OpenVPN как дать доступ клиентам во внутреннюю локалку? #648188

есть локальная сеть 10.0.100.ххх есть OpenVPN сервер локальный IP 10.0.100.11  VPN IP 10.0.110.1 подключился к VPN, получил IP 10.0.110.3 как настроить доступ из дома на 10.0.100.50 ?

Ты сначала определись какая у тебя всё-таки подсеть - 100 или 110 ?

100 это локальная сеть 110 это сеть VPN

Должны быть правильно заданы маршруты. В частности, на клиенте должен быть маршрут на 100 сеть через 110.1, на шлюзе должны быть маршруты в обе сети, а также на 100.50 должен быть маршрут к 110 сети через 100.11

push route "адрес локальной сети"

это надо в серверном конфиге прописать.

на сервере я прописал push "route 10.0.100.0 255.255.255.0" не работает (

А порт 1194 открыт?

я другой порт пробросил к самому OpenVPN подключился, IP получил, но не вижу локальную сеть за шлюзом вот конфиг сервера port 35900 proto tcp-server dev tap mode server ca C://OpenVPN//keys//ca.crt cert C://OpenVPN//keys//Server.crt key C://OpenVPN//keys//Server.key dh C://OpenVPN//keys//dh1024.pem server 10.0.110.0 255.255.255.0 ifconfig 10.0.110.1 255.255.255.0 route 10.0.110.0 255.255.255.0 route 10.0.100.0 255.255.255.0 push "route 10.0.100.0 255.255.255.0" tls-server client-to-client keepalive 10 120 вот конфиг клиента ifconfig 10.0.110.2 255.255.255.0 dev tap remote 10.0.100.11 remote хх.хх.хх.хх rport 35900 proto tcp-client connect-retry 1 connect-retry-max 605000 # about 1 week resolv-retry 10 nobind tls-client ca C://vpn_keys//ca.crt cert C://vpn_keys//anton_macbook.crt key C://vpn_keys//anton_macbook.key

А сервер физически доступ к сети 10.0.100.0 имеет? Или ты просто маршрут прописал?

сервер физически 10.0.100.11, доступ в сеть 10.0.100.ххх имеет, на роутере до него проброшен порт 35900 из дома подключаюсь OpenVPNом, получаю IP 10.0.110.2, хочу иметь доступ в сеть 10.0.100.ххх например 10.0.100.20

Нарисовать схему сети сможешь? Ну честное слово не понятно, где сервер, где нужная сеть, где дом. ОК?

как то так примерно

Само все делается, если не через Жеппу поставил. у тебя должно быть 2 адреса и доп вирт ТАП адаптер.

А вообще, тут в зависимости от конторы или тебе рубить яйцы или премию, что-ли.. а потом отрубить яйцы.

по существу есть чо сказать?

Впн сервер у тебя поднят на чем? На циске, или на компьютере (какая ось) который в локальной сети 10.0.100.ххх ?

на компе 10.0.100.11  Win 2008

на циске только проброшен порт снаружи до 10.0.100.11

Вот ты в самой винде и добавь маршрут, и все заработает.

Циска тут получается совсем не при чем, т.е она к VPN не касается, она лишь обеспечивает доступ из интернета до VPN сервера.

да

я хочу через 10.0.110.1 попасть в сеть 10.0.100.хх

В винде попробуй route -p add сеть маска шлюз Сеть - твоя локалка Шлюз - сетевуха которая глядит в твою локалку.

у меня дома rote -p add 10.0.102.2 255.255.255.0 10.0.100.11 ? 10.0.102.2  домашний VPN IP 10.0.100.11 локальный IP VPN сервера

пишет route: неверный параметр 10.0.100.11

Не у тебя дома. На сервере. Т.е в командной строке того компьютера, на котором запущен сервер VPN.

на сервере route -p add 10.0.100.11 255.255.255.0 10.0.102.2 пишет route: неверный параметр 10.0.102.2

C:>route -p add 10.0.110.1 255.255.255.0 10.0.100.11 route: неверный параметр 10.0.100.11

на сервере ping 10.0.100.11 идет?

на VPN сервер? так это он и есть 10.0.100.11 )

на 10.0.100.11 стоит VPN сервер

Так давай по порядку - у твоего сервера на котором крутится впн есть сетевая карта которая смотрит в сеть. Какой у нее айпишник? Далее на этом же сервере есть виртуальный адаптер VPN какой у него айпишник? Короче сделай ipconfig на сервере, и давай его вывод сюда.

Да и route print тоже бы неплохо, чтобы номера интерфейсов глянуть.

локальный IP VPN сервера 10.0.100.11 VPN IP VPN сервера 10.0.110.1

Настройка протокола IP для Windows   Имя компьютера  . . . . . . . . . : AD   Основной DNS-суффикс  . . . . . . : kapricci.local   Тип узла. . . . . . . . . . . . . : Гибридный   IP-маршрутизация включена . . . . : Нет   WINS-прокси включен . . . . . . . : Нет   Порядок просмотра суффиксов DNS . : kapricci.local Ethernet adapter Подключение по локальной сети 2:   DNS-суффикс подключения . . . . . :   Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9   Физический адрес. . . . . . . . . : 00-FF-40-ED-70-A3   DHCP включен. . . . . . . . . . . : Да   Автонастройка включена. . . . . . : Да   Локальный IPv6-адрес канала . . . : fe80::a0cf:3862:4b5:17da%15(Основной)   IPv4-адрес. . . . . . . . . . . . : 10.0.110.1(Основной)   Маска подсети . . . . . . . . . . : 255.255.255.0   Аренда получена. . . . . . . . . . : 18 января 2013 г. 22:42:27   Срок аренды истекает. . . . . . . . . . : 18 января 2014 г. 22:42:27   Основной шлюз. . . . . . . . . :   DHCP-сервер. . . . . . . . . . . : 10.0.110.0   IAID DHCPv6 . . . . . . . . . . . : 385941312   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-18-6F-21-80-00-22-4D-51-92-5A   DNS-серверы. . . . . . . . . . . : ::1                                       127.0.0.1   NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Подключение по локальной сети:   DNS-суффикс подключения . . . . . :   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller   Физический адрес. . . . . . . . . : 00-22-4D-51-92-5A   DHCP включен. . . . . . . . . . . : Нет   Автонастройка включена. . . . . . : Да   Локальный IPv6-адрес канала . . . : fe80::edff:d6d7:1ef8:a5cd%11(Основной)   IPv4-адрес. . . . . . . . . . . . : 10.0.100.11(Основной)   Маска подсети . . . . . . . . . . : 255.255.255.0   Основной шлюз. . . . . . . . . : 10.0.100.1   IAID DHCPv6 . . . . . . . . . . . : 234889805   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-18-6F-21-80-00-22-4D-51-92-5A   DNS-серверы. . . . . . . . . . . : ::1                                       127.0.0.1   NetBios через TCP/IP. . . . . . . . : Включен Туннельный адаптер isatap.{8C190691-E1DB-4C4E-8544-D0C2AD5A6383}:   Состояние среды. . . . . . . . : Среда передачи недоступна.   DNS-суффикс подключения . . . . . :   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0   DHCP включен. . . . . . . . . . . : Нет   Автонастройка включена. . . . . . : Да Туннельный адаптер Teredo Tunneling Pseudo-Interface:   Состояние среды. . . . . . . . : Среда передачи недоступна.   DNS-суффикс подключения . . . . . :   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0   DHCP включен. . . . . . . . . . . : Нет   Автонастройка включена. . . . . . : Да Туннельный адаптер isatap.{40ED70A3-4892-4EBB-A88F-374E7A7448BE}:   Состояние среды. . . . . . . . : Среда передачи недоступна.   DNS-суффикс подключения . . . . . :   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0   DHCP включен. . . . . . . . . . . : Нет   Автонастройка включена. . . . . . : Да

Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика          0.0.0.0          0.0.0.0       10.0.100.1      10.0.100.11    266       10.0.100.0    255.255.255.0         On-link       10.0.100.11    266      10.0.100.11  255.255.255.255         On-link       10.0.100.11    266     10.0.100.255  255.255.255.255         On-link       10.0.100.11    266       10.0.110.0    255.255.255.0         On-link        10.0.110.1    286       10.0.110.1  255.255.255.255         On-link        10.0.110.1    286     10.0.110.255  255.255.255.255         On-link        10.0.110.1    286        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306        224.0.0.0        240.0.0.0         On-link       10.0.100.11    266        224.0.0.0        240.0.0.0         On-link        10.0.110.1    286  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306  255.255.255.255  255.255.255.255         On-link       10.0.100.11    266  255.255.255.255  255.255.255.255         On-link        10.0.110.1    286

ip forward включил?

route -p add 10.0.110.0 255.255.255.0 10.0.100.11 попробуй, если нет то давай вывод route print

Точнее так - route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11 попробуй, если нет то давай вывод route print

C:>route -p add 10.0.110.0 255.255.255.0 10.0.100.11 route: неверный параметр 10.0.100.11

Кстати да. Очень даже может быть. Хотя на сервере вроде включена по умолчанию, или нет?

Не, вроде на пользовательской только отключена, на сервере из коробки должна по идее работать.

C:>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11 Запрошенная операция требует повышения.

Дык под админом запусти cmd

C:Windowssystem32>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11 ОК но с домашнего 10.0.110.2   10.0.100.20 не пингуется

попробуй для начала попинговать с домашнего 10.0.100.11 И глянь файервол, он может блокировать между двумя сетями пакеты.

на 2003 по умолчанию выкл. Не знаю, как в 2008.

каспера выгрузил 10.0.100.11 не пингуется ((

Тут что? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersIPEnableRouter ?

Ой блин ошибся у тебя же айпишник на сервере 10.0.110.1 в локалку смотрит? А я написал 10.0.110.11 надо поправить И маршрут удалить И добавить правильный. route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.1

Т.е на сервере route delete 10.0.110.0 mask 255.255.255.0 10.0.100.11 route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.1 А потом ping 10.0.100.1 на домашнем компьютере попробовать.

C:Windowssystem32>route delete 10.0.110.0 mask 255.255.255.0 10.0.100.11 ОК C:Windowssystem32>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.1 ОК но 10.0.100.11 не пингуется (

нет такой буквы в этом слове

Ух... Я чего-то не понял на сервере айпишник который смотрит в локалку 10.0.100.1  или 10.0.100.11 А? А то у тебя в одном листинге один айпишик, а в другом другой

да, на VPN сервере IP  10.0.100.11 и 10.0.110.1

Етить твою за ногу... IPEnableRouter поставь значение 1

10.0.100.1 тоже не пингуется из дома

Это на сервере? Добавь параметр  "IPEnableRouter" , значение 1. Перегрузи сервер, пробуй.

поставил перегружать??

йайа

Перезагружай.

ждем )

И это я запутался. Ежели на сервере выход в локалку  10.0.100.11 то правильным был первый вариант, вертай назад маршрут :)_ route delete 10.0.110.0 mask 255.255.255.0 10.0.100.1 route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11

после ребута маршруты сохраняются?

Ты видимо выложил выводы ipconfig c сервера и с домашнего? Откуда такая путаница?

Должно все без маршрутов работать, если в конфиге сервера есть "пуш роут"

Да ты же ключ -p поставил

с -p - да

Ну да. короче сначала удали маршрут, попробуй доступ, а уж потом если не получится, тогда добавляй.

OpenVPN локально подключился, 10.0.100.1 и 11 не пингутся

удалил route delete 10.0.110.0 mask 255.255.255.0 10.0.100.1 из дома 10.0.100.11 не пингуется

на сервере C:Windowssystem32>route -p add 10.0.110.0 mask 255.255.255.0 10.0.100.11 ОК локально 10.0.100.11 не пингуется (

10.0.110.1  пингуешь?

нифига ((

блин нет((( но вчера работало! я по RDP заходил на него!

покажь лог впн-подключения

Что значит "локально 10.0.100.11 не пингуется" Из дома не пингуется? или на сервере не пингуется 10.0.100.11 ???

из дома, когда VPN подключен, на сервер он сам себя пингует конечно

Tue Jan 22 00:04:26 2013 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011 Tue Jan 22 00:04:26 2013 WARNING: No server certificate verification method has been enabled.  See for more info. Tue Jan 22 00:04:26 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Tue Jan 22 00:04:26 2013 TAP-WIN32 device [Подключение по локальной сети 6] opened: \.Global{8FCE2E01-08CF-4590-A493-263EC5AA969C}.tap Tue Jan 22 00:04:26 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.110.2/255.255.255.0 on interface {8FCE2E01-08CF-4590-A493-263EC5AA969C} [DHCP-serv: 10.0.110.0, lease-time: 31536000] Tue Jan 22 00:04:26 2013 Successful ARP Flush on interface [28] {8FCE2E01-08CF-4590-A493-263EC5AA969C} Tue Jan 22 00:04:26 2013 Attempting to establish TCP connection with 10.0.100.11:35900 Tue Jan 22 00:04:47 2013 TCP: connect to 10.0.100.11:35900 failed, will try again in 1 seconds: Connection timed out (WSAETIMEDOUT) Tue Jan 22 00:04:47 2013 SIGUSR1[soft,init_instance] received, process restarting Tue Jan 22 00:04:48 2013 WARNING: No server certificate verification method has been enabled.  See for more info. Tue Jan 22 00:04:48 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Tue Jan 22 00:04:48 2013 TAP-WIN32 device [Подключение по локальной сети 6] opened: \.Global{8FCE2E01-08CF-4590-A493-263EC5AA969C}.tap Tue Jan 22 00:04:48 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.110.2/255.255.255.0 on interface {8FCE2E01-08CF-4590-A493-263EC5AA969C} [DHCP-serv: 10.0.110.0, lease-time: 31536000] Tue Jan 22 00:04:48 2013 Successful ARP Flush on interface [28] {8FCE2E01-08CF-4590-A493-263EC5AA969C} Tue Jan 22 00:04:48 2013 Attempting to establish TCP connection with 81.211.2.230:35900 Tue Jan 22 00:04:48 2013 TCP connection established with 81.211.2.230:35900 Tue Jan 22 00:04:48 2013 TCPv4_CLIENT link local: [undef] Tue Jan 22 00:04:48 2013 TCPv4_CLIENT link remote: 81.211.2.230:35900 Tue Jan 22 00:04:50 2013 WARNING: 'ifconfig' is present in local config but missing in remote config, local='ifconfig 10.0.110.0 255.255.255.0' Tue Jan 22 00:04:50 2013 [Server] Peer Connection Initiated with 81.211.2.230:35900 Tue Jan 22 00:04:56 2013 Initialization Sequence Completed

Упс... А дома у тебя какой айпишник локальный? Случайно не из сети 10.0.100.xxx ?

Было такое на винде. Пока не переставил впн - не работало. Симптомы такие же. Вчера все норм - сегодня - не работает. Хочешь - попробуй.

к

дома у меня 10.0.110.2

Попробуй на домашнем компьютере прописать route -p add 10.0.110.0 mask 255.255.255.0 10.0.110.3

стоп не пробуй

дома у тебя два адаптера локальный - какой адрес впн - какой адрес

парни, спасибо за участие! но я спать ) довайте завтра продролжим

ок, это дело нужное, четыре часа ночи блин, а завтра еще работать надо.

таки переставь впн на клиенте, если win7, в конфиге посмотри route method exe и route delay2