1 (31.08.2014 12:49:20 отредактировано kokos10111)

Настроен сервер Openvpn на debian и клиент на Windows. При подключении клиент получает адресс 10.8.10.2, но не пингуется ip сервера 10.8.10.1  и в обратную сторону тоже нет пинга..... антивирус и брэндмауэр на винде отключены

конфиг клиента на Windows

client
dev tap
proto udp
remote 11.11.11.11 1195
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
ca c:\\keys\\ca.crt
cert c:\\keys\\client1.crt
key c:\\keys\\client1.key
ns-cert-type server
comp-lzo
verb 3

конфиг сервера

#mode server
local 11.11.11.11.
port 1195
proto udp
dev tap1
ca /etc/openvpn/keys/server/ca.crt
cert /etc/openvpn/keys/server/server.crt
key /etc/openvpn/keys/server/server.key
dh /etc/openvpn/keys/server/dh1024.pem
cipher AES-256-CBC
server 10.8.10.0 255.255.255.0
#push "redirect-gateway"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo no
#user nobody
#group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
client-to-client
#client-config-dir /etc/openvpn/ccd

скрипт фаерволла

#!/bin/bash
# Тут в принципе может и не надо этого всего но не помеха вдруг какой модуль не подгружен или форвардинг не включен
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

# Объявление переменных
export IPT="iptables"

# Интерфейс который смотрит в интернет
export WAN=eth1

# Локальная сеть
export LAN=eth0
export LAN_IP_RANGE=192.168.0.0/24

# Канал OpenVpn до офиса
export VPNC=tap0
#export LAN_IP_RANGE=10.8.1.0/24

# Канал OpenVpn сервера
export VPNS=tap1
#export LAN_IP_RANGE=10.8.10.0/24

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Закрываем изначально ВСЁ (т.е. изначально все что не разрешено - запрещено): DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback и внутренней сети
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A INPUT -i $VPNC -j ACCEPT
$IPT -A INPUT -i $VPNS -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT
$IPT -A OUTPUT -o $VPNC -j ACCEPT
$IPT -A OUTPUT -o $VPNS -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для новых, а так же уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный обмен данными становится не возможным.
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Разрешаем доступ из внутренней сети наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT

# Маскардинг
$IPT -t nat -A POSTROUTING -o $WAN -s $LAN_IP_RANGE -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $WAN -s $LAN_IP_RANGE -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $VPNC -s $LAN_IP_RANGE -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $VPNS -s $LAN_IP_RANGE -j MASQUERADE
$IPT -t nat -A POSTROUTING -d 10.8.1.1/24 -s $LAN_IP_RANGE -j MASQUERADE
$IPT -t nat -A POSTROUTING -d 10.8.10.1/24 -s $LAN_IP_RANGE -j MASQUERADE
$IPT -t nat -A POSTROUTING -d 10.8.10.2/24 -s $LAN_IP_RANGE -j MASQUERADE

$IPT -L

2 (01.09.2014 10:57:08 отредактировано AntiduPb)

А без iptables пингуется? У нас была проблема с провайдером - фильтровал VPN трафик. Причем провайдер сам того не знал  ag

Конечно, это работает в Gentoo!

3

kokos10111 пишет:

и клиент на Windows

Клиент запущен от имени администратора?