OpenVPN szerver nem látja a klienseket

 ( torokbalazs | 2019. július 18., csütörtök - 21:30 )

Sziasztok!

Lehet teljesen egyszerű kérdést teszek fel, de számomra nem nagyon érhető a dolog, mivel nem használtam efféle dolgokat soha.
Adott egy otthoni hálózat. Az otthoni hálózaton van egy virtuális gép, ami a routertől kap normálisan IP címet. Ez egy Ubuntu Server, amire telepítve van egy OpenVPN szerver.
Van egy távoli VPS ami csatlakozik a VPN szerverre, és eléri az itthoni hálózatot. Ez eddig nagyon jól működik, semmi gond nincs.
A probléma ott kezdődik mikor a VPN szerverről, vagy azzal azonos hálózaton lévő számítógépekről próbálom elérni a klienseket. Na az semmi féleképp nem működik.
Nem szeretném teleírni a routing táblát meg a túzfalat mindenféle internetről másolt sorokkal, ezért a segítségeteket szeretném kérni. Legfőképp az segítene, ha valaki leírná, hogy ezt meg ezt írd be, és nem az, hogy szereintem ha a fowardot megprobálnád az segítene.

OVPN szerver config:
port 11944
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.0.202"
push "dhcp-option DNS 1.1.1.1"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

OVPN kliens config (ami jelenleg egy win szerver 2019-en van betöltve):
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote domainom.ddns.net 11944
resolv-retry infinite
nobind
persist-key
persist-tun
keepalive 100 500
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
setenv opt block-outside-dns
key-direction 1
verb 3

Routing table:
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default _gateway 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
_gateway 0.0.0.0 255.255.255.255 UH 0 0 0 eth0

Köszi előre is a segítséget! :)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez tuti kell:
echo 1 > /proc/sys/net/ipv4/ip_forward

A többi nekem nagyon zavaros, inkább nem írok semmit. De a volt linuxakadémián van használható openvpn videó, azt javaslom, nagyrészt még aktuális.

Tudnál linket küldeni a videóhoz? Nem találom sajnos.

Ha a gépek IP címével próbálod elérni akkor sem megy? Kliens gépeken mi fut? Win?

Nem tudom elérni. A kliensen windows server 2019 fut. A szerverről tudom pingelni a klienst, viszont a szerverrel egy hálózaton lévő gépek már nem látják.

És megmondtad nekik, hogy a kliensek ip tartományát a szerver felé route-olják vagy elküldik a def gw felé?

Na ezt sikerült elfelejteni. Mostmár megy a ping, megy a fájlmegosztás is (csak ezeket próbáltam eddig). Viszont az RDP custom portra van állítva (gondolom ez nem befolyásol semmit), és arra nem tudok csatlakozni a gépemről. Ha a VPS a router VPN szerverére van csatlakozva akkor simán elérem a 10.8.0.x:12345-es ip-vel és porttal az RDP-t.

Sikerült megoldani, az ufw beállításokkal volt a baj.
Köszi a segítséget!

Szia!

Én első körben egy ping tesztel próbálkoznék a kliensek irányába.
Ubuntu szerveren a kimenő ping engedélyezve van a vpn interface-en?

Példa a tűzfal szabályra, ha szeretnéd engedélyezni.

iptables -A OUTPUT -o tun0 -d 10.8.0.0/24 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -i tun0 -s 10.8.0.0/24 -p icmp --icmp-type 0 -j ACCEPT

Csak a szerverről tudom pingelni a klienst, másik gépekről nem megy.

A konfigok idemasolgatasa helyett egy morickaabra / asciiart a topologiarol tobbet erne a helyzet megertetese szempontjabol mint ez a rengeteg ide leirt szo.

De a routing tablat is sikerult eleg attekinthetetlen formaban idemasolnod. Biztos sok munkat fektettel bele, hogy megtalald a legolvashatatlanabb a format. IMHO, ha ezt kicsit olvashatobb formaban osztod meg, es a lenyeget ki tudod emelni a mondandodbol, az mar felmegoldas.

Segitseg, hogy pl. hogyan kellene kineznie ennek:
Sracok, adott egy VPN szerver. IP cime: 1.2.3.4/24, a 10.8.0.0/24 pool-bol oszt IP-t a kliensek szamara. A kliensek fele egyszeru /30 kapcsolatok vannak, semmi extra nincs mogottuk, egyedi gepek. Az 1.2.3.0/24 halozat tagjai szamara a gateway az 1.2.3.4, megsem tudjak elerni a 10.8.0.0/24 halozaton levo vpn klienseket. Relevans konfig reszlet a vpn szerverbol:
server blah
ifconfig-pool-persist foo.txt
push "route 1.2.3.0 255.255.255.0"
blah-egyeb

Ehhez kepest, kb. ide-dumpoltal sokmindent, csak epp a lenyegi infok maradtak le.
Pl. latom itt a push "redirect-gateway def1 bypass-dhcp".-t. Hasznos tudni. Mert a redirect-gateway-el sok minent el lehet tolni. Ilyenkor mondjuk erdemes emliteni, hogy amikor besetaltal a peniszerdobe, akkor elotte miert is kellett a szajpecek.

https://devopsakademia.hu/termek/openvpn-szerver-egyszeruen-es-gyorsan-iv/

Asszem most 50% engedmény van rá hétfőig. Új debianon plö a tanusítvány készítés totál más, mint a videóban van, de az gúglizható.

[Feliratkozás]