Problém s OpenVPN - nefuguje routování
Zdravím Vás všechny a žádám o pomoc, mám následující problém:
Na počítači, kde je Windows7 Professional mám nainstalovaný OpenVPN server. V modemu Zyxel Prestige p-600 series mám samozřejmě povolený port 1194 na připojení k VPN serveru, ve statické routě mám jako destination IP 10.10.1.0 (adresa VPN serveru), jako GW 10.0.0.100 (adresa serveru s win7) a masku 255.255.255.0, tohle pravidlo by melo způsobit to, abych ze svého PC ze kterého se přiopojím na ten PC, kde je win7 s opnVPN serverem mohl pres vzdálenou plochu rovnou na ostatní počítače v síti, což mi bohužel nefunguje.
VPNka se mi na server spojí bez problému, bohužel si ale pingnu pouze na server, ktery ma tu IP 10.0.0.100 a na modem, který má 10.0.0.138. Na ostatní počítače v síti si prostě nepingnu ani náhodou, firewal mam na všech vypnutý. Zkoušel jsem úpravu registrů, co jsem si tak vygooglil, jako je například změna IPEnableRouter na hodnotu 1, do konfiguráků jsem si přidal i route method-exe ale stále mi to nejde. Nevíte prosím Vás někdo, co s tím? Děkuji mnohokrát
Remote Desktop Port number 3389
Tím to není, ten mám povolený na ten server, abych se na něj v případě pádu VPN serveru mohl přihlásit přes RDP, takže když už je jednou otevřenej na tu adresu serveru, tak ho znovu nemůžu pustit na adresu dalších 5 PC, které jsou v síti se serverem. Navíc i kdyby to pomohlo, tak mi to určitě nerozběhne ten ping, kterej mi nefunguje, problém je asi někde v routování...
Remote Desktop a prístup na " ostatní počítače v síti" sú dva totálne odlišné veci.
Aby som to prirovnal. Niečo podobné ako siahnuť na šálku kávy na stole a vypiť si ju a dívať sa na šálku kávy v televizi.
Napsal jsem to zmateně, zkrátka nejde RDP na žádný PC kromě serveru, pingnu si na server a na modem, jinam ani náhodou
Nevíte někdo co s tím? Jsem z toho už zoufalej....:(
hm? Máš v tom nějaký bordel, jak můžeš mít gateway z jiného subnetu, než je síť VPN? Aha?
Gateway musí být IP adresa VPN rozhraní na serveru.
V tom by to mohlo být...jak by teda měla vypadat správně ta routa, když destination IP mam tu, kterou jsem psal v popisu problému?
Na serveru mám lokální IP 10.0.0.100 a adresa VPN na serveru je 10.10.1.1
Ale když o tom teď tak přemýšlim, tak kdyby ta routa byla nesmysl, tak by mi nefungovalo routování na ten modem a to funguje, když jí vypnu, tak se na něj nedostanu a když jí zapnu tak zase jo, takže evidentně tam je asi správně...
Poradim ti. Instalni si Wireshark na ten server a kukaj co, kde a kam chodi/nechodi.
Mozno prides na riesenie rychlejsie ako mi bez toho aby sme u toho sedeli.
Jojo to jsem taky zkoušel právě a zdá se mi, že všechno chodí kam má, respektivě já nepoznam co by mělo být špatně...
V tom pripade bude pre tych co tuna radia iste lepsie ak nakreslis "network topology" a hodis na to odkaz. Hodil by sa tiez vypis routovacich ciest routra, servera a konfigurak z VPN servera.
Network topology je asi taková, že je modem od o2, kterej má v zadu 4 lan porty a z každýho vede kabel do PC, včetně serveru. Kromě integrovanýho firewallu už v cestě žádnej není.
Konfigurák serveru:
# server
mode server
# tls jako server
tls-server
# nastavi zarizeni
dev tap0
# port, 1194 = default
port 1194
# protokol, tcp/udp
proto tcp-server
# adresa serveru
ifconfig 10.10.1.1 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route-gateway 10.10.1.1"
# rozsah adres pro klienty
ifconfig-pool 10.10.1.20 10.10.1.100 255.255.255.0
# soucasne prihlaseni vice klientu
duplicate-cn
client-to-client
keepalive 10 120
# certifikat certifikacni autority
ca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"
# certifikat serveru
cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\server.crt"
# klic serveru
key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\server.key"
# parametry pro Diffie-Hellman protokol
dh "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
# komprese prenasenych dat
comp-lzo
route-method exe
route-delay 2
# logy serveru
#log-append openvpn.log
Konfigurák klienta:
# rezim client
client
# definujeme rozhrani TAP (stejne jako na serveru)
dev tap
# definujeme protokol
proto tcp
# Zde zadejte adresu sveho serveru
remote 90.178.122.45 1194
# Pokud mate Dial-up, tohle je velmi dobry parametr
resolv-retry infinite
# definujeme, ze neni treba navazat se k specifickemu lokalnimu portu
nobind
pull
# Pro ne-Windows klienty muzete snizit po pripojeni privilegia
;user nobody
;group nobody
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# bezdratove site velmi casto opakuji nektere pakety. Workaround.
mute-replay-warnings
# SSL/TLS nastaveni. certifikat serveru/autority a certifikat a klic klienta
ca "C:\\Program Files (x86)\\OpenVPN\\config\\keys\\firma\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\keys\\firma\\uzivatel.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\keys\\firma\\uzivatel.key"
# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# howto.html
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server
# TLS autentikace na strane klienta
#tls-auth "C:\\Program Files (x86)\\OpenVPN\\config\\keys\\firma\\ta.key" 1
route-method exe
route-delay 2
# Komprese datoveho toku
comp-lzo
# Mira ukecanosti logu
verb 3
Routovací tabulky:
1, destination:10.10.1.0 gateway 10.0.0.100 mask 255.255.255.0
2, destination:10.10.0.0 gateway 10.0.0.138 mask 255.255.255.0
Server mi ukazuje ze adresa vpn je 10.10.1.1 a jeho lokální adresa je 10.0.0.100
Firewall na serveru je vypnutý, myslím ten windowsáckej, jinej tam neni a v natu mam povolenej port 1194 pro spojeni k vpn serveru
Mám sem dát ještě něco? Díky moc.
Este jednu otazocku. Ty to skusas odkial?
Z VPN klienta, ktory je niekde na Internete, alebo z lokalnej siete kde mas aj VPN server?
Zkouším to samozřejmě z VPN klienta z internetu, z lokální sítě se na vpn server nepřipojím vůbec...
jako síťový analfabet se nechci moc ztrapnit, ale tyhle modemy od O2 v default nastavení mají jen dva porty dedikované pro PC , jeden pro O2 TV a jeden už nevím na co
no a ještě taková vyhryzovačská otázka: ty počítače v tvé síti "VĚDÍ", kde je síť té VPNky? Předpokládám, že ten Winbox není default router, ale je jím DSL router. A vsadím se, že v něm jsi routu do sítě VPN s cílem na ten Win7 "server" nepřidával...
Přesně tak, default router je DSL router a jak by měla vypadat ta routa o které mluvíš?
branou do site rozsahu VPN klientu musi byt IP adresa VPN serveru
Takže tu routu mam špatně?
Mam mít teda routu takhle?
destination:10.10.1.0 gateway 10.10.1.1 mask 255.255.255.0
Ne. Do DSL routeru musíš (logicky) přidat statickou routu
10.10.1.0/24 gw 10.0.0.0.100 (tedy směrovat VPN subnet 10.10.1.0/24 na IP adresu VPN serveru)
ta routa, cos vypsal, vůbec nemá smysl. Proč definovat směrovač pro vlastní subnet?
Ale to já přece mám, je to o pár příspěvků výše uvedeno, mám to teď momentálně takhle:
destination:10.10.1.0 gateway 10.0.0.100 mask 255.255.255.0
A to je správně ne? Psal jsem to už na začátku, že to tak mám
Uz ti to pisal myslim tw, nemozes mat gw v inom rozsahu ako mas ip a ty tam mas /24 rozsah a branu davas z ineho subnetu. Tu routu mas zle.
myslím, že tu dochází ke zmatení několika věcí:
1. routovací tabulka v default routeru (10.10.1.0/24 směr 10.0.0.100)
2. routovací tabulka na VPN serveru (routy do min. tří subnetů - 10.0.0.0/24, 10.10.1.0/24 a 0.0.0.0/0)
3. routovací tabulka na VPN klientech (správně je default na 10.10.1.0)
Vůbec teď nevím jak to myslíš, jsem z toho fakt zmatenej už taky
...mohl by jsi mi napsat, jak to mám mít v tom mém pořadí?
Destination, Gateway a MASK? A hlavně kolik těch rout tam mám mít? Díky moc, já tohle fakt moc nedávám...
takže:
1. v DSL routeru musí být statická routa pro 10.10.1.0 maska 24 bitů, gateway 10.0.0.100
2. ve VPN serveru musí být routy pro 10.10.1.0/24 (maska 24 bitů, tj. 255.255.255.0), gateway 10.10.1.1, dále pro 10.0.0.0/24 gw 10.0.0.100 a 0.0.0.0/0 gw 10.0.0.138 (aneb výchozí routa). (tyto tři by měly vzniknout automaticky s rozhraními)
3. každý VPN klient by měl mít pushnutou defaultní routu pro směr 0.0.0.0/0 gw 10.10.1.0
Pokud se klienti nacházejí v síti, jejíž subnet se shoduje se subnety z VPN, nebo vzdálené sítě, je jasné, že to nebude fungovat bez NATu. I proto bych ti doporučil změnit rozsah tvé LAN z hodně používaného 10.0.0.0/24 na nějaký jiný, např. 10.1.0.0/24
Maska 24 bitů se rozumí co prosím Tě? Díky a půjdu to zkusit
255.255.255.0 = /24, mas to napisane aj hore vyssie v prispevku, na ktory reagujes. Staci citat co ti ludia pisu.
Bod1 je jasnej ten mám, jak jsem psal výše
Bod2, mám taky ten vznikl přesně jak píšeš automaticky
Bod3, mám taky
Tak proč mi to nefunguje? Jsme fakt zoufalej, všechny rady, které jste mi daly mám a stejně to nechodí...:(
Jak si podrobneji procitam.. vyzkousej jeden teoreticky pokus:
nastav na pocitac, na ktery se chces dosta pevnou routu pro tu VPN sit, aby primo vedel, ze sit VPNky je schovana za adresou 10.0.0.100.
Jestli ti to projde, pak je bud chyba v routru, ktery nevysila ke klientu ICMP "spatna routa, oprav si to", nebo je zapnuty windows firewall, ktery tentyz paket klidne zahodi, aniz by mel ucinnek na system.
Routa by měla být správná ne? To co mi sem všichni napsali, tak tam mám, takže v tom to asi nebude a windows firewall mám všude povypínanej, takže tím to taky nebude asi
JR ti doporučuje, abys na jednom z těch PC, na které se nemůžeš dopingat buď vypnul firewall (což může být ten problém, neboť se do nich dobýváš z jiného subnetu A ZÁROVEŇ tentýž firewall může blokovat ICMP redirect pakety), NEBO si do něj nastavil totožnou statickou routu jako na DSL routeru (tím se vyhneš případným problémům se zahazováním ICMP redirect)
Diky moc! Prikaz route add 10.10.1.0 mask 255.255.255.0 10.0.0.100 vyresil muj problem, uz mi to routuje, ani nevite jak moc jste mi pomohli
...co z toho ale pro me plyne? Spatnej modem? Mam koupit jinej nebo do nej neco dopsat??
V zásadě se jedná o to, že ti nefunguje správně defaultní router (tj. DSL router). Tedy bys měl:
1. zkontrolovat, že opravdu obsahuje ručně vytvořenou routu na VPN síť (viz výše) a že je tato routa aktivní (některá zařízení mohou vyžadovat restart). Testovat ideálně na PC s nenainstalovaným firewallem.
2. zkontrolovat a popř. správně přenastavit konfiguraci firewallů na jednotlivých PC
3. pokud není průchodný ani jeden z výše uvedených bodů, budeš muset tuto routu nastavit ručně na všech PC.
Nechapem ako mu mohol windows dovolit pridat takuto routu, ked je to blbost.
Hlavne, ze to funguje
proč by to měla být blbost? Je to nasměrování na jiný router..
viz R2:
http://pc.poradna.net/a/view/308346-jak-diagnostik ujeme-a-resime-problemy-se-sitovymi-pripojenimi-di l-ii-routing-smerovani
Asi si dam pauzu kusek, uz mi to nemysli.
A co z toho teda pro me plyne, kdyz mi to po pridani te routy funguje? Mam koupit jiny router nebo do nej pridat nejake routy?
co z tohoto http://pc.poradna.net/q/view/593860-problem-s-open vpn-nefuguje-routovani?page=r594797#r594797 jsi zkontroloval?
Kdyz do kazdeho PC pridam tu routu o ktere jsem psal tak to funguje, nemůžu je teď restartovat, ale předpokládám, že po restartu ta routa kterou jsem přidal ručně zmizí že?
podivej se do napovedy programu (napis proste jen route) a najdi si parametr, jak to pridat trvale
Jojo presne neco takovyho mam na mysli, takze v prikazovym radku nejak pujde v tech klientech pridat natrvalo routu jo? Dnes jsem si pujcil jinej modem a s nim to routuje i bez tohohle pridani, je to fakt divny...
Neni divny. Proste mas smejd router.
A jak by ta routa mela vypadat?
jo, všiml jsem si až teď. Už jsem se v tom taky ztratil.