Показано с 1 по 10 из 10

Тема: клиенты openVPN сервера не видят друг друга

  1. #1
    Пользователь
    Регистрация
    09.10.2014
    Адрес
    Киров
    Сообщений
    735

    По умолчанию клиенты openVPN сервера не видят друг друга

    Доброго времени
    Проконсультируйте пож, кто в теме
    VPN сеть. Клиенты, подключены к серверу - статус активен, но друг друга не видят - пинги не проходят.

    лог сервера:

    OpenVPN CLIENT LIST
    Updated,Wed Apr 06 14:01:12 2022
    Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
    client1,aaa.aa.116.17:62415,10676,6650,Wed Apr 06 13:59:27 2022
    DMOSK,aaa.aa.116.17:33981,4355,5385,Wed Apr 06 14:00:12 2022
    ROUTING TABLE
    Virtual Address,Common Name,Real Address,Last Ref
    10.1.0.6,DMOSK,aaa.aa.116.17:33981,Wed Apr 06 14:00:12 2022
    10.1.0.10,client1,aaa.aa.116.17:62415,Wed Apr 06 13:59:27 2022
    GLOBAL STATS
    Max bcast/mcast queue length,2
    END


    конфиг сервера:

    ort 1194
    proto udp
    dev tun
    dev-node "VPN server"
    dh "C:\\Program Files\\OpenVPN\\ssl\\dh.pem"
    ca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt"
    cert "C:\\Program Files\\OpenVPN\\ssl\\cert.crt"
    key "C:\\Program Files\\OpenVPN\\ssl\\cert.key"
    server 10.1.0.0 255.255.255.0
    max-clients 32
    keepalive 10 120
    client-to-client
    compress
    ncp-disable
    fast-io
    cipher AES-256-CBC
    persist-key
    persist-tun
    status "C:\\Program Files\\OpenVPN\\log\\status.log"
    log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
    verb 4
    mute 20


    конфиг клиентa:

    #windows openvpn client config
    client

    dev tap
    proto udp


    remote bbb.bbb.236.47 1194
    server-poll-timeout 10

    server-poll-timeout 10
    resolv-retry infinite

    nobind

    persist-key
    persist-tun

    ca ca1.crt
    cert client1.crt
    key client1.key

    ns-cert-type server
    cipher AES-256-CBC

    ;auth none

    verb 3
    mute 2

    comp-lzo yes
    explicit-exit-notify
    dhcp-renew
    dhcp-release

    один из клиентов - ноут, другой - ПЛК210

    буду признателен за помощь

  2. #2
    Пользователь
    Регистрация
    27.11.2011
    Адрес
    Краснодар
    Сообщений
    10,583

    По умолчанию

    Клиенты не общаются между собой?

    Ищите настройку, разрешающую общаться клиентам. Правда она может работать при определенных настройках сети. Давно не занимался openVPN

    А, возможно еще нужно чтобы поднимались маршруты на автомате. Вижу у вас client_to_client но этого несколько недостаточно

    Не смог найти на рабочем пк. Попробую дома глянуть... В настройках openVPN есть возможность передавать маршруты со стороны сервера клиенту, а так же поднимать маршруты на клиентах при запуске VPN.
    Так же на сервере должен быть настроен firewall, разрешающий хождение между сетями (на Linux точно приходилось настраивать) чтобы клиенты могли общаться между собой.
    Последний раз редактировалось melky; 06.04.2022 в 17:00.

  3. #3
    Пользователь
    Регистрация
    09.10.2014
    Адрес
    Киров
    Сообщений
    735

    По умолчанию

    Спасибо за оперативный ответ
    итак, по пунктам:
    1. "Клиенты не общаются между собой?" - да, именно Один из клиентов- ноут, другой-ПЛК210 На сервере вижу присутствие обоих, но пинга нет, даже до сервера..
    2. "Ищите настройку, разрешающую общаться клиентам" - знать бы, где эта волшебная кнопка.. сегодня чего только не перепробовал - не помогло
    3. "А, возможно еще нужно чтобы поднимались маршруты на автомате. Вижу у вас client_to_client но этого несколько недостаточно" - наверно так и есть, но где поправить - непонятно. В моем понимании маршруты в пределах одной сети не нужны, но могу ошибаться. Возможно дело в изоляции клиентов, по крайней мере на роутере видел такую галочку.
    На сегодня идеи кончились )

  4. #4
    Пользователь
    Регистрация
    27.11.2011
    Адрес
    Краснодар
    Сообщений
    10,583

    По умолчанию

    SA104 не совсем так. Сам openVPN разрешает общаться клиентам - параметр client-to-client НО, фактическое соединение между узлами идет как точка-точка. Я не помню, возможно ли в такой ситуации заставить работать, не разбирался.
    Я настраивал сеть таким образом, что сервер имел адрес 10.0.0.1 а клиенты 10.0.0.2, 10.0.0.3 и так далее. Это тоже возможно, тогда у вас одна сеть как бы.
    Далее если ЗА клиентом есть сеть, например у вас сервер и клиенты это роутеры, необходимо, чтобы сервер передал маршрут на сеть за собой, и поднял все маршруты на сети за клиентами. Но у вас просто клиенты, то есть достаточно разрешить в firewall разрешить хождение между интерфейсами клиентов. То есть на сервере будут подниматься интерфейсы TUN или TAP в зависимости от настроек. Соответственно firewall должен разрешать хождение пакетов между любыми tun или tap и не блокировать их.

    Сам по себе openVPN не выполняет никаких функций firewall, это просто надо понимать.

    Поищу дома в записях настройки сервера и клиентов... Если не забуду.

  5. #5
    Пользователь
    Регистрация
    09.10.2014
    Адрес
    Киров
    Сообщений
    735

    По умолчанию

    " сервер имел адрес 10.0.0.1 а клиенты 10.0.0.2, 10.0.0.3 " - у меня так и есть, только адреса чуть другие
    фаервола нет - сервер поднят на машине в облаке, даже не знаю виртуальная она или "железная"
    стоит система windows server 2012 R2
    практически голая , только сервер и повесил
    чем то бы проследить, где пакет пропадает
    но почему то думается, что именно на сервере затык

  6. #6
    Пользователь
    Регистрация
    27.11.2011
    Адрес
    Краснодар
    Сообщений
    10,583

    По умолчанию

    Если в облаке, то может и провайдер рубить... И что значит нет Firewall ? нет Windows Brandmauer или как там бишь его? Если он просто выключен, это не значит что оно не работает, насколько помню для частных сетей надо настраивать...

    А с клиента отсутствует пинг на сервер? таки icmp надо на сервере включить, чтобы он пинговался ну и icmp должны быть включены и на клиентах так же.
    Последний раз редактировалось melky; 06.04.2022 в 17:44.

  7. #7
    Пользователь
    Регистрация
    09.10.2014
    Адрес
    Киров
    Сообщений
    735

    По умолчанию

    брандмауер выключил отдельно для каждой группы сетей - всего 3 кнопки там в настройках
    что такое icmp и как его включать - хз, я не айтишник, так нахватался немного по верхушкам
    Нашел любопытную утилиту - patchping, что то вроде пинга с трассировкой

    C:\Users\acer>pathping 10.1.0.6 (это VPN ПЛК210)

    Трассировка маршрута к 10.1.0.6 с максимальным числом переходов 30

    0 DESKTOP-7GERFOR [ххх.ххх.192.38] (ноут с клиентом VPN)
    1 ххх.ххх.192.1 (роутер)
    2 хх.ххх.114.93 (внешний IP ?)
    3 * * *
    Подсчет статистики за: 50 сек. ...
    Исходный узел Маршрутный узел
    Прыжок RTT Утер./Отпр. % Утер./Отпр. % Адрес
    0 DESKTOP-7GERFOR [192.168.192.38]
    0/ 100 = 0% |
    1 3мс 0/ 100 = 0% 0/ 100 = 0% ххх.ххх.192.1
    0/ 100 = 0% |
    2 3мс 0/ 100 = 0% 0/ 100 = 0% ххх.ххх.114.93

    Трассировка завершена.

    Если я правильно понимаю, то все ОК - потерь нет?
    Но почему тогда пинг не проходит..

  8. #8
    Пользователь
    Регистрация
    09.10.2014
    Адрес
    Киров
    Сообщений
    735

    По умолчанию

    А с клиента отсутствует пинг на сервер? - нет

  9. #9
    Пользователь
    Регистрация
    27.11.2011
    Адрес
    Краснодар
    Сообщений
    10,583

    По умолчанию

    Посмотрите в нете как включить icmp
    з.ы. если брендмауэр выключен полностью, не факт что будут проходить пакеты, сталкивался уже с таким. Надо именно в нем разрешать. С чем связано не знаю, сам не IT шник.
    По принципу, если в системе изначально на что-то нет разрешения то отключения firewall не приводят ни к чему... его как не было (разрешения) так и не будет.
    Например это относится к разрешению пакетов между интерфейсами...
    Последний раз редактировалось melky; 07.04.2022 в 11:59.

  10. #10
    Пользователь
    Регистрация
    27.11.2011
    Адрес
    Краснодар
    Сообщений
    10,583

    По умолчанию

    Вот мои старые мытарства по настройке одного из роутеров iRZ, там есть файл с описанием что, куда и зачем.

    Единственное, смотрите на маршруты, у меня там были маршруты сквозь клиента на сеть за ним. Вам это по идее не потребуется.

    Пример настройки сервера
    Код:
    port 1194
    proto udp
    dev tun0
    
    ca "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\ca.crt"
    cert  "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\server.crt"
    key "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\server.key"
    dh "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\dh1024.pem"
    
    topology subnet
    route-method exe
    server 10.8.0.0 255.255.255.0
    
    route 10.8.0.0 255.255.255.0
    route-gateway 10.8.0.1
    
    ifconfig-pool-persist ipp.txt #server option
    
    script-security 3
    
    client-config-dir "c:\\Program Files (x86)\\OpenVPN\\config\\ccd"
    route 192.168.1.0 255.255.255.0 10.8.0.2
    
    client-to-client
    
    keepalive 5 60
    
    cipher BF-CBC        # Blowfish (default)
    ;cipher AES-128-CBC   # AES
    ;cipher DES-EDE3-CBC  # Triple-DES
    
    comp-lzo
    
    persist-key
    persist-tun
    
    status openvpn-status.log
    
    ;log         openvpn.log
    
    verb 3
    На сервере файлы для клиентов (маршруты на сервере поднимаются при подключении клиентов по идее)
    Код:
    ifconfig-push 10.8.0.2 255.255.255.0
    push "route 10.8.0.0 255.255.255.0"
    push "route 192.168.0.0 255.255.255.0"
    push "route-gateway 10.8.0.1"
    iroute 192.168.1.0 255.255.255.0
    У вас в конфиге нет параметра topology subnet
    без него по идее будет точка точка и надо выделять по 4 ip адреса на сеть. Сервер, шлюз, широковещательный адрес и адрес клиента.
    Вложения Вложения
    Последний раз редактировалось melky; 07.04.2022 в 13:12.

Похожие темы

  1. MB110-224.8A и взаимное влияние входов друг на друга
    от kfvniiz в разделе Эксплуатация
    Ответов: 1
    Последнее сообщение: 23.11.2021, 01:17
  2. Мультимониторные клиенты для MasterScada 4D
    от user6422 в разделе Master SCADA 4D
    Ответов: 1
    Последнее сообщение: 24.12.2018, 14:15
  3. Ответов: 2
    Последнее сообщение: 30.09.2015, 10:57
  4. ПЧВ 203 на 7,5кВт и ПЛК100 в 100мм друг от друга
    от Oak в разделе Подбор Оборудования
    Ответов: 1
    Последнее сообщение: 21.06.2015, 22:54
  5. Ответов: 5
    Последнее сообщение: 16.10.2014, 15:02

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •