|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Чуть позже нарисую...
Добавлено спустя 2 часа 23 минуты 35 секунд:
Не знаю, понятнее стало или наоборот только хуже...
В общем Сервер и его сеть 192.168.7.0/21 видят все. Клиенты не видятся между собой.
Сервер - маршрутизатор
Клиент 1 - маршрутизатор 192.168.2.1/24
Клиент 2 - Win ПК 10.20.5.138/24
Клиент 3 - Win ПК 192.168.1.123/24
|
IMG00011.jpg - Просмотров: 49
|
|
|
|
|
|
|
C нами с 31.08.2007 Репутация: 65.1
|
|
|
Последний раз редактировалось: serpil (02 Мар 2024, 12:28), всего редактировалось 1 раз
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Сейчас есть возможность проверить только 10.5 и 10.2. Так вот с 10.5 до 10.2 не достучаться, хотя в статусе на 7.7 оба подключены.
Дефолтный конфиг Сервера 7.7:
/home/root # cat /etc/openvpn/server/server.conf
proto udp
port 443
dev tun1
topology subnet
server 192.168.10.0 255.255.255.0
client-config-dir ccd
push "route 192.168.0.0 255.255.248.0"
auth MD5
cipher none
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.7.7"
ca /etc/storage/openvpn/server/ca.crt
dh /etc/storage/openvpn/server/dh1024.pem
cert /etc/storage/openvpn/server/server.crt
key /etc/storage/openvpn/server/server.key
persist-key
persist-tun
user nobody
group nogroup
script-security 2
tmp-dir /tmp/openvpn
writepid /var/run/openvpn_svr.pid
client-connect ovpns.script
client-disconnect ovpns.script
### User params:
max-clients 10
client-to-client
keepalive 10 60
nice 3
verb 0
mute 10
|
|
|
|
|
|
|
|
|
C нами с 31.08.2007 Репутация: 65.1
|
|
|
Последний раз редактировалось: serpil (02 Мар 2024, 12:29), всего редактировалось 1 раз
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
10.2 стал пинговаться, но при попытке зайти в веб-морду браузер говорит:
ERR_SOCKET_NOT_CONNECTED (chrome)
Только сейчас нет возможности добавить "pull" в конфигурацию 2.1 (он же 10.2 или Клиент 1).
10.4 (1.123) сейчас выключен, не проверить...
Пока так.
Спасибо, хоть с мёртвой точки сдвинулись.
|
|
|
|
|
|
|
|
C нами с 31.08.2007 Репутация: 65.1
|
|
|
Последний раз редактировалось: serpil (02 Мар 2024, 12:29), всего редактировалось 1 раз
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Не, 2.24 - рядовой клиент за роутером 2.1 (10.2), который сам является openvpn-клиентом.
В идеале задача - получить доступ от Клиента 2 и Клиента 3 как-раз к Клиенту 1.1.
Как-то так
P.S. Извиняюсь, если взрываю мозг
|
|
|
|
|
|
|
|
C нами с 31.08.2007 Репутация: 65.1
|
|
|
Последний раз редактировалось: serpil (02 Мар 2024, 12:29), всего редактировалось 1 раз
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Да, конечно. Он даже там уже стоит, но не запущен. Сейчас у меня нет доступа к этой сети. Завтра, как физически там буду, во-первых pull в конфу добавлю. Могу на роутере погасить openvpn, а на ПК поднять... Или как?
|
|
|
|
|
|
|
|
Возраст: 41 C нами с 19.04.2010 Репутация: 160.4
|
|
Я кстати не очень понял из схемы зачем там вообще openvpn нужен.
Добавлено спустя 3 минуты 35 секунд:
У вас маршруторизация в другие сети работать не будет, потому что она должна изначально работать на как вы выражаетесь "клиентах", а она скорее всего там отключена насколько я понял. Ваши клиенты должны по сути представлять из себя роутер со всеми вытекающими.
|
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Это же отдельный сегмент, физически в другом месте. Так же как и Клиент 2 и 3. Только они компьютеры и на них openvpn и запускается, а Клиент 1.1 - компьютер в сети маршрутизатора-openvpn.
|
|
|
|
|
|
|
|
Возраст: 41 C нами с 19.04.2010 Репутация: 160.4
|
|
xen, так вот какая таблица роутов на клиенте 1.1 из схемы не понятно, у вас клиенты и сервер опенвпн являются одновременно роутерами во вне или внутри сегмента стоят?
|
|
|
|
|
|
|
|
C нами с 31.08.2007 Репутация: 65.1
|
|
|
Последний раз редактировалось: serpil (02 Мар 2024, 12:29), всего редактировалось 2 раз(а)
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Клиент 1.1 в сети роутера Клиент 1, на котором запущен openvpn
Клиент 2 - компьютер с openvpn в неподконтрольной мне сети 10.20.5.0/24
Клиент 3 - компьютер с openvpn в подконтрольной мне сети 192.168.1.0/24
Добавлено спустя 2 минуты 45 секунд:
Да, IP надо как-то зарезервировать. В интерфейсе есть опция, но она почему-то не работает.
Хорошо, завтра проверю. Спасибо!
|
|
|
|
|
|
|
|
Возраст: 36 C нами с 25.05.2006 Репутация: 116.1
|
|
Готово.
На прошивке от Padavan особенность - затирается основной конфиг настройками из интерфейса, т.е. тем, что указано в выпадающих списках и т.п. Причём я это как-то не сразу заприметил. Живыми остаются только юзерские параметры "### User params:", настраиваемые из того же веб-интерфейса.
Итог таков:
Сервер:
proto udp
port 443
dev tun1
topology subnet
server 192.168.10.0 255.255.255.0
client-config-dir ccd
push "route 192.168.0.0 255.255.248.0"
auth MD5
cipher none
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.7.7"
ca /etc/storage/openvpn/server/ca.crt
dh /etc/storage/openvpn/server/dh1024.pem
cert /etc/storage/openvpn/server/server.crt
key /etc/storage/openvpn/server/server.key
persist-key
persist-tun
user nobody
group nogroup
script-security 2
tmp-dir /tmp/openvpn
writepid /var/run/openvpn_svr.pid
client-connect ovpns.script
client-disconnect ovpns.script
### User params:
client-config-dir /etc/openvpn/ccd/
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.7.0 255.255.248.0"
route 192.168.2.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 10.20.5.0 255.255.255.0
keepalive 10 120
|
Содержимое Клиент 1. Указывается просто его сеть. По аналогии все остальные:
/etc/openvpn/ccd/client1
iroute 192.168.2.0 255.255.255.0
|
Чтобы всегда выдавалась статика для клиетов, содержимое /etc/openvpn/ipp.txt (для примера Клиент 1). Добавляем всех, кто нужен. Имена должны совпадать с юзернеймами:
Теперь все друг друга видят (должны, ещё не везде проверил) по локальным IP, выданными локальными же DHCP-серверами.
profit
Всем спасибо за помощь! В итоге руководствовался http://chmv.allnetic.com/article/soedinenie-dvuh-setey-pri-pomoschi-openvpn/ но главная подстава была в особенностях прошивки. Так думаю быстрее получилось бы...
Добавлено спустя 57 минут 42 секунды:
Не вижу 10.20.5.138 из сети 192.168.2.0, а наоборот - да. Но на самом 10.20.5.138 запущен ov-клиент, а другой хост за роутером 192.168.2.1, на котором ov-клиент. Вот трейс с того клинта:
tracert 10.20.5.138
Трассировка маршрута к 10.20.5.138 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс cap [192.168.2.1]
2 2 ms 2 ms 2 ms 192.168.10.1
3 * * * Превышен интервал ожидания для запроса.
|
Истина где-то рядом!
|
|
|
|
|
|
|
|