Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] OpenVPN - klienci nie maj

https://www.debian.pl/viewtopic.php?t=28456

Strona 1 z 1

[+] OpenVPN - klienci nie mają dostępu do internetu

: 15 lutego 2013, 00:36
autor: giaur
Witam,

Debian Sid, najnowsza dostępna na dziś wersja OpenVPN. Konfiguracja serwera:

Kod: Zaznacz cały

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 84.204.204.204"
push "dhcp-option DNS 62.233.233.233"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
Konfiguracja klienta:

Kod: Zaznacz cały

# [client.conf]
client
dev tun
proto udp
remote <ip zdalne> 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
mute-replay-warnings
ca /home/michalm/klucze/ca.crt
cert /home/michalm/klucze/client_desktop.crt
key /home/michalm/klucze/client_desktop.key
ns-cert-type server
comp-lzo
verb 3
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
Generalnie wszystko działa, klienci nawet widzą się wzajemnie. Problem jednak w tym, że gdy włączony jest VPN, klient nie ma dostępu do internetu. Niby dns działa (rozwiązuje nazwy), ale żadne pingi nie wracają. Ta sama sytuacja jest także wtedy gdy klientem jest Windows (tutaj używam oficjalnego klienta OpenVPN, ale konfiguracji już nie będę podawać, jest analogiczna).

Na serwerze włączone jest ip forward (jesli to ważne). W czym może być problem? Co musze zmienić w konfiguracji serwera żeby klientów nie odcinało od internetu?

Przykładowy routing u klienta z włączonym OpenVPN:

Kod: Zaznacz cały

0.0.0.0/1 via 10.8.0.13 dev tun0 default via 192.168.1.254 dev eth0  proto static 
10.8.0.1 via 10.8.0.13 dev tun0 
10.8.0.13 dev tun0  proto kernel  scope link  src 10.8.0.14 
91.145.139.141 via 192.168.1.254 dev eth0 
128.0.0.0/1 via 10.8.0.13 dev tun0 
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.3
I bez włączonego OpenVPN:

Kod: Zaznacz cały

default via 192.168.1.254 dev eth0  proto static 
91.145.139.141 via 192.168.1.254 dev eth0 
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.3

: 15 lutego 2013, 12:15
autor: mariaczi
Musisz ustawić NAT lub maskaradę dla adresacji wykorzystanej do VPNa. Na kliencie po podłączeniu się do VPNa zmienia się trasa domyślna.

: 15 lutego 2013, 12:44
autor: giaur
Wydaje mi się, że problem rozwiązałem. Po pierwsze, trzeba usunąć:

Kod: Zaznacz cały

push "redirect-gateway def1 bypass-dhcp"
I dodać dyrektywę:

Kod: Zaznacz cały

client-to-client
Teraz dostępne jest połączenie internetowe oraz cała podsieć VPN-a (u mnie 10.8.XXX.XXX)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl