Владимир, а вы писали, что у вас тоже tap >> VS> У меня без них работает и тот же tap используется а конфиг привели с tun. НО меня интересует именно tap Я хочу чтобы клиент получал IP от внутрисетевого DHCP, клиент подключается и работают как будто в офисе. Почему и выбрал tap. С текущей конфигурацией клиент дальше самого VPN сервера ничего не пингует. Вроде роутинг не надо... ведь у меня бридж.
port 1194 mode server tls-server ca ca.crt cert mail.crt key mail.key # ñåêðåòíûé ôàéë dh dh1024.pem # Since we specified the tls-auth for server, we need it for the client # note: 0 = server, 1 = client tls-auth ta.key 0 proto tcp-server persist-key persist-tun #bridging directive dev tap0 ## If you need multiple tap devices, add them here up "/etc/openvpn/up.sh br0 tap0 1500" down "/etc/openvpn/down.sh br0 tap0" server-bridge #server-bridge 192.168.5.1 255.255.255.0 192.168.5.100 192.168.5.199 client-to-client # êîìàíäû íèæå ìîãóò íàçíà÷èòü øëþçîâàíèå âñåãî òðàôèêà êëèåíòà ÷åðåç VPN push "dhcp-option DNS 192.168.5.4" push "dhcp-option WINS 192.168.5.9" #route-method exe #route-delay 5 push "route-gateway 192.168.5.1" push "redirect-gateway" keepalive 10 120 VS> 15.01.2014 16:52, Роман пишет: >> Вот это правило прокатило. >> >> iptables -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT >> >> iptables -A INPUT -i tap+ -j ACCEPT >> iptables -A FORWARD -i tap+ -j ACCEPT >> >> Можете кинуть мне свой конфиг сервера OprnVPN и клиента. >> Меня интересует как вы создаете tap и параметры для клиенты от DHCP >> получают или как то иначе? >> >> >> VS> 14.01.2014 16:47, Роман пишет: >>>> а я уже и так делал >>>> -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT >>>> >>>> не вышло... может потому что впн через tap ? >>>> другой интерфейс? >>>> >>>> >>>> VS> 14.01.2014 15:56, Роман пишет: >>>>>> Добрый день! >>>>>> >>>>>> Настраиваю VPN сервер и уже есть IPtables с настроненными правилами >>>>>> для почты. >>>>>> >>>>>> ПРописил на нем >>>>>> iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j >>>>>> ACCEP >>>> VS> попробуйте без -m state --state NEW >>>> VS> и букву P в конце не забудьте. >>>> >> VS> Попробуй так, ну еще output добавь >> >> VS> У меня без них работает и тот же tap используется >> >> VS> iptables -A INPUT -i tap+ -j ACCEPT >> VS> iptables -A FORWARD -i tap+ -j ACCEPT >> >>>>>> (да, у меня tcp, а не udp) >>>>>> >>>>>> подключение принимается, сниффер на сервере видит обращения от >>>>>> клиента, но соединение не устанавливается. Выключаю iptables stop >>>>>> и все подключается. >>>>>> Отсюда вопрос - как мне понять, что надо разрешить? >>>>>> >>>>>> ПО идее можно было бы посмотреть, что блокируется с данного IP или в >>>>>> сторону данного IP и разрешить это. НО я не знак как мониторить.... >>>>>> >>>>>> >>>>>> >>>> VS> -- >>>> VS> -- >>>> VS> Faithfully yours, >>>> >>>> VS> Vladimir Skubriev >>>> >>>> >>>> >>>> >>>> >> >> VS> -- >> VS> -- >> VS> Faithfully yours, >> >> VS> Vladimir Skubriev >> >> >> >> >> VS> Я настраиваю с помощью opscode chef cookbook openvpn ) VS> server.conf: VS> # OpenVPN server config file VS> # VS> # Generated by Chef - local changes will be overwritten VS> port 1194 VS> proto udp VS> dev tun VS> keepalive 10 120 VS> comp-lzo VS> local XX.XX.XX.XX VS> push 'route 192.168.128.0 255.255.255.0' VS> # Keys and certificates. VS> ca /etc/openvpn/keys/ca.crt VS> key /etc/openvpn/keys/server.key # This file should be kept secret. VS> cert /etc/openvpn/keys/server.crt VS> dh /etc/openvpn/keys/dh1024.pem VS> ifconfig-pool-persist /etc/openvpn/ipp.txt VS> server 10.8.0.0 255.255.0.0 VS> user nobody VS> group nogroup VS> # avoid accessing certain resources on restart VS> persist-key VS> persist-tun VS> # current client connections VS> status /etc/openvpn/openvpn-status.log VS> # logging settings. VS> log-append /var/log/openvpn.log VS> verb 1 # don't spam the log with messages. VS> mute 10 # suppress identical messages > 10 occurances. VS> script-security 1 VS> skubriev.conf: VS> client VS> dev tun VS> proto udp VS> remote gate.example.com 1194 VS> resolv-retry infinite VS> nobind VS> persist-key VS> persist-tun VS> ca ca.crt VS> cert skubriev.crt VS> key skubriev.key VS> comp-lzo VS> verb 3 VS> роль openvpn сервера: VS> { VS> "name": "openvpn_server", VS> "description": "The server that runs OpenVPN", VS> "json_class": "Chef::Role", VS> "default_attributes": { VS> }, VS> "override_attributes": { VS> "openvpn": { VS> "routes": [ VS> "push 'route 192.168.128.0 255.255.255.0'" VS> ], VS> "netmask": "255.255.0.0", VS> "gateway": "gate.example.com", VS> "key": { VS> "country": "RU", VS> "city": "CityTown", VS> "email": "ad...@int.example.com", VS> "province": "61", VS> "org": "ExampleCOM" VS> }, VS> "subnet": "10.8.0.0" VS> } VS> }, VS> "chef_type": "role", VS> "run_list": [ VS> "recipe[openvpn]", VS> "recipe[openvpn::users_ldap]" VS> ], VS> "env_run_lists": { VS> } VS> } VS> "recipe[openvpn::users_ldap]" - дописывал сам ) VS> Рекомендую обратить внимание на chef-solo (и если будет время berkshelf) VS> При помощи chef-solo и измененной роли если вникнуть в chef-solo, VS> openvpn настраивается одной командой ) VS> Остаеться только раздать архивы с конфигами юзерам. VS> Инструкция для юзеров тоже есть если что. VS> Если еще что то надо пишите. VS> -- VS> -- VS> Faithfully yours, VS> Vladimir Skubriev -- С уважением, Роман mailto:idi...@rambler.ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru