Доступ во внутреннюю сеть OpenVPN-Сервера

bellic

New member
Сообщения
8
#1
Доброго всем времени суток!
Собрал небольшой макет фрагмента сети с использованием OpenVPN...
Не получается попасть во внутреннюю сеть за сервером OpenVPN!
Чем долго описывать конфигурацию макета, лучше выложу схему:
Посмотреть вложение Схема OpenVPN_3.jpg
Пробовал ставить OpenVPN-Сервер на Windows10Pro (IP=192.168.50.5), а позже на этом ПК поднял на Astra Linux SE 1.7 на базе VMware Workstation Pro...
Итак:
- с Клиента (192.168.0.99 и 10.8.0.2) пинг на Сервер (10.8.0.1 - AstraLinuxSE) - норма
- с Клиента (192.168.0.99 и 10.8.0.2) пинг на Сервер (192.168.50.10 - AstraLinuxSE) - норма

- с Клиента (192.168.0.99 и 10.8.0.2) пинг на Роутер (192.168.50.1) - отсутствует!
- с Клиента (192.168.0.99 и 10.8.0.2) пинг на Win10Pro (192.168.50.1) - отсутствует!

Код:
root@astra:/home/user# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
root@astra:/home/user#

Форвардинг включен:
Код:
root@astra:/proc/sys/net/ipv4# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
root@astra:/proc/sys/net/ipv4# cat /proc/sys/net/ipv4/ip_forward
1
root@astra:/proc/sys/net/ipv4#

Код:
C:\Users\Admin>route print
===========================================================================
Список интерфейсов
16...........................Wintun Userspace Tunnel
  9...70 85 c2 c0 81 b6 ......Intel(R) I211 Gigabit Network Connection
19...70 85 c2 c0 81 b4 ......Intel(R) Ethernet Connection (2) I219-V
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.99     25
         10.8.0.0    255.255.255.0         On-link          10.8.0.2    261
         10.8.0.2  255.255.255.255         On-link          10.8.0.2    261
       10.8.0.255  255.255.255.255         On-link          10.8.0.2    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0         On-link      192.168.0.99    281
     192.168.0.99  255.255.255.255         On-link      192.168.0.99    281
    192.168.0.255  255.255.255.255         On-link      192.168.0.99    281
      192.168.1.0    255.255.255.0         On-link     192.168.1.250    281
    192.168.1.250  255.255.255.255         On-link     192.168.1.250    281
    192.168.1.255  255.255.255.255         On-link     192.168.1.250    281
     192.168.50.0    255.255.255.0     192.168.0.99         10.8.0.2     11
   192.168.50.255  255.255.255.255         10.8.0.1     192.168.0.99     31
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.1.250    281
        224.0.0.0        240.0.0.0         On-link      192.168.0.99    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.2    261
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.1.250    281
  255.255.255.255  255.255.255.255         On-link      192.168.0.99    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.2    261
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика   Сетевой адрес            Шлюз
  1    331 ::1/128                  On-link
19    281 fe80::/64                On-link
16    261 fe80::/64                On-link
  9    281 fe80::/64                On-link
  9    281 fe80::14b3:1260:3cd:f0c1/128
                                    On-link
16    261 fe80::4938:7077:3501:2ee3/128
                                    On-link
19    281 fe80::d570:1754:6fbd:2e82/128
                                    On-link
  1    331 ff00::/8                 On-link
19    281 ff00::/8                 On-link
16    261 ff00::/8                 On-link
  9    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Users\Admin>

Код:
root@astra:/home/user# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.50.1    0.0.0.0         UG    100    0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.50.0    0.0.0.0         255.255.255.0   U     100    0        0 eth0
root@astra:/home/user#
Подскажите плизз - как с OpenVPN-Клиента дотянуться до адресов 192.168.50.0/24 ?
(Конкретно в сети OpenVPN-Сервера доступны адреса: 192.168.50.1 и 192.168.50.5)
 
Последнее редактирование:

oko

New member
Сообщения
1 180
#2
to bellic
Правильнее выкладывать схему соединений и конфиги openvpn-server и openvpn-client. Также напоминаю, что при необходимости прямо в конфиге openvpn-client можно "проталкивать" нужные маршруты (Гугл в помощь)...
Так-то, судя по выхлопу route на Клиенте, у вас шлюз в подсеть 192.168.50.0/24 - это 192.168.0.99 (т.е. физ.адрес Клиента). А модуль экстрасенсорики подсказывает, что должен быть вирт.адрес Сервера (10.8.0.1)...
А дальше надо решать вопрос, вероятно, с NAT для подключений Клиента под адрес Сервера или хотя бы с маршрутизацией всех устройств в физ.сети 192.168.50.0/24 через Сервер в физ.сеть или вирт.сеть Клиента. Потому что пакет от Клиента до устройств в физ.сети 192.168.50.0/24, конечно, дойдет. Но в src-поле пакета будет указана либо физ.подсеть Клиента, либо вирт.подсеть Клиента, о которой устройства в физ.сети 192.168.50.0/24 ничего не знают, включая то, что их в обратку нужно маршрутизировать через Сервер, а не через шлюз-по-умолчанию, прописанный на этих устройствах...
 

bellic

New member
Сообщения
8
#3
to bellic
Правильнее выкладывать схему соединений и конфиги openvpn-server и openvpn-client.
Да, конечно, вот конфиги:
local 192.168.50.10
port 1194
proto tcp
dev tun
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.50.0 255.255.255.0"
client-config-dir /etc/openvpn/clients
keepalive 10 120
cipher AES-256-GCM
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
key-direction 0

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

<dh>
-----BEGIN DH PARAMETERS-----
...
-----END DH PARAMETERS-----
</dh>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
client
dev tun
proto udp
; IP-адрес Роутера в к-227
remote 192.168.0.5 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
verb 3
windows-driver wintun
auth-nocache

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1
Предварительно удалил из конфига заремленные строки и ключи с сертификатами...

Также напоминаю, что при необходимости прямо в конфиге openvpn-client можно "проталкивать" нужные маршруты (Гугл в помощь)...
Такую возможность я не упустил из виду, в конфиге имеется строка:
Код:
push "route 192.168.50.0 255.255.255.0"

Так-то, судя по выхлопу route на Клиенте, у вас шлюз в подсеть 192.168.50.0/24 - это 192.168.0.99 (т.е. физ.адрес Клиента). А модуль экстрасенсорики подсказывает, что должен быть вирт.адрес Сервера (10.8.0.1)...
Перегрузил все ПК, и добавил маршрут на 192.168.50.255... может зря?
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
15...........................Wintun Userspace Tunnel
9...70 85 c2 c0 81 b6 ......Intel(R) I211 Gigabit Network Connection
19...70 85 c2 c0 81 b4 ......Intel(R) Ethernet Connection (2) I219-V
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.99 25
10.8.0.0 255.255.255.0 On-link 10.8.0.2 261
10.8.0.2 255.255.255.255 On-link 10.8.0.2 261
10.8.0.255 255.255.255.255 On-link 10.8.0.2 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.99 281
192.168.0.99 255.255.255.255 On-link 192.168.0.99 281
192.168.0.255 255.255.255.255 On-link 192.168.0.99 281
192.168.1.0 255.255.255.0 On-link 192.168.1.250 281
192.168.1.250 255.255.255.255 On-link 192.168.1.250 281
192.168.1.255 255.255.255.255 On-link 192.168.1.250 281
192.168.50.0 255.255.255.0 10.8.0.1 10.8.0.2 261
192.168.50.255 255.255.255.255 10.8.0.1 10.8.0.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 261
224.0.0.0 240.0.0.0 On-link 192.168.1.250 281
224.0.0.0 240.0.0.0 On-link 192.168.0.99 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 261
255.255.255.255 255.255.255.255 On-link 192.168.1.250 281
255.255.255.255 255.255.255.255 On-link 192.168.0.99 281
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 331 ::1/128 On-link
1 331 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Windows\system32>
root@astra:/home/user# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.50.1 0.0.0.0 UG 100 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.50.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0
root@astra:/home/user#

А дальше надо решать вопрос, вероятно, с NAT для подключений Клиента под адрес Сервера или хотя бы с маршрутизацией всех устройств в физ.сети 192.168.50.0/24 через Сервер в физ.сеть или вирт.сеть Клиента. Потому что пакет от Клиента до устройств в физ.сети 192.168.50.0/24, конечно, дойдет. Но в src-поле пакета будет указана либо физ.подсеть Клиента, либо вирт.подсеть Клиента, о которой устройства в физ.сети 192.168.50.0/24 ничего не знают, включая то, что их в обратку нужно маршрутизировать через Сервер, а не через шлюз-по-умолчанию, прописанный на этих устройствах...
На счет задействования NAT, категорически не согласен!!!
По идее все должно работать без тяжелой "артиллерии", средствами OpenVPN, форвардинга и маршрутизации!

P.S. Вообще - это я откатываю настройки конфигов для одной Фирмы, где "Художники" малюют в ФотоШопах и вполне могли бы при этом работать удаленно, со своих домашних ПК... В случае необходимости!
По большому счету ИМ хватило бы и доступа к Расшаренной папке на Сервере, через OpenVPN-канал...
Что собственно и работает уже!
Ну вот я решил, что "Отладить" и "Проверить" доступ именно в Локальную сеть Фирмы, будет полезно...
А вдруг "Художники" решат, что Архив своих творений нужно будет перенести с Сервера на другой ПК, типа 192.168.50.222 !?..;):cool:

Огромное спасибо "Модулю экстрасенсорики" за терпимость к отсутствию моих конфигов!:)
 
Последнее редактирование:

oko

New member
Сообщения
1 180
#4
to bellic
Ставьте tcpdump/wireshark на Клиенте, Сервере и любом устройстве из подсети 192.168.50.0/24, пустите ICMP-трафик от Клиента к этому устройству и смотрите, куда что приходит и от кого что не уходит. Раз маршрут в 192.168.50.0/24 через 10.8.0.1 на Клиенте прописан, то и на Клиенте, и на Сервере вы увидите проход пакетов в сторону 192.168.50.0/24. А вот обратно маршрута нет (на устройствах 192.168.50.0/24) - модуль экстрасенсорики подсказывает, что именно в этом ваша текущая проблема...
Не хотите разбираться - используйте NAT (iptables MASQUERADE) на Сервере в сторону подсети 192.168.50.0/24. Хотите средствами только маршрутизации? Пишите маршруты на устройствах из 192.168.50.0/24 в 10.8.0.0/24 через 192.168.50.10 (Сервер)...
 

Alex-der

New member
Сообщения
33
#5
Да, конечно, вот конфиги:

Перегрузил все ПК, и добавил маршрут на 192.168.50.255... может зря?
Ну, если вручную, то зря. Нормально отконфигурированный openvpn сам прописывает в систему все маршруты. И более того - у openvpn-а немного специфичная маршрутизация и своя логика - "неправильные" пакеты на внешне назначенные маршруты он не обрабатывает. Вернее, одна сторона, может, и отработает, но вторая - "потеряет" этот пакет, т.к. он не соответствует конфигу. Более того, маршрутизация будет сбрасываться периодически при рестарте сервиса.
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
15...........................Wintun Userspace Tunnel
9...70 85 c2 c0 81 b6 ......Intel(R) I211 Gigabit Network Connection
19...70 85 c2 c0 81 b4 ......Intel(R) Ethernet Connection (2) I219-V
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.99 25
10.8.0.0 255.255.255.0 On-link 10.8.0.2 261
10.8.0.2 255.255.255.255 On-link 10.8.0.2 261
10.8.0.255 255.255.255.255 On-link 10.8.0.2 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.99 281
192.168.0.99 255.255.255.255 On-link 192.168.0.99 281
192.168.0.255 255.255.255.255 On-link 192.168.0.99 281
192.168.1.0 255.255.255.0 On-link 192.168.1.250 281
192.168.1.250 255.255.255.255 On-link 192.168.1.250 281
192.168.1.255 255.255.255.255 On-link 192.168.1.250 281
192.168.50.0 255.255.255.0 10.8.0.1 10.8.0.2 261
192.168.50.255 255.255.255.255 10.8.0.1 10.8.0.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 261
224.0.0.0 240.0.0.0 On-link 192.168.1.250 281
224.0.0.0 240.0.0.0 On-link 192.168.0.99 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 261
255.255.255.255 255.255.255.255 On-link 192.168.1.250 281
255.255.255.255 255.255.255.255 On-link 192.168.0.99 281
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 331 ::1/128 On-link
1 331 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Windows\system32>
Для лучшего понимания вашей ситуации приведите ещё вывод ipconfig /all
root@astra:/home/user# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.50.1 0.0.0.0 UG 100 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.50.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0
root@astra:/home/user#
А тут, если можно - netstat -rn - мне его вывод привычнее
На счет задействования NAT, категорически не согласен!!!
По идее все должно работать без тяжелой "артиллерии", средствами OpenVPN, форвардинга и маршрутизации!
Оно и работает. Без всякой идеи. Просто в соотвестствии с документацией. Для того, чтобы не совершать в будущем подобных ошибок, рекомендую начать с документации. Если вам доверено управление сетью такой серьёзной организации, в которой стоит AstraLinux SpecialEdition - не стоит уподобляться обезьяне и ждать готовых ответов на тривиальные вопросы.
local 192.168.50.10
port 1194
proto tcp
dev tun
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.50.0 255.255.255.0"
client-config-dir /etc/openvpn/clients
keepalive 10 120
cipher AES-256-GCM
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
key-direction 0

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

<dh>
-----BEGIN DH PARAMETERS-----
...
-----END DH PARAMETERS-----
</dh>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
client
dev tun
proto udp
; IP-адрес Роутера в к-227
remote 192.168.0.5 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
verb 3
windows-driver wintun
auth-nocache

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1
Предварительно удалил из конфига заремленные строки и ключи с сертификатами...


Такую возможность я не упустило из виду, в конфиге имеется строка:
Код:
push "route 192.168.50.0 255.255.255.0"
P.S. Вообще - это я откатываю настройки конфигов для одной Фирмы, где "Художники" малюют в ФотоШопах и вполне могли бы при этом работать удаленно, со своих домашних ПК... В случае необходимости!
По большому счету ИМ хватило бы и доступа к Расшаренной папке на Сервере, через OpenVPN-канал...
Что собственно и работает уже!
Ну вот я решил, что "Отладить" и "Проверить" доступ именно в Локальную сеть Фирмы, будет полезно...
А вдруг "Художники" решат, что Архив своих творений нужно будет перенести с Сервера на другой ПК, типа 192.168.50.222 !?..;):cool:

Огромное спасибо "Модулю экстрасенсорики" за терпимость к отсутствию моих конфигов!:)
 

Alex-der

New member
Сообщения
33
#6
Раз маршрут в 192.168.50.0/24 через 10.8.0.1 на Клиенте прописан
Не должно быть на Клиенте маршрута на 10.8.0.1. Или в openvpn-e за последние годы что-то поменялось? А как же Backward Compatibility?
то и на Клиенте, и на Сервере вы увидите проход пакетов в сторону 192.168.50.0/24. А вот обратно маршрута нет (на устройствах 192.168.50.0/24) - модуль экстрасенсорики подсказывает, что именно в этом ваша текущая проблема...
Не хотите разбираться - используйте NAT (iptables MASQUERADE) на Сервере в сторону подсети 192.168.50.0/24. Хотите средствами только маршрутизации? Пишите маршруты на устройствах из 192.168.50.0/24 в 10.8.0.0/24 через 192.168.50.10 (Сервер)...
А тут вы правы - я как-то не заметил, что VPN-сервер и defaultgateway не одно и то же. :(
 

bellic

New member
Сообщения
8
#7
to bellic
Ставьте tcpdump/wireshark на Клиенте, Сервере и любом устройстве из подсети 192.168.50.0/24, пустите ICMP-трафик от Клиента к этому устройству и смотрите, куда что приходит и от кого что не уходит. Раз маршрут в 192.168.50.0/24 через 10.8.0.1 на Клиенте прописан, то и на Клиенте, и на Сервере вы увидите проход пакетов в сторону 192.168.50.0/24. А вот обратно маршрута нет (на устройствах 192.168.50.0/24) - модуль экстрасенсорики подсказывает, что именно в этом ваша текущая проблема...
Не хотите разбираться - используйте NAT (iptables MASQUERADE) на Сервере в сторону подсети 192.168.50.0/24. Хотите средствами только маршрутизации? Пишите маршруты на устройствах из 192.168.50.0/24 в 10.8.0.0/24 через 192.168.50.10 (Сервер)...
Блин, совершенно верно!!!
Вспомнил свой опыт в Огромной Строительной организации...
Там на ПК с Kerio WinRoute Firewall поставил OpenVPN-Сервер, и он же..... Короче!!!!
...
Бежим быстренько на наш Роутер(TP-Link Archer C7) и добавляем нужный маршрут:
Код:
ROUTE ADD 10.8.0.0 MASK 255.255.255.0 192.168.50.10
Посмотреть вложение route in openvpn.jpg
И не удивляемся, что появились нужные пинги по всей внутренней сети OpenVPN-Сервера!:cool:

oko, благодарю Ваш модуль экстрасенсорики за правильный пинок под зад!...:ROFLMAO:

P.S. Я понял так, что картинки на этом движке форума не отображаются, или я чет не так делаю?:unsure:
 

Вложения

Последнее редактирование:

bellic

New member
Сообщения
8
#8
Для лучшего понимания вашей ситуации приведите ещё вывод ipconfig /all
C:\Windows\system32>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WS013
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Неизвестный адаптер OpenVPN Wintun:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Wintun Userspace Tunnel
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.8.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet VideoNetwork:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) I211 Gigabit Network Connection
Физический адрес. . . . . . . . . : 70-85-C2-C0-81-B6
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.250(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet LocalNetwork:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
Физический адрес. . . . . . . . . : 70-85-C2-C0-81-B4
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.99(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 29 декабря 2022 г. 19:11:45
Срок аренды истекает. . . . . . . . . . : 30 декабря 2022 г. 19:11:44
Основной шлюз. . . . . . . . . : 192.168.0.1
DHCP-сервер. . . . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен

C:\Windows\system32>

А тут, если можно - netstat -rn - мне его вывод привычнее
Пардон, сегодня не смогу выложить, видимо... - окно терминала "рассыпалось", и похоже сбойнули Окошки.. вместо ребута вслепую видимо нажал на "ВЫКЛючение"...:rolleyes:

Добавка на утро следующего дня:
Код:
root@astra:/home/user# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.50.1    0.0.0.0         UG        0 0          0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
192.168.50.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
Ни чем не отличается от route!
Код:
root@astra:/home/user# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.50.1    0.0.0.0         UG    100    0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.50.0    0.0.0.0         255.255.255.0   U     100    0        0 eth0
root@astra:/home/user#

Оно и работает. Без всякой идеи. Просто в соотвестствии с документацией. Для того, чтобы не совершать в будущем подобных ошибок, рекомендую начать с документации. Если вам доверено управление сетью такой серьёзной организации, в которой стоит AstraLinux SpecialEdition - не стоит уподобляться обезьяне и ждать готовых ответов на тривиальные вопросы.
А вот грубить не стоило!:cool:
 
Последнее редактирование:

oko

New member
Сообщения
1 180
#9
to bellic
Внезапно, да, перестали отображаться...
Подозреваю, что это связано с наплывом спамеров и проч. неприятными действиями в последнее время...
imho, корректнее не через "Изображени" (на панели инструментов), а через пункт "Прикрепить файл", где заодно имеются фильтры и ограничения на прикрепляемые изображения...
 

Вложения

  • 2.3 КБ Просмотры: 17

bellic

New member
Сообщения
8
#10
to bellic
Внезапно, да, перестали отображаться...
Подозреваю, что это связано с наплывом спамеров и проч. неприятными действиями в последнее время...
imho, корректнее не через "Изображени" (на панели инструментов), а через пункт "Прикрепить файл", где заодно имеются фильтры и ограничения на прикрепляемые изображения...
Прикрепляя файл картинки - нет возможности вставить ее в нужно месте текста, и она будет по этому всегда в нижней части поста!..(((
 
Последнее редактирование:

Alex-der

New member
Сообщения
33
#11
C:\Windows\system32>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WS013
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Неизвестный адаптер OpenVPN Wintun:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Wintun Userspace Tunnel
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.8.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet VideoNetwork:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) I211 Gigabit Network Connection
Физический адрес. . . . . . . . . : 70-85-C2-C0-81-B6
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.250(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet LocalNetwork:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
Физический адрес. . . . . . . . . : 70-85-C2-C0-81-B4
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.99(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 29 декабря 2022 г. 19:11:45
Срок аренды истекает. . . . . . . . . . : 30 декабря 2022 г. 19:11:44
Основной шлюз. . . . . . . . . : 192.168.0.1
DHCP-сервер. . . . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен

C:\Windows\system32>
Ну, если уже все заработало, то, может, уже и не надо, но для формирования правильной привычки давать максимально полную картину, чтобы легче было понять ситуацию...

Добавка на утро следующего дня:
Код:
root@astra:/home/user# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.50.1    0.0.0.0         UG        0 0          0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
192.168.50.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
Ни чем не отличается от route!
Код:
root@astra:/home/user# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.50.1    0.0.0.0         UG    100    0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.50.0    0.0.0.0         255.255.255.0   U     100    0        0 eth0
root@astra:/home/user#
Да, сейчас проверил - в астре не отличается. В генте отличия есть. А в некоторых *nix-ах route таблицу маршрутизации только правит, но не отображает.
 

bellic

New member
Сообщения
8
#12
Для того, чтобы не совершать в будущем подобных ошибок, рекомендую начать с документации.
Доки - это конечно благо! - Особенно когда на родном языке!!!:cool:
...
В общем у меня все прекрасно получилось, но выявилась другая проблема, когда начал подключать других клиентов к серверу!
...
Еще в процессе подготовки были сформированы ключевые и сертификаты для СЕМИ клиентов...
Но вот имя у всех Семи было одно и тоже - ANDRY!
И при подключении OpenVPN-Сервер считает их одним и тем же, не смотря на разность "Ключевых данных", и выдает ОДИН и тот же IP-адрес: 10.8.0.2 !!!!
Ну а получив их, связь начинает периодически рваться!
...
Я конечно же переформирую все "Ключевые данные", применив разные Имена, например Client1, Client2,...
Но факт наступления на грабли - признаю!...)))

Ну и еще раз расчесать все конфиги - тоже не помешает!;)

P.S. И всеж - Сервер не ведет учета выданных им IP-адресов из обозначенного пула!!!
 
Последнее редактирование:

bellic

New member
Сообщения
8
#13
Следующий момент, который я хотел бы обсудить - поля Name, Common Name и подобные, при формировании "ключевых данных" (сертификаты, ключи и прочие..) для OpenVPN-сервера и особенно(!!!) - для Клиентов, в мультиклиентских проектах!!!)))
 
Последнее редактирование:

oko

New member
Сообщения
1 180
#14
to bellic
Разберитесь с методами создания УЦ на базе openssl без использования скриптов типа easy-rsa из состава OpenVPN и ему подобных. Тогда все проблемы с сертификатами уйдут, а взаимодействие в рамках инфраструктуры PKI станет проще и безопаснее на порядок...
А в тему раздачи адресов - openvpn как раз-таки корректно поступает. Он не может идентифицировать клиента иначе как по CommonName (CN) в поле сертификата. И IP-адрес он может выдавать либо динамически, либо на основе соотнесения CN-записи в соответствующем файле. И, если ему раз от раза подсовывают клиента с одним и тем же CN, то не его вина в том, что он честно раздает этому клиенту один и тот же IP. Даже если это суть разные устройства, на которые криворукий админ выдал одинаковый сертификат...
 

bellic

New member
Сообщения
8
#15
Разберитесь с методами создания УЦ на базе openssl без использования скриптов типа easy-rsa из состава OpenVPN и ему подобных. Тогда все проблемы с сертификатами уйдут, а взаимодействие в рамках инфраструктуры PKI станет проще и безопаснее на порядок...
О чем вы? - Ссылку можно?
Даже если это суть разные устройства, на которые криворукий админ выдал одинаковый сертификат...
В том то и дело, что Сертификаты у клиентов разные, а вот имена совпали, просто по жизни так выходит иногда!..:ROFLMAO: ТЕЗКИ!!!!:p
 

oko

New member
Сообщения
1 180
#16
to bellic
Что вы имеете в виду под "имена совпали"? CommonName, которые вводили при генерации клиентов? Если так, то это и означает, что сертификаты разные. А на другие опции OpenVPN при статическом выделении IP-адреса (и при многих других операциях) внимания и не обращает...
Ссылкой на openssl не обойдешься - Гугл в помощь. А дальше изучать, как создать структуру УЦ и реализовать инфраструктуру PKI на базе openssl. С применением или без применения различных GUI/скриптов (как кому удобнее). easy-rsa в целом делает то же самое, но логика работы этих скриптов, мягко говоря, не гибкая...