcp-option DNS 10.10.10.25"
client-to-client
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
float

Konfig klienta

dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 78.x.x.2 1194 udp
lport 0
verify-x509-name "ServerCert" name
auth-user-pass
pkcs12 pfsense-udp-1194-test.p12
tls-auth pfsense-udp-1194-test-tls.key 1
ns-cert-type server

Moim skromnym zdaniem problem jest z routingiem na stacjach roboczych w LAN. Jednak próbowałem “zabawy” ze statycznym routingiem na routerze. Bez efektu.

Dodawałem statyczny routing wprost na stacjach roboczych np. route add 10.0.8.0 255.255.255.0 10.10.10.1

 


(roobal) #6

Zamiast tego.

dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1

Ustaw po prostu.

dev tun
tun-ipv6
port 1194
proto udp

Trasy zgodnie z konfigiem ma Ci wrzucać serwer po nawiązaniu połączenia. Prawdopodobnie klienci nie nawiązują połączenia. Sprawdź logi i odpal jeszcze OpenVPNa z palca, a nie jako demon.

openvpn plik_konfiguracyjny.conf

(Yodacki) #7

Klienci poza siedzibą firmy na których jest zestawiony tunel OpenVPN (adresy z klasy 10.0.8.0/24) prawidłowo nawiązują połączenie. Mają dojście do sieci LAN i mogą korzystać z zasobów w sieci w centrali firmy. Tak więc połączenie od klientów do siedziby firmy poprzez tunel OpenVPN działa prawidłowo.

Problem jest odwrotny. Stacje w centrali, znajdujące się w sieci LAN (10.10.0.0/16), nie mają dojścia do klientów poza siedzibą firmy. Stacje klienckie z zestawionym tunelem OpenVPN nie odpowiadają na pingi wysyłane ze stacji w sieci LAN. Połączenie z klientami jest również wymagane m.in. do tego aby korzystać z systemu inwentaryzacji i audytu stacji klientów spoza firmy, systemu zarządzania siecią (NMS) oraz aby móc logować się na stacje klienckie za pomocą VNC.

 

Problem rozwiązany.

W konfigu serwera wystarczyło dodać

push "redirect-gateway def1"