Jump to content

OpenVPN - недоступна подсеть за клиентом


Recommended Posts

On 3/5/2018 at 9:05 PM, dexter said:

На клиенте "no isolate-private" и security-level private не забыли?

а я не знаю, что это и где это написать.

Link to comment
Share on other sites

В 3/5/2018 в 19:46, Pablo сказал:

Господа, я сейчас специально купил Кинетик Старт, поднял  на нем клиента, от него вижу подсеть за сервером, от сервера клиент кинетик не виден.

Возникает вопрос, это у меня кривые руки или не у меня.

Пожалуйста, скиньте конфиги сервера и клиента, я проверю что там у вас происходит.

Link to comment
Share on other sites

On 3/16/2018 at 12:10 PM, Le ecureuil said:

@Pablo уважаемый, вы уже решили проблему? Нет желания досвести до конца?

Пока бодаемся с саппортом, находимся ровно на той же стадии. Если хотите, пришлю селфтесты, скажите, куда.

Айсолэйт-прайвит не помог.

Edited by Pablo
Link to comment
Share on other sites

4 минуты назад, Pablo сказал:

Пока бодаемся с саппортом, находимся ровно на той же стадии. Если хотите, пришлю селфтесты, скажите, куда.

https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

Link to comment
Share on other sites

57 минут назад, Pablo сказал:

Получилось (но это не точно :D). А то в еще одной теме просто вся тема удалилась.

Вся тема, если вы первый пост скрываете. 

Link to comment
Share on other sites

В 3/18/2018 в 20:27, Pablo сказал:

Получилось (но это не точно :D). А то в еще одной теме просто вся тема удалилась.

Итак, удалось разобраться в чем дело.

Вся суть в том, что OpenVPN в режиме topology subnet кроме системного роутинга использует еще и внутренний, который как раз и вредит в данном случае. А внутренний роутинг задается только через директиву iroute.

Кратко, вывод такой:

 - дождаться следующего draft, в котором будет полноценная поддержка iroute.

 - для клиента создать ccd-файл в разделе storage, с указанием подсети, в вашем случае с 2 кинетиками он будет выглядеть так:

push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.1 255.255.255.255" 
iroute 192.168.2.0 255.255.255.0

 - убрать все упоминания о push route и route из основного конфига в ccd-файл.

 - указать в конфиге директиву client-config-dir /storage для работы ccd.

 - залить ccd-файл клиента в storage можно даже через web.

 

Неустранимый минус такого решения - сервер может быть только на устройстве, где есть раздел /storage, то есть только на устройствах с USB-портом. Клиентом же может выступать абсолютно любое устройство.

 

Если все будет работать нормально, перенесем исправление и в 2.11.

Link to comment
Share on other sites

8 минут назад, Le ecureuil сказал:

Итак, удалось разобраться в чем дело.

Вся суть в том, что OpenVPN в режиме topology subnet кроме системного роутинга использует еще и внутренний, который как раз и вредит в данном случае. А внутренний роутинг задается только через директиву iroute.

Кратко, вывод такой:

 - дождаться следующего draft, в котором будет полноценная поддержка iroute.

 - для клиента создать ccd-файл в разделе storage, с указанием подсети, в вашем случае с 2 кинетиками он будет выглядеть так:


push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.1 255.255.255.255" 
iroute 192.168.2.0 255.255.255.0

 - убрать все упоминания о push route и route из основного конфига в ccd-файл.

 - указать в конфиге директиву client-config-dir /storage для работы ccd.

 - залить ccd-файл клиента в storage можно даже через web.

 

Неустранимый минус такого решения - сервер может быть только на устройстве, где есть раздел /storage, то есть только на устройствах с USB-портом. Клиентом же может выступать абсолютно любое устройство.

 

Если все будет работать нормально, перенесем исправление и в 2.11.

@Le ecureuil А что изменилось? Эти манипуляции можно и сейчас проделать, я во всяком случае iroute в таком варианте испытывал.

Link to comment
Share on other sites

Вот, что мне ответил сегодня саппорт.

Quote

Добрый день Павел.

Да я попробовал с вашими конфигурациями OpenVPN. Описываемая проблема существует.
Ее нет, если использовать топологию не сервер, а точка-точка, т.е. указать в конфиге сервера:
tls-server
ifconfig 10.8.0.1 10.8.0.2
вместо 
server 10.8.0.0 255.255.255.0
client-to-client
topology subnet
а на клиенте:
tls-client
ifconfig 10.8.0.2 10.8.0.1
вместо
client
и задать на клиенте маршрут в сеть сервера, а push на стороне сервера соответственно убрать
У меня такая конфигурация изначально и работала, поэтому удивился, что у вас не работает. Даже еще проще была ,без сертификатов и tls, как в первой части: https://help.keenetic.net/hc/ru/articles/115005822629,
Почему доступа нет в топологии сервер пока разбираюсь, вероятно потребуется настройка вроде этой: 
https://community.openvpn.net/openvpn/wiki/RoutedLans






 

ifconfig 10.8.0.2 10.8.0.1

 

С уважением,
служба поддержки.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

Edited by Pablo
Link to comment
Share on other sites

31 минуту назад, Pablo сказал:

Вот, что мне ответил сегодня саппорт.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

Сама флешка не нужна, просто раздел storage есть только на устройствах с usb

Link to comment
Share on other sites

Про /storage. Если я правильно понимаю, то все файлы, которые показываются в веб-интерфейсе, лежат в /flash

Т.е., руками создаем там где-то папочку, и кладем ccd? Вопрос - где его создавать. Оно при перезагрузке не удалится?

Как положить каталог/файлы из веб-морды?

Edited by Pablo
Link to comment
Share on other sites

6 часов назад, r13 сказал:

@Le ecureuil А что изменилось? Эти манипуляции можно и сейчас проделать, я во всяком случае iroute в таком варианте испытывал.

Сейчас iroute для внутренней маршрутизации работает, но роуты, которые он добавляет, не приходят в систему.

То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Link to comment
Share on other sites

5 часов назад, Pablo сказал:

Вот, что мне ответил сегодня саппорт.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

Раздел /storage есть на любом устройстве с USB-портом, даже если порты не используются. Он обычно пустой, и предназначен в первую очередь для драйверов принтеров. Однако, мы его со спокойной совестью можем использовать для ccd.

Да, делаем стандартно, как в большом OpenVPN.

Залить файл можно через Web - идите в просмотр файлов, выбираете раздел storage, и заливаете туда файл.

Насчет iroute в прошивке - это уже в следующем релизе, потому что еще нужно с PKI разобраться.

Link to comment
Share on other sites

7 minutes ago, Le ecureuil said:

Раздел /storage есть на любом устройстве с USB-портом, даже если порты не используются. Он обычно пустой, и предназначен в первую очередь для драйверов принтеров. Однако, мы его со спокойной совестью можем использовать для ccd.

Да, делаем стандартно, как в большом OpenVPN.

Залить файл можно через Web - идите в просмотр файлов, выбираете раздел storage, и заливаете туда файл.

Насчет iroute в прошивке - это уже в следующем релизе, потому что еще нужно с PKI разобраться.

Спасибо за подробное объяснение. Просмотра файлов это тут (картинка)? Как тут пойти в просмотр? Извините за дурацкий вопрос.

>То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Т.е., если имеем клиента 192.168.х.0/24, то при пуше маршрутов из iroute сервера будет видна сеть 192.168.х.0/24 или нет? В текущих прошивках это можно как-то сделать вообще?

Screen Shot 2018-03-21 at 22.17.23.png

Edited by Pablo
Link to comment
Share on other sites

2 часа назад, Pablo сказал:

Про /storage. Если я правильно понимаю, то все файлы, которые показываются в веб-интерфейсе, лежат в /flash

Т.е., руками создаем там где-то папочку, и кладем ccd? Вопрос - где его создавать. Оно при перезагрузке не удалится?

Как положить каталог/файлы из веб-морды?

Они лежат реально в /storage.

При перезагрузке не удалится.

В новом web пока это еще не доделано, а в старом можно все сделать тут:

Untitled.jpg

Если у вас KN-1010, то придется на время поставить 2.11, чтобы залить нужные файлы - старый веб для них в 2.12 уже недоступен.

Link to comment
Share on other sites

13 минуты назад, Le ecureuil сказал:

Сейчас iroute для внутренней маршрутизации работает, но роуты, которые он добавляет, не приходят в систему.

То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Посмотрим конечно в следующем драфте, но iroute вроде как и не должен ничего добавлять в основную таблицу. 

route в основном конфиге. добавляет записи во внешнюю таблицу маршрутизации( добавляем route со всеми клинтскими сетями в основной конфиг)

push route передает маршруты клиентам ( также в основной конфиг push route со всеми сетями включая серверную)

iroute в ccd он обеспечивает внутреннюю маршрутизацию(привязку сетей к клинтам) а также препятствует передаче на клинта маршрута из команды. push route совпадающего с iroute. 

Помоему так. 

Link to comment
Share on other sites

9 минут назад, Pablo сказал:

>То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Т.е., если имеем клиента 192.168.х.0/24, то при пуше маршрутов из iroute сервера будет видна сеть 192.168.х.0/24 или нет? В текущих прошивках это можно как-то сделать вообще?

 

Между двумя кинетиками-клиентами, подключенными к одному серверу, у каждого из которых своя подсеть за ним и каждому настроен iroute - все работает уже сейчас. Однако от сервера к этим подсетям пока доступа нет - это было недоделано. Именно этот сценарий как раз проявляется у вас.

Link to comment
Share on other sites

2 минуты назад, r13 сказал:

Посмотрим конечно в следующем драфте, но iroute вроде как и не должен ничего добавлять в основную таблицу. 

route в основном конфиге. добавляет записи во внешнюю таблицу маршрутизации( добавляем route со всеми клинтскими сетями в основной конфиг)

push route передает маршруты клиентам ( также в основной конфиг push route со всеми сетями включая серверную)

iroute в ccd он обеспечивает внутреннюю маршрутизацию(привязку сетей к клинтам) а также препятствует передаче на клинта маршрута из команды. push route совпадающего с iroute. 

Помоему так. 

Маршрут из iroute должен попадать на сервер, иначе от сервера в эти подсети за клиентами в режиме subnet попасть невозможно (если только их руками не прописать) - как раз эта проблема и была у ТС.

Да, можно закостылить с двумя одинаковыми опциями в конфиге - iroute + route, но это некрасиво и неочевидно.

Link to comment
Share on other sites

1 минуту назад, Le ecureuil сказал:

Маршрут из iroute должен попадать на сервер, иначе от сервера в эти подсети за клиентами в режиме subnet попасть невозможно (если только их руками не прописать) - как раз эта проблема и была у ТС.

Т е попадания в основную таблицу маршрута до клиента через команду route не достаточно?  Ок попробую на досуге. 

Link to comment
Share on other sites

10 minutes ago, Le ecureuil said:

Между двумя кинетиками-клиентами, подключенными к одному серверу, у каждого из которых своя подсеть за ним и каждому настроен iroute - все работает уже сейчас. Однако от сервера к этим подсетям пока доступа нет - это было недоделано. Именно этот сценарий как раз проявляется у вас.

в общем, на текущий момент ответ — никак. Т.е., полноценного сервера не получить, в лучшем случае точка-точка, только соединение двух (и не более) подсетей, как мне ответили в саппорте, я правильно понимаю?

Edited by Pablo
Link to comment
Share on other sites

6 минут назад, r13 сказал:

Т е попадания в основную таблицу маршрута до клиента через команду route не достаточно?  Ок попробую на досуге. 

route недостаточно, в topology subnet уже внутренний роутинг не пустит. iroute не добавит маршрут в систему. Комбинация в теории поможет, но лучше сразу сделать нормальную обработку iroute.

Link to comment
Share on other sites

2 минуты назад, Pablo сказал:

в общем, на текущий момент ответ — никак. Т.е., полноценного сервера не получить, в лучшем случае client-to-client, только соединение двух (и не более) подсетей, как мне ответили в саппорте, я правильно понимаю?

Подождите до пятницы, выйдет draft с исправлением - и все настроите.

  • Thanks 1
Link to comment
Share on other sites

3 минуты назад, Le ecureuil сказал:

route недостаточно, в topology subnet уже внутренний роутинг не пустит. iroute не добавит маршрут в систему. Комбинация в теории поможет, но лучше сразу сделать нормальную обработку iroute.

Возможно не точно выразился, конечно комбинация route+iroute

Во всяком случае openvpn faq рекомендует именно так

https://community.openvpn.net/openvpn/wiki/RoutedLans

Link to comment
Share on other sites

8 минут назад, r13 сказал:

Возможно не точно выразился, конечно комбинация route+iroute

Во всяком случае openvpn faq рекомендует именно так

https://community.openvpn.net/openvpn/wiki/RoutedLans

К сожалению, даже ТС неосилил это мануал :) Потому все же сделем лицом к пользователям.

Link to comment
Share on other sites

Только что, Le ecureuil сказал:

К сожалению, даже ТС неосилил это мануал :) Потому все же сделем лицом к пользователям.

Это да, в какой-то степени эту доработку можно считать упрощением настройки.

Link to comment
Share on other sites

13 minutes ago, Le ecureuil said:

К сожалению, даже ТС неосилил это мануал :) Потому все же сделем лицом к пользователям.

вы меня, конечно, простите, но ТС осилил и этот мануал, и перечитал все остальное. Т.к. кинетик покупался с целью не ходить в CLI и не писать туда старт-скрипты и прочие дроп реджекты и маскарады, то я просто жду развития событий.

Асус, который сдох, и вместо которого и был куплен Кинетик был настроен именно так - с ccd, iroute и т.д. Правда, версия была старовата, в последних версиях OpenVPN, когда в хидерах знаки поменялись, перестали клиенты ходить, да мне и не надо было.

Edited by Pablo
Link to comment
Share on other sites

21 час назад, Pablo сказал:

вы меня, конечно, простите, но ТС осилил и этот мануал, и перечитал все остальное. Т.к. кинетик покупался с целью не ходить в CLI и не писать туда старт-скрипты и прочие дроп реджекты и маскарады, то я просто жду развития событий.

Асус, который сдох, и вместо которого и был куплен Кинетик был настроен именно так - с ccd, iroute и т.д. Правда, версия была старовата, в последних версиях OpenVPN, когда в хидерах знаки поменялись, перестали клиенты ходить, да мне и не надо было.

Собрал стенд, воспроизвел инструкцию.

Все работает. Сети за сервером и клиентом доступны друг другу.

Сеть  сервера 192.168.255.0/24

Сеть  клиента 192.168.4.0/24

Конфиг на сервере:

topology subnet
server 10.8.1.0 255.255.255.0
client-to-client
client-config-dir /storage/ccd
route 192.168.4.0 255.255.255.0
push "route 192.168.255.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"

CCD на сервере:

iroute 192.168.4.0 255.255.255.0

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...