Главная » Форум » Gentoo Linux » Системное администрирование

Странная ерунда с openvpn [SOLVED]

joker79 4 октября, 2013 - 10:32

Конечно не совсем по генте - у мну зоопарк, но генточка есть тоже :)

Предистория:
Надо завязать много компов разбросанных по интернету в vpn сеть. При этом сервер(бубунта) за роутером(Zyxel p660ru2), у которого (роутера) белый ИП и проброс порта на сервер.
конфиг сервера:

server 10.10.0.0 255.255.255.0
proto udp
dev tun.pos
port 12233
comp-lzo yes

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem

tls-auth /etc/openvpn/keys/ta.key 0

keepalive 30 300

ifconfig-pool-persist ipp.txt

float
persist-tun
persist-key

verb 0
log /var/log/openvpn.log
status openvpn-status.log

Остальные клиенты - просто за роутерами(конфиги одинаковые кроме ключей). 

client
remote IP_сервера
port 12233
dev tun.pos
comp-lzo yes
proto udp

ca /etc/openvpn/keys.client/ca.crt
cert /etc/openvpn/keys.client/pos2.crt
key /etc/openvpn/keys.client/pos2.key

tls-auth /etc/openvpn/keys.client/ta.key 1

keepalive 30 300

float

verb 6
log /var/log/openvpn.log

А теперь - непонятная магия:
Клиент 1(calculate linux) - подключается постоянно, отлично (роутер с 3G модемом)
Мой ноут(gentoo) - в сети клиента 1 - тоже стабильно (вроде, но точно пашет)
Мой ноут(gentoo) - в домашней сети - часто стабильно но, например, сегодня было часа 2 когда не подсоединялся, при этом openvpn я перезапускал и на сервере и на клиенте несколько раз.(тут стоит сказать что все время с моего ноута поднята ssh сессия на сервер)
Клиент 2(calculate linux) - в домашней сети - вообще не подключается (пробовал как с ключами ноутбука так и с сгенерированными персонально для него)

Если смотреть tcpdumpq-ом, то Клиент 2 пакеты отправляет (вроде такие же как и моя бука), но на сервере их нет. (Остальные - есть)

Соответственно, бродят мысли что режет какой то из роутеров, но как проверить какой? И почему, тогда, мой бук то ходит то не ходит?

Если кто-нибудь сможет подкинуть дельную мысль - буду благодарен

‹ e1000e: eth0 NIC Link is Down [Решено] медленное восстановление дампа - mysql ›
»

Мало информации для точного

Автор nikma, дата создания 4 октября, 2013 - 18:01.

Мало информации для точного вердикта.
Добрый совет: исключи Zyxel p660ru2 из процесса роутинга и подымай pppoe сессию на сервере. Ну и роутинг со всем остальным на нём соответственно.

»

не получится... нечем адсл

Автор joker79, дата создания 4 октября, 2013 - 20:07.

не получится... нечем адсл завести на сервер, разве что зуксель завести как модем... но там у народа уже сложившаяся сеть и ее не хотелось бы лишний раз дергать

А с такой структурой как проверить, мыслей нет?

"Задавать вопросы имеет смысл только после того, как окончательно убедился, что сам ответ не найдешь. То есть очень, очень редко." (с) сэр Джуффин Халли, Начальник Тайного Сыска

»

запустилось!!! разгадка была

Автор joker79, дата создания 6 октября, 2013 - 15:30.

запустилось!!!

разгадка была в опции nobind, хотя я и не совсем понимаю почему. Может кто объяснит? 

      --nobind
              Do not bind to local address and port.  The IP stack will  allo‐
              cate  a  dynamic port for returning packets.  Since the value of
              the dynamic port could not be known in advance by a  peer,  this
              option  is only suitable for peers which will be initiating con‐
              nections by using the --remote option.

"Задавать вопросы имеет смысл только после того, как окончательно убедился, что сам ответ не найдешь. То есть очень, очень редко." (с) сэр Джуффин Халли, Начальник Тайного Сыска

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".