https://www.opennet.dev/openforum/vsluhforumID1/77813.html Доброго дня суток, алл!<br>Имеется OpenVPN версии 2.0.9<br>OS: SLES 10.1<br>Конфиг сервера:<br><br>port 5000<br>proto udp<br>dev tun<br>tls-server<br>ca ca.cert<br>cert server.cert<br>key server.key # This file should be kept secret<br>dh dh1024.pem<br>server 10.19.0.0 255.255.255.0<br>ifconfig-pool-persist ipp.txt<br>push "route 10.19.0.0 255.255.255.0"<br>push "route 192.168.0.0 255.255.255.0"<br>client-to-client<br>keepalive 10 120<br>comp-lzo<br>user openvpn<br>group openvpn<br>persist-key<br>persist-tun<br>status openvpn-status.log<br>verb 3<br><br>Конфиг клиента:<br><br>client<br>dev tun<br>proto udp<br>remote XXX.XXX.XXX.XXX 5000<br>resolv-retry infinite<br>user openvpn<br>group openvpn<br>persist-key<br>persist-tun<br>tls-client<br>ca ca.cert<br>cert user.cert<br>key user.key<br>comp-lzo<br>verb 3<br><br>Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute 192.168.0.1, аналогично.<br>Сервер и клиент VPN пингуются.<br>Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась?<br>Спасибо.<br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#17 Thu, 08 Apr 2010 06:26:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Сервер и клиент VPN пингуются. <br>&gt;&gt;&gt;&gt;Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась? <br>&gt;&gt;&gt;&gt;Спасибо. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался <br>&gt;&gt;&gt;с подобной проблемой! <br>&gt;&gt;<br>&gt;&gt;естественно пингуется <br>&gt;<br>&gt;на клиенте: route add -host 192.168.0.1 gw local-ip-сервера <br><br>Просто в конфиге клиента <br>route 192.168.0.0 255.255.0.0<br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#16 Mon, 24 Dec 2007 22:18:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute <br>&gt;&gt;&gt;192.168.0.1, аналогично. <br>&gt;&gt;&gt;Сервер и клиент VPN пингуются. <br>&gt;&gt;&gt;Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась? <br>&gt;&gt;&gt;Спасибо. <br>&gt;&gt;<br>&gt;&gt;А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался <br>&gt;&gt;с подобной проблемой! <br>&gt;<br>&gt;естественно пингуется <br><br>на клиенте: route add -host 192.168.0.1 gw local-ip-сервера<br><br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#15 Mon, 24 Dec 2007 07:30:56 GMT &gt;&gt;Вот это правило вы записали в таблицу nat предназначенную для модификаци пакетов <br>&gt;&gt;а не для фильтрации <br>&gt;&gt;Вся фильтрация согласно man должна производиться в таблице filter <br>&gt;<br>&gt;Да вы правы. Но с фильтрацией в таблице filter у меня не <br>&gt;пингуется внутренняя сеть =( <br>&gt;Не могли бы вы приложить свои правила фильтрации, не исключаю тот факт <br>&gt;что в где-то накосячил. <br><br>Честно говоря, у меня как таковых постоянных правил нет. Их каждый раз при подключении клиента выстраивает скрипт, вызываемый по директиве learn-address.<br><br>Я создаю цепочку Цепочка_клиента<br>Все входящие пакеты от клиента на интерфейс tun0 в цепочке INPUT<br>iptables -I INPUT -i tun0 -s ip_клиента -j Цепочка_клиента<br>Все исходящие пакеты к клиенту на интерфейс tun0 в цепочке OUTPUT<br>iptables -I OUTPUT -o tun0 -d ip_клиента -j Цепочка_клиента<br>Все исходящие пакеты от/к клиенту с любого интефейса на интерфейс tun0 в цепочке FORWARD<br>iptables -I FORWARD -o tun0 -d ip_клиента -j Цепочка_клиента<br>iptables -I FORWARD -i tun0 -s ip_клиента -j Цепоч https://www.opennet.dev/openforum/vsluhforumID1/77813.html#14 Thu, 20 Dec 2007 16:10:21 GMT &gt;Вот это правило вы записали в таблицу nat предназначенную для модификаци пакетов <br>&gt;а не для фильтрации <br>&gt;Вся фильтрация согласно man должна производиться в таблице filter <br><br>Да вы правы. Но с фильтрацией в таблице filter у меня не пингуется внутренняя сеть =(<br>Не могли бы вы приложить свои правила фильтрации, не исключаю тот факт что в где-то накосячил.<br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#13 Sat, 15 Dec 2007 14:22:22 GMT &gt;Немного не понял что вы имеете ввиду под табличкой filter, не могли <br>&gt;бы разъяснить? <br><br>таблица filter она же таблиц предназначенная для фильтрации пакетов, используется по умолчанию при отдаче комманд<br>полный список таблиц описан в man<br><br>&gt;iptables -I FORWARD 2 -i tun+ -j ACCEPT<br><br>вот это правило вы записали в таблицу filter и цепочку FORWARD<br><br>&gt;iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE<br><br>Вот это правило вы записали в таблицу nat предназначенную для модификаци пакетов а не для фильтрации<br>Вся фильтрация согласно man должна производиться в таблице filter<br><br>Кроме того,разьясните, для чего вам нужен маскарад внутри защищённой сети?<br>не проще ли было записать 2 правила, разрешающих хождение пакетов туда-обратно в таблицу filter?<br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#12 Fri, 14 Dec 2007 15:53:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;ээ, я немножко не понял, для чего ты используешь маскарад??? <br>&gt;&gt;<br>&gt;&gt;Можно и SNAT, собственно, но без правила в firewall, не пингуется локальная <br>&gt;&gt;сеть и обратно. <br>&gt;<br>&gt;Вы считаете что подсети 192.168 и 10. не маршрутизируются межу собой? Не <br>&gt;проще ли просто пускать пакет через табличку filter? <br>&gt;Другое дело, если такие настройки нужны для безопасности, что бы только одна <br>&gt;сеть видела другую, но не наоборот. <br><br>Немного не понял что вы имеете ввиду под табличкой filter, не могли бы разъяснить?<br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#11 Thu, 13 Dec 2007 10:15:21 GMT &gt;&gt;&gt;iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE <br>&gt;&gt;<br>&gt;&gt;ээ, я немножко не понял, для чего ты используешь маскарад??? <br>&gt;<br>&gt;Можно и SNAT, собственно, но без правила в firewall, не пингуется локальная <br>&gt;сеть и обратно. <br><br>Вы считаете что подсети 192.168 и 10. не маршрутизируются межу собой? Не проще ли просто пускать пакет через табличку filter?<br>Другое дело, если такие настройки нужны для безопасности, что бы только одна сеть видела другую, но не наоборот.<br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#10 Thu, 13 Dec 2007 08:35:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;verb 3 <br>&gt;&gt;<br>&gt;&gt;Соединяюсь все ок, пытаюсь пропинговать сеть 192.168.0.1, не отвечает, пытаюсь сделать traceroute <br>&gt;&gt;192.168.0.1, аналогично. <br>&gt;&gt;Сервер и клиент VPN пингуются. <br>&gt;&gt;Подскажите в чем проблема? Как сделать чтобы внутренняя сеть пинговалась? <br>&gt;&gt;Спасибо. <br>&gt;<br>&gt;А с сервера сеть 192.168.0.0 пингуется? Проверь маршрутизацию на сервере... я сталкивался <br>&gt;с подобной проблемой! <br><br>естественно пингуется <br> https://www.opennet.dev/openforum/vsluhforumID1/77813.html#9 Thu, 13 Dec 2007 08:35:23 GMT &gt;&gt;iptables -t nat -A POSTROUTING -s $PRIVATE -o $LOCAL_IFACE -j MASQUERADE <br>&gt;<br>&gt;ээ, я немножко не понял, для чего ты используешь маскарад??? <br><br>Можно и SNAT, собственно, но без правила в firewall, не пингуется локальная сеть и обратно.<br>