Openvpn маршрутизация, почему сервер не видит внутренние адреса за клиентом?

Question

[odmin4eg]

Есть OpenVPN сервер далеко в интернете, к нему подключается клиент, за которым есть сеть ( 192.168.100.0/255.255.255.0 ) эта сеть получает интернет через этот ОпенВПН сервер.

но почему с сервера я не могу пинговать сеть 192.168.100.0 ? например клиент опенВПН имеет внутренний адрес 192.168.100.192

# cat server.conf

port 1194 #Порт
proto udp #Протокол
dev tun   #Название виртуального устройства
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 10.10.10.0 255.255.255.0 # vpn subnet
ifconfig-pool-persist ipp.txt # Тут будут храниться ip адреса клиентов
#push "route 192.168.100.0 255.255.255.0" # home
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 4
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd # Тут будут настройки для каждого филиала
route 192.168.100.0 255.255.255.0 # Маршрут от сервера до филиала 1

cat ccd/client1

iroute 192.168.100.0 255.255.255.0

маршрутизацию чуть-чуть правил но, вот примерно так

# ip ro

default via 91.230.211.129 dev eth0
10.10.10.0/24 via 10.10.10.2 dev tun0
10.10.10.2 dev tun0  proto kernel  scope link  src 10.10.10.1
91.230.211.128/25 dev eth0  proto kernel  scope link  src 91.230.211.155
192.168.100.0/24 dev tun0  scope link

Далее клиент.
# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:15:e9:42:12:e7
          inet addr:192.168.100.192  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::215:e9ff:fe42:12e7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9529433 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14498216 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1069870112 (1.0 GB)  TX bytes:4244836235 (4.2 GB)
          Interrupt:17 Base address:0xc00

eth1      Link encap:Ethernet  HWaddr 00:15:e9:4a:aa:ae
          inet addr:195.209.96.36  Bcast:195.209.96.63  Mask:255.255.255.192
          inet6 addr: fe80::215:e9ff:fe4a:aaae/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14219418 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9328431 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4058530661 (4.0 GB)  TX bytes:1339978921 (1.3 GB)
          Interrupt:21

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:31009 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31009 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:10254502 (10.2 MB)  TX bytes:10254502 (10.2 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.6  P-t-P:10.10.10.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:3334189 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3852969 errors:0 dropped:8986 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:437725017 (437.7 MB)  TX bytes:557979603 (557.9 MB)

#cat /etc/openvpn/client.conf

remote 91.211.211.155 1194
client
dev tun
proto udp
resolv-retry infinite # this is necessary for DynDNS
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/proxy.crt
key /etc/openvpn/proxy.key
comp-lzo
verb 4
mute 20
redirect-gateway
verb 4

#ip ro

10.10.10.5 dev tun0  proto kernel  scope link  src 10.10.10.6
91.211.211.155 via 195.209.96.1 dev eth1
195.209.96.0/26 dev eth1  proto kernel  scope link  src 195.209.96.36
192.168.100.0/24 dev eth0  proto kernel  scope link  src 192.168.100.192
10.10.10.0/24 via 10.10.10.5 dev tun0
default via 10.10.10.5 dev tun0

iptables на Сервере

-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.0.0/16 -j MASQUERADE

На клиенте
-A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE

При том как я понимаю если подключится за вторым клиентмо ещё одна сеть 192.168.Х.0 то эти сети друг друга видят.

у меня так работает одна организация собственно я писал эту статью когда-то давно habrahabr.ru/post/100932

а вот как научить сервер видеть тех кто за клиентом не пойму :(

Answer 1

[Владимир]

форвардинг разрешите

Comments

[odmin4eg]

и так разрешён, ведь через эти два шлюза интернет попадает в сеть 192.168.100.0

[Владимир]

iptables -A FORWARD -i tun0 -j ACCEPT

[odmin4eg]

rostel: Ничего не запрещалось временно, но правила добавил и на Сервере и на клиенте
# traceroute 192.168.100.192
traceroute to 192.168.100.192 (192.168.100.192), 30 hops max, 60 byte packets
1 * * *
2 * * *

[Владимир]

уберите маскарадинг
на то и VPN что он там не нужен
трассируйте не к 192.168.100.192 а к любому другому живому хосту в 192.168.100.0/24
и покажите таблицу маршрутизации на нём

[odmin4eg]

rostel:
по моему маскарад там нужен, Офис через клиента и через ОпенВПН сервер ходит в интернет. поэтому и маскарад и redirect-gateway
Хотя могу и ошибаться.

скажу так клиент имеет адреса 10.10.10.6 и 192.168.100.192 его и пингую, таблица маршрутизации клиента есть в вопросе, под конфигом клиента

[Владимир]

192.168.100.192 и 10.10.10.6 это одна и та же машина
запустите на ней
tcpdump -i tun0 -vnn icmp

и попингуйте с сервера 10.10.10.6 затем 192.168.100.192

должны в обоих случаях увидеть запросы

[odmin4eg]

rostel: Надо как-то фильтровать в дампе, трафика оч много летает через tun0 там портянка огромная
# tcpdump -i tun0 -vnn icmp
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 96 bytes
16:48:43.203466 IP (tos 0xc0, ttl 56, id 1584, offset 0, flags [none], proto ICMP (1), length 80)
109.71.176.5 > 10.10.10.6: ICMP net 80.249.188.210 unreachable, length 60
IP (tos 0x0, ttl 119, id 26938, offset 0, flags [DF], proto TCP (6), length 52)
10.10.10.6.61769 > 80.249.188.210.16015: Flags [S], seq 2873808868, win 8192, options [mss 128,nop,wscale 2,[|tcp]>
16:48:43.212084 IP (tos 0xc0, ttl 56, id 1585, offset 0, flags [none], proto ICMP (1), length 76)
109.71.176.5 > 10.10.10.6: ICMP net 80.249.188.210 unreachable, length 56
IP (tos 0x0, ttl 119, id 26937, offset 0, flags [none], proto UDP (17), length 48)

[Владимир]

направление действий дано

перерастает не в помощь, а в "дайте готовое решение"

[odmin4eg]

rostel: Нет, пытаюсь найти выход, мне кажется что я что-то не досмотрел в маршрутизации и кажется что ответ где-то рядом... но пока не наткнулся на него, вас понял сейчас попробую

[odmin4eg]

rostel: rostel: да, дело в маскараде, именно в клиентском, когда пинг от сервера доходи до клиента, он скорее всего ломается об -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE

маскарад если убрать, то пользователь сети перестаёт видеть ОпенВПН сервер

1 2 ms <1 мс <1 мс PROXY [192.168.100.192]
2 * * * Превышен интервал ожидания для запроса.

[Владимир]

добавьте в это правило параметр -o eth4, где eth4 - интерфейс через который отправляется пакет
иначе у вас маскарадится на всех выходах при прилетании из сети 192.168.0.0/16

[odmin4eg]

rostel: -o говорит куда перенаправлять, то есть ей можно указывать куда полетят пакеты.
а вот -i не работает тут
но у меня ситуация такая:
Канал интернета eth1 ограничен шириной, при этом канал инета до ОпенВПН сервера пиринговый, а за ОпенВПН сервером канал инета широкий.
но пиринг иногда падает. и получается, что благодаря такому правилу, не зависимо от внешних обстоятельств Интернет работает, если пиринг есть то всё летит в ОпенВПН, если сломался, то медленно но прямой.

хотя я наверное ошибаюсь -o eth1 ж картину не изменит

[odmin4eg]

rostel: не вышло, добавил eth1
Трассировка маршрута к gw.****.ru [91.111.211.155]
с максимальным числом прыжков 30:

1 1 ms 2 ms <1 мс PROXY [192.168.100.192]
2 <1 мс <1 мс <1 мс 195.111.96.33 <--- это шлюз на eth1
3 * ^C

[Владимир]

-o это фильтр по интерфейсу через который уходит
куда ходит оно не говорит

[odmin4eg]

rostel: инструкция говорит --out-interface

[Владимир]

файервол не занимается маршрутизацией

[odmin4eg]

rostel:
C:\Users\user>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

1 <1 мс <1 мс 1 ms PROXY [192.168.100.192]
2 2 ms 3 ms 2 ms 10.10.10.1
*
4 3 ms 3 ms 3 ms gw.*****.ru [111.11.62.81]
^C

пишу -o eth1 в то правило, получаю
C:\Users\saber>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс PROXY [192.168.100.192]
2 * * ^C

Сейчас попробую tun0 написать

[odmin4eg]

rostel: -o tun 0
Инет продолжил работать, но с сервера я так и не вижу клиента сети
# traceroute 192.168.100.192
traceroute to 192.168.100.192 (192.168.100.192), 30 hops max, 60 byte packets
1 * * *
2 * * *

[Владимир]

ну так вы на сервер из vpn приходите из сети 10.10.0.0/16

[Sergio]

Хоть бы ответ оставил...

Answer 2

[Power]

А у вас только один клиент может быть? Просто если больше одного, то как сервер должен понимать, в какой из туннелей слать трафик для 192.168.100.0/24?
Сейчас, думаю, проблема в том, что вы установили на сервере маршрут для 192.168.100.0/24 напрямую через туннель, а надо через gateway, роль которого должен выполнять клиент, т.е. на сервере должно быть что-то типа
192.168.100.0/24 via 10.10.10.6 dev tun0
Ну и на клиенте, соответственно, разрешить forwarding и сделать маскарад.

Comments

[odmin4eg]

Пытался и так сделать:
# route add -net 192.168.100.0 netmask 255.255.255.0 gw 10.10.10.6
SIOCADDRT: Нет такого процесса

Получается, что я не могу указать клиента как шлюз. а вот если 10.10.10.1 пишу то добавляется такой маршрут

[odmin4eg]

Опенвпн поднимает такой маршрут
192.168.100.0/24 via 10.10.10.2 dev tun0

но всё равно не работает

[Power]

odmin4eg: А на клиенте forwarding и маскарад сделали?
И по поводу маршрута я уже сам не уверен - я почитал мануал и мне стало ещё меньше понятно, как эта система работает.
И всё-таки, у вас только один клиент, за которым сеть 192.168.100.0/24 ?

[Power]

odmin4eg: и если forwarding и маскарад сделали, напишите, как именно.

[odmin4eg]

Power: Клиент был шлюзом в обычный эзернет, маскарад на нём вот такой
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -j MASQUERADE
+
echo 1 > /proc/sys/net/ipv4/ip_forward
/etc/sysctl.conf раскомментировать net.ipv4.ip_forward = 1

Клиент для упрощения вопроса один, если подключаю второй клиент то он тоже не пингует сеть 192.168.Х.Х зато сеть за вторым клиентом, пингует сеть первого клиента.

а вот ни сам сервер ни сами клиенты не видят противоположные сети (хз как так, но задачу упрощаем, хочу чтоб сервер видел сеть за клиентом).
весь вопрос в этом, ибо есть клиент без сети за собой (ноут) который хочет пользоваться ресурсами сети за первым клиентом.

[Power]

odmin4eg: "Клиент" точно является шлюзом по умолчанию для машин своей сети?

[Power]

odmin4eg: И ещё, проблема может быть в iptables. Можете показать sudo iptables-save с сервера и с клиента (заменив особо секретные адреса по необходимости)?