Как настроить OpenVPN сервер на Ubuntu, чтобы клиенты видели друг друга?

Question

[Roon1988]

Здравствуйте.
Нужна помощь в настройке OpenVPN сервера развернутом в UBUNTU на VDS сервере.

Необходимо клиентам видеть друг друга, а точнее даже желательно не всем клиентам а только одному клиенту всех, и чтоб все видели его. (Клиенты различные от андроид, вин10 до UBUNTU)

Желательно через стандартные настройки:
Адаптер tun
Протокол Udp
И так далее что после действий по развертыванию скрипта install остаётся.

(Ранее была необходимость сменить подсеть со стандартной 10.8.0.0/20 на 172.27.165.0/27, дерективу server поправил, а вот чтобы догадаться где и как фаервол поправить ушла неделя. Сейчас в таблице маршрутизации у всех клиентов есть явное указание что весть трафик идёт через OpenVPN сервер так как на стороне клиента в route явно указано что все 128.0.0.0 с маской 128.0.0.0 идёт через шлюз VPN, и по факту все клиенты подключаются и весь трафик идёт через VPN сервер, но вот что то возможно правила фаервола запрещают видеть клиентам друг друга)

Желательно ответ если точно знаете как решить этот вопрос, без тыканий а попробуй это а что получиться, натыкать я уже натыкал все что можно, все советы сводятся к смене с tun на tap, без пояснения зачем это нужно делать.

я ничего не понял, но вопрос решил частично. пинговать пользователей с помощью пинг не удается, но подключиться по RDP к нужной машине удается.
Есть два клиента: operator-1 и rdp-server, пинг от rdp-server к operator-1 проходит, обратно если пинговать то нет.

делал по инструкции (исключение только то что у меня адреса другие).

в общем делал по инструкции: https://blog.vpsville.ru/blog/howto/210.html и https://blog.vpsville.ru/blog/howto/223.html

я добавил директиву push "redirect-gateway def1 bypass-dhcp", без нее при подключении нет интернета, она гонит весь трафик через сервер (это плохо, с этим буду разбираться)

файл конфигурации клиента operator-1:

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 111.222.33.44 6394
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
setenv opt block-outside-dns
key-direction 1
verb 3

route print клиента rdp-server:

===========================================================================                                             
Список интерфейсов                                                                                                       
@#@# ......TAP-Windows Adapter V9 for OpenVPN Connect                                                 
@#@#@ ......Intel(R) Ethernet Connection (7) I219-V                                                     
@#@#@#...........................OpenVPN Data Channel Offload                                                               
@#@#@# ......Intel(R) Dual Band Wireless-AC 3165                                                         
@#@#@## ......Microsoft Wi-Fi Direct Virtual Adapter                                                      
2#@#@#@#@ ......Microsoft Wi-Fi Direct Virtual Adapter #2                                                   
@#@#@#@#@...............Software Loopback Interface 1                                                             ===========================================================================                                                                                                                                                                     IPv4 таблица маршрута                                                                                                   ===========================================================================                                             Активные маршруты:                                                                                                      
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика                                                      
0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.12     25                                                       
0.0.0.0        128.0.0.0     172.27.170.1    172.27.170.25    257                                                 
77.222.53.118  255.255.255.255      192.168.0.1     192.168.0.12    281                                                     
127.0.0.0        255.0.0.0         On-link         127.0.0.1    331                                                     
127.0.0.1  255.255.255.255         On-link         127.0.0.1    331                                               
127.255.255.255  255.255.255.255         On-link         127.0.0.1    331                                                     
128.0.0.0        128.0.0.0     172.27.170.1    172.27.170.25    257                                                  
172.27.170.0  255.255.255.224         On-link     172.27.170.25    257                                                 
172.27.170.25  255.255.255.255         On-link     172.27.170.25    257                                                 
172.27.170.31  255.255.255.255         On-link     172.27.170.25    257                                                   
192.168.0.0    255.255.255.0         On-link      192.168.0.12    281                                                  
192.168.0.12  255.255.255.255         On-link      192.168.0.12    281                                                 
192.168.0.255  255.255.255.255         On-link      192.168.0.12    281                                                     
224.0.0.0        240.0.0.0         On-link         127.0.0.1    331                                                     
224.0.0.0        240.0.0.0         On-link     172.27.170.25    257                                                     
224.0.0.0        240.0.0.0         On-link      192.168.0.12    281                                               
255.255.255.255  255.255.255.255         On-link         127.0.0.1    331                                               
255.255.255.255  255.255.255.255         On-link     172.27.170.25    257                                               
255.255.255.255  255.255.255.255         On-link      192.168.0.12    281                                             ===========================================================================                                             Постоянные маршруты:                                                                                                      Отсутствует                                                                                                                                                                                                                                   IPv6 таблица маршрута                                                                                                   ===========================================================================                                             Активные маршруты:                                                                                                       Метрика   Сетевой адрес            Шлюз                                                                                  1    331 ::1/128                  On-link                                                                              12    281 fe80::/64                On-link                                                                              19    281 fe80::/64                On-link                                                                              19    281 fe80::1a9f:1d4a:e3a4:77a7/128                                                                                                                    On-link                                                                              12    281 fe80::2220:e00:4b9f:e0f1/128                                                                                                                     On-link                                                                               1    331 ff00::/8                 On-link                                                                              12    281 ff00::/8                 On-link                                                                              19    281 ff00::/8                 On-link                                                                             ===========================================================================                                             Постоянные маршруты:                                                                                                      Отсутствует

ccd/rdp-server :
ifconfig-push 172.27.170.25 255.255.255.224

Comments

[Roon1988]

Конфиги все дать не могу не влезут, но на обоих клиентах все одинаковое.

[sazhyk]

Доброго. У вас написано, что адреса внутри VPN из сети 172.27.165.0/27. А почему в маршрутах нету этой сати? У вас соединение VPN поднято?

[Roon1988]

sazhyk, там немного другой маршрут: 127.27.170.0/27

[sazhyk]

Roon1988, так а как мы узнаем, что, откуда и куда идёт? А кто ещё занимается маршрутизацией? Как трафик попадает из 172.27.65.0/27 в 172.27.70.0/27? Клиенты должны попадать на RDP сервер на какому ip? По тем, что раздает VPN или по его локальному? Есть ли опции push "route ..." и iroute "..."?
Покамест, вопросов больше чем ответов. Не стесняйтесь, чем больше подробностей, тем больше вероятность, что вам помогут. И было бы неплохо увидеть конфиг сервера.

[Roon1988]

sazhyk, когда писал вопрос ip написал заведомо ложный (привычка) а вывод маршрута дал реальный.

[Roon1988]

Лист конфигурации такой же как и в примере инструкции

Answer 1

[Daemon23RUS]

Без Ваших конфигов, что то советовать - с таким же успехом можно и у гадалки спросить.
Так что без потыкатся не выйдет, что у Вас с опцией client-to-client на OpenVPN сервере ?

Comments

[Roon1988]

Давайте представим как я написал что все стандартно после работы стандартного скрипта.
client-to-client прописан. Но по факту не работает.
Хорошо если тыкаться то куда ещё?

[Roon1988]

Daemon23RUS, почему деректива client-to-client может не работать и что помимо того что ее прописать в файле конфигурации сервера нужно ещё сделать, что может ей мешать? Как настроить правила iptables?

[Daemon23RUS]

Roon1988, В том то и проблема, что стандартно должно работать. Не один раз подобное поднимал, ну не припомню чтоб вот так все плохо было. Были заморочки, но совсем другого уровня проблемы были. Хоть напишите какие у вас IP получаются, что пинг до узлов показывает. Правила iptables это тоже, чтобы что то особенное получить. У вас то схема стандартная, из коробки работать должна. Таблицу маршрутов посмотреть на сервере надо. Forwarding пакетов у Вас скорее всего должен работать, есть конечно уникальные VPS у которых не все гладко с этим. Надо с простого начинать. Маршруты и форвардинг. Может какое правило лишнее прописали в iptabes. Повторюсь, без разбора реального конфига - тыкатся можно до бесконечности.

[Roon1988]

Daemon23RUS, 15минут сделаю выгрузку

[Roon1988]

Daemon23RUS, пока что снёс все под корень.
Сижу думаю, опять по инструкции очередного писаки сделать, или же все же Pritunl накатить...

[Daemon23RUS]

Roon1988, А это зависит от того, кем Вы себя считаете, если айтишником то тут без вариантов - пробовать инструкции и разбираться. А если пользователь -накатить и не парится.

[Roon1988]

Daemon23RUS, слесарем электриком 4-го разряда. Я вот что заметил:
В конфиге клиента написано что девайс TUN а я вчера заметил что используется адаптер TAP по факту. Можете предположить что происходит?

[Daemon23RUS]

Roon1988, Попробую объяснить простым языком
TAP - Ethernet level (layer 2)
TUN работает на уровне сети (layer 3)
tap - это соединение, в то время как tun - нужна маршрутизация на стороне сервера.
Если огрубить, то TAP - это как еще одна сетевая карта, воткнута в комп. А TUN - это как подключение.

Посмотрел краем глаза маршруты, Что то мне кажется, с такими маршрутами не взлетит. (но глубоко не копал)

[Roon1988]

Daemon23RUS,
Вот этой опцией получаю доступ в интернет через VPN, без нее интернета вообще нет, меня это явно не устраивает, с этим надо разобраться (пока временно на rdp-server эту опцию прописывать не буду, а остальным постараюсь воткнуть через конфиг в папке ccd):
push "redirect-gateway def1 bypass-dhcp"

по поводу tap и tun, я почему заинтересовался, потому что в версии где то с 2.4, есть возможность установить бета версию tun адаптера, которая работает на уровне ядра, и типо как до 40% производительности дает, но у меня версия 3+++ и такого адаптера нет, есть "TAP-Windows Adapter V9 for OpenVPN Connect" и "OpenVPN Data Channel Offload"

если посмотреть на мои настройки то можно увидеть что в клиенте и меня прописано: dev tun как я понял из описаний в рунете, то в моем случае TAP адаптер начинает эмулировать работу TUN адаптера, тоесть по факту со скоростью TAP работает в режиме TUN.
По этому я сейчас хочу разобраться с "OpenVPN Data Channel Offload" адаптером и как его запустить если это он, а если не он то как установить TUN и как его заставить работать.

пока что в конфиг сервера добавил push "windows-driver wintun" и пока что ничего не упало от этого, но и переключения на какой то другой адаптер не произошло

[Daemon23RUS]

Roon1988, Ввиду Вашей профессии, вам сложно разобратся в некоторых простых для сетевиков процессов.
Пропустите пока оптимизацию по скорости. Заставьте просто работать схему.
P.S. И Вы накаркали, прилетела задача, завтра буду поднимать подобный конфиг. Напишу коммент как прошло. У меня предварительно группа из 3х серверов которые по OpenVPN подключаются, и группа клиентов с доступом к ним, причем клиенты не дожны видеть друг друга.

[Roon1988]

Daemon23RUS, возможно, давайте тогда сменим специальность на увлечение? предположим немного умею писать низкоуровневый код. так что проблему старого адаптера версии в6 в состоянии осознать. насчет разницы TUN и TAP уже вычитал, для поверхностного понимания достаточно. теперь нужно понять чем виндовс ТАП в9 отличается от старого в6 например.

[Daemon23RUS]

С увлечением будет проще, знания пойдут впрок, в последствии пригодятся. А нужно ли различе в деталях драйвера TAP9 который идет сейчас с комплектом OpenVPN это их драйвер, а NDIS 6 Это тоже их драйвер прошлого поколения. Обе версии позволяют туннелировать (заворачивать ethernet в VPN) В Вашей же ситуации (которая достаточно проста, вам не надо организовывать доступ к локальной сети клиента впн) надо просто организовать прохождение пакетов между целевым клиентом (рдп) и всеми остальными. Главное чтобы сети клиентов не пересекались с сетью рдп, иначе будет головняк с маршрутами. У вас же ест VPS, ну снесите все поставьте по дефолу, подключите 2х клиентов, рдп и себя, и добейтесь прохождения пакетов, от себя к рдп и обратно. Не добавляйте маршрут по умолчанию, в инет клиенты будут ходит по своему интернету, а к рдп по впн, самый простой вариант client-to-client, потом расширите с помошью маршрутизации чтобы клиенты друг друга не видели.

Answer 2

[Дмитрий Яковенко]

Чтобы клиенты видели другу друга отвечает параметр client-to-client в конфиге сервера.

Answer 3

[Adler]

Не совсем ответ, но если это vds только под VPN и не составит труда переустановить ОС, то поставьте Pritunl (готовый комплект OpenVPN с web интерфейсом). Там это в пару кликов мышкой через веб настраивается.

Comments

[Roon1988]

Хотелось бы но клиентов будет штук 5,
Потом буду корректировать ещё какой именно трафик вести через OpenVPN а какой через какую из локальных сетей.

[Adler]

Roon1988, получаемые маршруты через веб настраиваются.

[Roon1988]

Printunl придется взламывать не хотелось бы такое вытворять с серваком на белом адресе зарегистрированном на меня

[Adler]

Roon1988, не понял что и зачем взламывать?

[Roon1988]

Alexander, ничего не надо взламывать.
Вопрос возник, там есть возможность потом включить/отключить веб интерфейс?

[Roon1988]

Alexander, по дефолту там урезанная версия поставляется, ее нужно немного проабгрейдить чтобы потом она удовлетворяла моим требованиям. Об этом я говорил.

Но возникла идея следующая: установить его, настроить все как надо, посмотреть потом в конфигурационных файлах что и как настроено, и просто повторить в релизной версии без него уже

[Adler]

Roon1988, web вроде отдельной службой запускается, но это не точно, с телефона не могу посмотреть.
Зачем только его выключать? На него можно fail2ban натравить, что бы не ломились, но или в крайнем случае, фаервол никто не отменял.

[Adler]

Roon1988, в дефолтной бесплатной версии точно можно настроить несколько серверов с различными настройками и управлять маршрутами.

[Roon1988]

Alexander, ну на первое время хватит, потом нужно будет сервер регистрации подключить (аутентификация по логин паролю + код из смс... Это для начала)

[Roon1988]

Alexander, сейчас вот что попробую:
Снести опенвпн, накатить Rritunl, и пойти посмотреть его файлы конфигурации. Знать бы куда смотреть было бы конечно легче, но вся ночь в переди.

Я так понимаю что нужно будет смотреть файлы конфигурации сервера, пользователей, iptables. И там наверное ещё какой нибудь но какой?

[Roon1988]

Alexander, посмотрел. В него вникать примерно столько же сколько разобраться с iptables )))

[Adler]

Roon1988, я дальше вебморды никуда и не заглядывал, а там все настроить в пару десятков кликов и 5 минут времени.

[Roon1988]

Alexander, окей.
Давайте я ночью сделаю этот тест.
Укажите пожалуйста что нужно и где нажать пожалуйста:
Топология примерно такая:
Vds сервер, у него tun адаптер + eth0 через который он получает интернет с внешним белым ip.
Допустим деректива server 172.27.160.0/27

Клиент 1 он же RDP-SERVER, на Win10 сейчас находиться в одной и той же сети что и другие клиенты 192.168.0.0 255.255.255.0
Допустим OpenVPN выдаст ему IP 172.27.160.2

Клиент 2 ... 5 от win10 до андроид. Находятся или в той же подсети 192.168.0 255.255.255.0 или имеют подключение от мобильного интернета.

Нужно чтобы клиент 2 по адресу клиента1(172.27.160.2) подключился к нему по RDP.

+ Бонусом будет если клиент1 он же RDP-SERVER постоянно был доступен через tun адаптер, по адресу 172.27.160.2 и для этого использовал интернет подключение Ethernet, вне зависимости от изменения если например его воткнут по wifi в корпоративную сеть с собственным интернетом