Задать вопрос
valerium
@valerium
Изобретая велосипед

Как помочь клиентам VPN увидеть друг друга?

Приветствую.

Есть три машины. На одной из них сервер VPN, на другой сервер RDP, на третьей клиент RDP. Нужно, чтобы с третьей машины подключаться на вторую. Туннели я поднять таки смог, а вот друг друга машинки не видят, даже сервер. Подскажите, что я упустил?

Конфиг сервера
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
dh keys/dh4096.pem
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log
verb 4


Конфиг клиентов (одинаков, отличаются только ключи и сертификаты)
client
remote vpn.example.com
dev tun
nobind
persist-key
persist-tun
keepalive 3 10
fragment 1400
verb 2
log-append openvpn.log
cipher BF-CBC
ca [inline]
cert [inline]
key [inline]
comp-lzo
askpass pass

<ca>
...
</ca>
<key>
....
</key>
<cert>
...
</cert>


После подключения клиента вижу вот такую картину
$ ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.10.6  P-t-P:192.168.10.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
192.168.1.0     *               255.255.255.0   U     9      0        0 wlan0
192.168.10.0    192.168.10.5    255.255.255.0   UG    0      0        0 tun0
192.168.10.5    *               255.255.255.255 UH    0      0        0 tun0


По идее, всё правильно, но пинги не ходють, ни до сервера, ни до другого клиента. ICMP включён, плюс пытался telnet-ом на открытые порты подцепиться.

Так что я упустил-то?

UPD. Форвард в ядре сервера включил, но это не изменило ситуацию: пинги всё ещё не доходят до сервера, соответственно, форвардить ему нечего.
  • Вопрос задан
  • 2448 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@ldvldv
а tcpdump на сервере пинги видит?

fragment обязательно указывать на обоих сторонах
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@mureevms
Форвард в ядре на OVPN сервере включен?
echo "1" > /proc/sys/net/ipv4/ip_forward
Ответ написан
Radjah
@Radjah
Не вижу client-to-client в конфиге сервера.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы