forum.opennet.ru - "FreeBSD OpenVPN не пингует" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"FreeBSD OpenVPN не пингует"

Форум Открытые системы на сервере (VPN / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"FreeBSD OpenVPN не пингует"	+/–
Сообщение от azamatufa on 02-Май-12, 12:08
Доброго дня, коллеги. локальная сеть 192.168.0.0/24 впн: 10.10.100.0/24 проходит пинг к: 10.10.100.1 а также к клиенту 10.10.100.6 но проблема: 1. с сервера не проходит пинг к 10.10.100.2 (а должен ли проходить?) 2. с сервера не проходит пинг в сети за клиентом freebsd# ifconfig vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE> ether 84:c9:b2:70:21:c9 inet 81.30.20.126 netmask 0xfffffffc broadcast 81.30.20.127 inet6 fe80::86c9:b2ff:fe70:21c9%vr0 prefixlen 64 scopeid 0x6 nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC> ether 00:16:17:6e:94:7f inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::216:17ff:fe6e:947f%rl0 prefixlen 64 scopeid 0x7 nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500 nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 options=3<RXCSUM,TXCSUM> inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9 inet 127.0.0.1 netmask 0xff000000 nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL> pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33200 nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500 options=80000<LINKSTATE> inet6 fe80::86c9:b2ff:fe70:21c9%tun0 prefixlen 64 scopeid 0xb inet 10.10.100.1 --> 10.10.100.2 netmask 0xffffffff nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL> Opened by PID 7309 freebsd# netstat -nr Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 81.30.201.125 UGS 0 522964 vr0 10.10.100.0/24 10.10.100.2 UGS 0 25686 tun0 10.10.100.1 link#11 UHS 0 7 lo0 10.10.100.2 link#11 UH 0 157 tun0 81.30.201.124/30 link#6 U 0 0 vr0 81.30.201.126 link#6 UHS 0 0 lo0 127.0.0.1 link#9 UH 0 128 lo0 192.168.0.0/24 link#7 U 0 1015082 rl0 192.168.0.254 link#7 UHS 0 0 lo0 192.168.1.0/24 10.10.100.2 UGS 0 521 tun0 freebsd# less /var/log/openvpn/openvpn-status.log OpenVPN CLIENT LIST Updated,Wed May 2 13:44:13 2012 Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since client1,194.67.41.94:1194,4451462,7460691,Wed May 2 09:15:34 2012 ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref 10.10.100.6,client1,194.67.41.94:1194,Wed May 2 13:43:35 2012 GLOBAL STATS Max bcast/mcast queue length,0 END OS FINGERPRINTS: 700 fingerprints loaded freebsd# tcpdump -n -i tun0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type NULL (BSD loopback), capture size 65535 bytes 13:56:11.689914 IP 10.10.100.1 > 10.10.100.2: ICMP echo request, id 8486, seq 11, length 64 13:56:12.690909 IP 10.10.100.1 > 10.10.100.2: ICMP echo request, id 8486, seq 12, length 64 13:56:13.691910 IP 10.10.100.1 > 10.10.100.2: ICMP echo request, id 8486, seq 13, length 64 13:56:14.692908 IP 10.10.100.1 > 10.10.100.2: ICMP echo request, id 8486, seq 14, length 64 13:56:15.693911 IP 10.10.100.1 > 10.10.100.2: ICMP echo request, id 8486, seq 15, length 64 freebsd# tcpdump -n -i tun0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type NULL (BSD loopback), capture size 65535 bytes 13:57:34.569911 IP 10.10.100.1 > 10.10.100.6: ICMP echo request, id 9254, seq 43, length 64 13:57:34.621914 IP 10.10.100.6 > 10.10.100.1: ICMP echo reply, id 9254, seq 43, length 64 13:57:35.570909 IP 10.10.100.1 > 10.10.100.6: ICMP echo request, id 9254, seq 44, length 64 13:57:35.623921 IP 10.10.100.6 > 10.10.100.1: ICMP echo reply, id 9254, seq 44, length 64 13:57:36.571914 IP 10.10.100.1 > 10.10.100.6: ICMP echo request, id 9254, seq 45, length 64 13:57:36.622229 IP 10.10.100.6 > 10.10.100.1: ICMP echo reply, id 9254, seq 45, length 64 13:57:37.572913 IP 10.10.100.1 > 10.10.100.6: ICMP echo request, id 9254, seq 46, length 64 13:57:37.626593 IP 10.10.100.6 > 10.10.100.1: ICMP echo reply, id 9254, seq 46, length 64 13:57:38.573914 IP 10.10.100.1 > 10.10.100.6: ICMP echo request, id 9254, seq 47, length 64
Ответить \| Правка \| Cообщить модератору

Оглавление

.., azamatufa, 12:20 , 02-Май-12, (1)

.., PavelR, 13:26 , 02-Май-12, (2)
.., artemrts, 18:12 , 02-Май-12, (3)

.., Camb, 23:43 , 02-Май-12, (4)

.., PavelR, 09:21 , 03-Май-12, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. ".." +/–

Сообщение от azamatufa on 02-Май-12, 12:20

СЕРВЕР:
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key  # This file should be kept secret
dh keys/dh1024.pem
server 10.10.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
client-to-client
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 4

---------
на клиенте таблица марщрутизации
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.102     20
      10.10.100.0    255.255.255.0      10.10.100.5      10.10.100.6     30
      10.10.100.4  255.255.255.252         On-link       10.10.100.6    286
      10.10.100.6  255.255.255.255         On-link       10.10.100.6    286
      10.10.100.7  255.255.255.255         On-link       10.10.100.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0      10.10.100.5      10.10.100.6     30
      192.168.1.0    255.255.255.0         On-link     192.168.1.102    276
    192.168.1.102  255.255.255.255         On-link     192.168.1.102    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.102    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.102    276
        224.0.0.0        240.0.0.0         On-link       10.10.100.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.102    276
  255.255.255.255  255.255.255.255         On-link       10.10.100.6    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0          5.0.0.1  По умолчанию

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. ".." +/–

Сообщение от PavelR (ok) on 02-Май-12, 13:26

> СЕРВЕР:
> server 10.10.100.0 255.255.255.0
server 10.10.100.1 255.255.255.0 - может быть попробовать так ? (Хотя в манах .0, ну, да в манах вообще много интересного =) )

Поскольку у вас клиент(клиентЫ, что важно) на Win, крайне рекомендую dev tun заменить на dev tap.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. ".." +/–

Сообщение от artemrts (ok) on 02-Май-12, 18:12

>[оверквотинг удален]
> keepalive 10 120
> tls-auth keys/ta.key 0 # This file is secret
> comp-lzo
> user nobody
> group nobody
> persist-key
> persist-tun
> status /var/log/openvpn/openvpn-status.log
> log-append  /var/log/openvpn/openvpn.log
> verb 4
А вы конфиг из дистрибютива полность читали? Там же ясно написано, что сделать, что бы иметь доступ к локальной сети за клиентом.
# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
#   iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN.  This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

И не спешите на tap интерфейc переходить.
Еще посмотрите в сторону опции topology subnet - очень экономно расходует адресное пространство.
И еще тут очень хорошие мануалко :-)
http://openvpn.net/index.php/open-source.html

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. ".." +/–

Сообщение от Camb (??) on 02-Май-12, 23:43

Парни, буду пробовать ccd.
А все же, почему нет пинга 10.10.100.2 ?    (даже без клиентов)

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet6 fe80::86c9:b2ff:fe70:21c9%tun0 prefixlen 64 scopeid 0xb
        inet 10.10.100.1 --> 10.10.100.2 netmask 0xffffffff
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        Opened by PID 7309

freebsd# ping 10.10.100.2
PING 10.10.100.2 (10.10.100.2): 56 data bytes
.... матанга
.... матанга
.... матанга
.... матанга

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. ".." +/–

Сообщение от PavelR (ok) on 03-Май-12, 09:21

> А все же, почему нет пинга 10.10.100.2 ?    (даже
> без клиентов)
>
> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
>         inet 10.10.100.1 --> 10.10.100.2
И не должно быть. Удаленная сторона отсутствует (без клиентов) или не отвечает ( не знает маршрута, что вами приведено выше).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. ".."	+/–
Сообщение от azamatufa on 02-Май-12, 12:20
СЕРВЕР: port 1194 proto udp dev tun ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh1024.pem server 10.10.100.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.0.0 255.255.255.0" route 192.168.1.0 255.255.255.0 client-to-client duplicate-cn keepalive 10 120 tls-auth keys/ta.key 0 # This file is secret comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn/openvpn-status.log log-append /var/log/openvpn/openvpn.log verb 4 --------- на клиенте таблица марщрутизации Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.102 20 10.10.100.0 255.255.255.0 10.10.100.5 10.10.100.6 30 10.10.100.4 255.255.255.252 On-link 10.10.100.6 286 10.10.100.6 255.255.255.255 On-link 10.10.100.6 286 10.10.100.7 255.255.255.255 On-link 10.10.100.6 286 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.255.0 10.10.100.5 10.10.100.6 30 192.168.1.0 255.255.255.0 On-link 192.168.1.102 276 192.168.1.102 255.255.255.255 On-link 192.168.1.102 276 192.168.1.255 255.255.255.255 On-link 192.168.1.102 276 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.102 276 224.0.0.0 240.0.0.0 On-link 10.10.100.6 286 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.102 276 255.255.255.255 255.255.255.255 On-link 10.10.100.6 286 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 5.0.0.1 По умолчанию
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. ".."	+/–
	Сообщение от PavelR (ok) on 02-Май-12, 13:26
	> СЕРВЕР: > server 10.10.100.0 255.255.255.0 server 10.10.100.1 255.255.255.0 - может быть попробовать так ? (Хотя в манах .0, ну, да в манах вообще много интересного =) ) Поскольку у вас клиент(клиентЫ, что важно) на Win, крайне рекомендую dev tun заменить на dev tap.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. ".."	+/–
	Сообщение от artemrts (ok) on 02-Май-12, 18:12
	>[оверквотинг удален] > keepalive 10 120 > tls-auth keys/ta.key 0 # This file is secret > comp-lzo > user nobody > group nobody > persist-key > persist-tun > status /var/log/openvpn/openvpn-status.log > log-append /var/log/openvpn/openvpn.log > verb 4 А вы конфиг из дистрибютива полность читали? Там же ясно написано, что сделать, что бы иметь доступ к локальной сети за клиентом. # EXAMPLE: Suppose the client # having the certificate common name "Thelonious" # also has a small subnet behind his connecting # machine, such as 192.168.40.128/255.255.255.248. # First, uncomment out these lines: ;route 192.168.40.128 255.255.255.248 # Then create a file ccd/Thelonious with this line: # iroute 192.168.40.128 255.255.255.248 # This will allow Thelonious' private subnet to # access the VPN. This example will only work # if you are routing, not bridging, i.e. you are # using "dev tun" and "server" directives. И не спешите на tap интерфейc переходить. Еще посмотрите в сторону опции topology subnet - очень экономно расходует адресное пространство. И еще тут очень хорошие мануалко :-) http://openvpn.net/index.php/open-source.html
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. ".."	+/–
	Сообщение от Camb (??) on 02-Май-12, 23:43
	Парни, буду пробовать ccd. А все же, почему нет пинга 10.10.100.2 ? (даже без клиентов) tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500 options=80000<LINKSTATE> inet6 fe80::86c9:b2ff:fe70:21c9%tun0 prefixlen 64 scopeid 0xb inet 10.10.100.1 --> 10.10.100.2 netmask 0xffffffff nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL> Opened by PID 7309 freebsd# ping 10.10.100.2 PING 10.10.100.2 (10.10.100.2): 56 data bytes .... матанга .... матанга .... матанга .... матанга
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. ".."	+/–
	Сообщение от PavelR (ok) on 03-Май-12, 09:21
	> А все же, почему нет пинга 10.10.100.2 ? (даже > без клиентов) > > tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500 > inet 10.10.100.1 --> 10.10.100.2 И не должно быть. Удаленная сторона отсутствует (без клиентов) или не отвечает ( не знает маршрута, что вами приведено выше).
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору