Главная » Форум » Gentoo Linux » Системное администрирование

OpenVPN: пинги идут, а сайты не открываются

CoolMan 6 февраля, 2013 - 08:39

VPN поднимаю между рабочим компом (вин 7) и домашним сервером (между ними, соответственно, фаер предприятия - MS TMG).
Раньше нужно было для обхода фильтрации трафика, но сейчас блокировку ненужных ресурсов типа ютубчика убрали.
Тем не менее необходимость в этом осталась.
Так вот, после того как сняли ограничения я немного поигрался с настройками OpenVPN на обоих концах. Потом вернул все назад (менял по сути только адреса и порты), но вот незадача - инет работать перестал.
Подключаюсь с рабочего компа к домашнему, сеть нормально поднимается. Пишу на рабочем маршрут через домашний комп, чтобы весь инет-трафик шел по впн через него, а не через сеть предприятия. Хосты в инете и сайты пингуются, трейсерт проходит, а вот подключиться к чему-либо браузером, фтп-клиентом, аськой, ссш-ем - не могу. Т.е., например, до яндекса пинг идет, а вот

telnet ya.ru 80

Выдает ошибку подключения. Putty пишет, что "Network is down".
При этом на локальные компы в впн-сети подключается нормально, даже на расшаренные ресурсы пускает.
Гуглил. Долго. Пробовал менять MTU.
Думал, что возможно изменилась фильтрация трафика каким-то образом, что пинги и трейсерты пускает, а на сервисы - фиг. Но эта теория не сходится с тем, что я могу подключиться к любому сервису среди локальных машин на том конце сети.

Надеюсь хоть кто-то поймет, что я написал )))

‹ [SOLVED]Не на все адреса заходит kernel: [Hardware Error]: Machine check events logged ›
»

CoolMan

Автор SysA, дата создания 6 февраля, 2013 - 14:30.
CoolMan написал(а):
...Надеюсь хоть кто-то поймет, что я написал )))

А оно нам надо?! :)
Может все-таки потрудитесь грамотно сформулировать проблему и приложить соответствующие конфиги/логи/дампы/трейсы и т.п.?..

»

:)Конфиги не стал

Автор CoolMan, дата создания 7 февраля, 2013 - 08:27.

:)
Конфиги не стал выкладывать с той лишь мыслью, что с ними раньше все работало - а значит оно должно быть не при чем )

Уточняю: рабочий комп в впн сети 192.168.1.10; домашний сервер 192.168.1.1 (интерфейс tap0 в мосту с другими интерфесами, так что адресный пул один). NAT через iptables, маскарад с 192.168.1.0. После поднятия впн и прописывания на рабочем компе маршрута
route ADD 0.0.0.0 MASK 0.0.0.0 192.168.1.1
как основного, имею свободный доступ ко всем ресурсам локальной впн-сети (192.168.1.xxx), трейсерт подтверждает рабочий NAT и правильный маршрут через сервер, но нет никакого доступа к ресурсам в интернетах. При том до некоторых (достоверно неизвестных мне) изменений в конфиге корпоративного TMG все работало )
Я слабо представляю работу впн, а потому была мысль может действительно какая проверка протокола на прикладном уровне идет и от этого можно избавиться включением шифрования - но не помогло ) Какие порты открыты в корпоративноем фаере я не в курсе, так искал методом тыка. Раньше работало чере 443, но после изменений в TMG перестало, ибо этот гад стал проверять https и стал портить пакеты.

Конфиги.
Клиент:

#работа в режиме клиента с TLS-аутентифкацией
tls-client 
#протокол tcp
proto tcp-client
#удаленный сервер
remote ussr.dyndns.info
dev tap
port 5190
#файл для авторизации
tls-auth ta.key 1
#указываем файл Диффи-Хеллмана
dh dh1024.pem 
#указываем файл CA
ca ca.crt 
#указываем файл с сертификатом клиента
cert enjoy.crt 
#указываем файл с ключем клиента
key enjoy.key 
#алгоритм шифрования
#cipher none
cipher DES-EDE3-CBC
#использовать сжатие
#comp-lzo

Сервер.

#cipher none

tcp-nodelay
#fast-io
#режим сервера
mode server
#использовать TLS-аутентифкацию
tls-server
#прослушивание по tcp-протоколу
proto tcp-server
#proto udp
#использовать tap устройство
dev tap
#прослушиваемый порт
port 5190
#port 443
#режим демона
daemon
#TLS-ключ
tls-auth /etc/openvpn/keys/ta.key 0
#указываем файл с CA
ca /etc/openvpn/keys/ca.crt
#сертификат сервера
cert /etc/openvpn/keys/hydra.crt
#указываем ключ сертификата
key /etc/openvpn/keys/hydra.key
#файл Диффи-Хеллмана
dh /etc/openvpn/keys/dh1024.pem
#указываем IP-адрес сервера и маску виртуальной сети
ifconfig 192.168.1.1 255.255.255.0

#описываем наш vpn пул
#IP-адрес через push "ifconfig адрес маска"
ifconfig-pool 192.168.1.10 192.168.1.20
#если упустить эту опцию то на каждого клиента надо
#генерировать отдельный сертификат с помощью pkitool
duplicate-cn
#включаем режим отладки
verb 9
#алгоритм шифрования.Список алгоритмов можно получить
#с помощью команды openvpn --show-ciphers
cipher DES-EDE3-CBC
#не перечитывать ключ при сбросе соединения
persist-key
#лог файл
log-append /var/log/openvpn.log
persist-tun
#включаем сжатие
#comp-lzo

Остальное по серверу.

ussr ~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.1.0/24       anywhere

ussr ~ # brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.0013d39ddc25       no              eth0 // локальные интерфейсы, инет на eth1
                                                        eth2
                                                        tap0
                                                        wlan0

Таблица маршрутизации на рабочем компе.

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1      10.219.0.56     31
       10.219.0.0    255.255.248.0         On-link       10.219.0.56    276
      10.219.0.56  255.255.255.255         On-link       10.219.0.56    276
     10.219.7.255  255.255.255.255         On-link       10.219.0.56    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       10.219.0.56     30
  169.254.255.255  255.255.255.255         On-link       10.219.0.56    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       10.219.0.56    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       10.219.0.56    276

Трейсерт яндекса

C:\Windows\system32>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.203]
с максимальным числом прыжков 30:

  1     5 ms     5 ms     5 ms  C00LM4N_SRV [192.168.1.1]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *       28 ms    29 ms  mtk-105-lag-91.msk.ip.ncnet.ru [77.37.254.198]
  4     7 ms     7 ms     6 ms  m10-cr01-be4-91.msk.ip.ncnet.ru [77.37.254.197]

  5     7 ms     6 ms     6 ms  m10-sr01-po1.msk.ip.ncnet.ru [77.37.254.202]
  6     6 ms     6 ms     6 ms  yandex-ncnet.msk.ip.ncnet.ru [77.37.254.26]
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     9 ms     9 ms     8 ms  87.250.239.87
  9     7 ms     7 ms     8 ms  www.yandex.ru [87.250.250.203]

Трассировка завершена.
»

я тоже не любитель резать

Автор slepnoga, дата создания 6 февраля, 2013 - 18:49.

я тоже не любитель резать icmp на своих TMG - a вот "поднять" трафф с L3/4 дo L7 на проверку протокола - это святое :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Тогда с чего бы был доступ ко

Автор CoolMan, дата создания 7 февраля, 2013 - 08:03.

Тогда с чего бы был доступ ко всем локальным ресурсам в впн-сети?)

»

Апну.На следующий день после

Автор CoolMan, дата создания 13 февраля, 2013 - 09:04.

Апну.
На следующий день после того, как был написан первый пост темы, все взяло и заработало. И дальше тоже работало.
"Ну, может чего переделывали в настройках", - подумал я.
Но пару дней назад явно на TMG'шке заблочили айпишник моего сервера (ибо откликаться он перестал вообще), и мне пришлось на некоторое время его отключить, дабы dhcp выдал серву новый внешний айпи. И история повторяется - впн поднимается, но в инет через него не пускает )

Что интересно, на 192.168.1.1 (локальный адрес сервера) тем же ssh'ем пускает, а на внешний (который в инет светит и для попадания на который надо пройти серверовский NAT) - нет.

Вот такие парадоксы )))

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".