Объединение двух офисов через OpenVPN под Windows

Форум Администрирование Системное программное обеспечение (Software)

1. Divisi0n_by_zer0 20.05.15 16:45 Сейчас в теме

добрый день!
давным-давно занимался этим с закрытыми глазами, а сейчас понадобилось и что-то лыжи не едут...
Дано: два удалённых офиса, 192.168.0.0 (назовём его "нулевой") и 192.168.1.0 (назовём его "первый"), в обоих Windows Server 2012 R2 со всеми обновлениями, на этих машинах OpenVPN последней на сегодняшний день версии.
задача: одна сквозная сеть (чтобы любой комп нулевого офиса видел любой комп первого и наоборот).
в "нулевом" офисе поднят сервер OpenVPN, с первого офиса к нему подключаются.
VPN поднимается, по виртуальным айпишникам (10.10.10.0) пингуется в обе стороны, с сервера первого офиса вижу (пингую, захожу на шары и т.д.) всю сеть за нулевым сервером. наоборот - фигушки, не пингуется даже внутренний IP первого сервера (т.е. 192.168.1.17). согласно route print маршруты симметричные, брэндмауэр на первом тестово отключил для всех интерфейсов.
нулевой сервер в сети является шлюзом (т.е. две сетевухи на инет и локалку), первый на данный момент просто за аппаратным роутером. ip forward в реестре включен на обоих серверах.
подскажите какую где галку забыл )

upd останавливать брэндмауэр пробовал, сверял пакеты в обе стороны по логам openvpn за 30 секунд в режиме verb 10 - не теряются

буквы и цифры прилагаю. 999.999.999.0 - внешняя белая сеть провайдера

конфиг сервера:

port 1194
proto udp
dev tun
route-method exe
route-delay 10
tls-server
server 10.10.10.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
push "route 192.168.0.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\vpnserver.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\vpnserver.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
tun-mtu 1500
mssfix

Показать

в ccd для клиента приготовлен файл

iroute 192.168.1.0 255.255.255.0

конфиг клиента:

client
tls-client
verb 3
dev tun
proto udp
route-delay 10
remote 999.999.999.100 1194
nobind
persist-key
persist-tun
ca ca.crt
cert client01.crt
key client01.key
keepalive 10 120
route-method exe
route-delay 2

Показать

route print сервера при поднятом VPN

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     999.999.999.1   999.999.999.100     22
       10.10.10.0    255.255.255.0       10.10.10.2       10.10.10.1     21          <====
       10.10.10.0  255.255.255.252         On-link        10.10.10.1    276
       10.10.10.1  255.255.255.255         On-link        10.10.10.1    276
       10.10.10.3  255.255.255.255         On-link        10.10.10.1    276
     999.999.999.0    255.255.255.0         On-link    999.999.999.100    276
   999.999.999.100  255.255.255.255         On-link    999.999.999.100    276
   999.999.999.255  255.255.255.255         On-link    999.999.999.100    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link       192.168.0.3    276
      192.168.0.3  255.255.255.255         On-link       192.168.0.3    276
    192.168.0.250  255.255.255.255         On-link       192.168.0.3    276
    192.168.0.255  255.255.255.255         On-link       192.168.0.3    276
      192.168.1.0    255.255.255.0       10.10.10.2       10.10.10.1     21          <====
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.10.10.1    276
        224.0.0.0        240.0.0.0         On-link       192.168.0.3    276
        224.0.0.0        240.0.0.0         On-link    999.999.999.100    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.10.10.1    276
  255.255.255.255  255.255.255.255         On-link       192.168.0.3    276
  255.255.255.255  255.255.255.255         On-link    999.999.999.100    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     999.999.999.1  По умолчанию

Показать

route print клиента:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.17     10
       10.10.10.1  255.255.255.255       10.10.10.5       10.10.10.6     21          <====
       10.10.10.4  255.255.255.252         On-link        10.10.10.6    276
       10.10.10.6  255.255.255.255         On-link        10.10.10.6    276
       10.10.10.7  255.255.255.255         On-link        10.10.10.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0       10.10.10.5       10.10.10.6     21          <====
      192.168.1.0    255.255.255.0         On-link      192.168.1.17    266
     192.168.1.17  255.255.255.255         On-link      192.168.1.17    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.17    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.10.10.6    276
        224.0.0.0        240.0.0.0         On-link      192.168.1.17    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.10.10.6    276
  255.255.255.255  255.255.255.255         On-link      192.168.1.17    266
===========================================================================
Постоянные маршруты:
  Отсутствует

Показать

с нулевого сервера

C:\Users\Администратор>pathping 192.168.1.17

Трассировка маршрута к 192.168.1.17 с максимальным числом переходов 30

  0  trmsrv [10.10.10.1]
  1     *        *        *
Подсчет статистики за: 0 сек. ...
           Исходный узел     Маршрутный узел
Прыжок  RTT   Утер./Отпр.   %   Утер./Отпр.  %   Адрес
  0                                           trmsrv [10.10.10.1]

Трассировка завершена.

C:\Users\Администратор>tracert 192.168.1.17

Трассировка маршрута к 192.168.1.17 с максимальным числом прыжков 30

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса..........

Показать

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

2. ture 613 20.05.15 17:37 Сейчас в теме

(1) походу NAT включен на шлюзе и вот через него пытаетесь влезть в виртуальную сеть хи-хи, это как из инета домой лезть без белого ипипишника.

4. Divisi0n_by_zer0 20.05.15 18:20 Сейчас в теме

ура, пинги по внутреннему айпишнику первого клиента появились! клиент в сертификате назывался не так как файлик с iroute (самое странное, что этот маршрут всё равно корректно добавлялся в таблицу маршрутизации, но не работал)

(2) ture, да, NAT включен, но сравнения не понял... винда это видит как ещё одну лишнюю сетевую карту со своей сетью, что происходит внутри её волновать не должно

(3) blackhole321, этот вариант использовал ещё со времён сервера 2003, даже не помню почему тогда в сторону OpenVPN пришёл... но там где настроено, работает и по сей день...

5. ture 613 20.05.15 19:17 Сейчас в теме

(4) если NAT включен, то все пакеты переделываются на пакеты от шлюза. Значит пинговать можно только шлюз. Машины сети VPN пинговать не получится снаружи, т.к. на шлюзе NAT, а не маршрутизация.

6. Divisi0n_by_zer0 20.05.15 20:30 Сейчас в теме

(5) ture, что-то моя твоя не понимать... офис в Москве и в Питере, в Москве на сервере стоит сервер опенвпн, поднята маршрутизация, и нат тоже используется, только не для виртуального интерфейса. и с любого компа Питерского офиса я пингую любой Московский комп, уже, за шлюзом с натом... осталось настроить это в обратном направлении )

кстати, готов ответить на вопросы тем, кто ещё только начинает этот квест, пока в памяти свежо )

3. blackhole321 1314 20.05.15 17:55 Сейчас в теме

А почему не используете штатное средство - RRAS?

7. shurik_q 21.05.15 06:28 Сейчас в теме

Вам нужно посмотреть настройка openvpn site-to-site.
Вот тут , например

8. Divisi0n_by_zer0 21.05.15 21:31 Сейчас в теме

(7) shurik_q, спасибо за ссылку, GUI гораздо привлекательней конфиг-файлов, аж захотелось :)
оказывается, у меня всё уже давно работает в обе стороны, как и хотел, т.е. все клиенты обеих сетей видят друг друга.
единственное, что не работает: САМ сервер не видит сетку ЗА впн-клиентом, при этом клиенты ЗА сервером эту сеть видят. всё это время я проверял пинги с этого самого сервера.

так что теперь я готов поделиться с нуждающимися 100% рабочими конфигами OpenVPN под Windows :)

9. pavel06 2 28.05.15 19:07 Сейчас в теме

(8), можно попросить рабочие конфиги, давно хотел освоить эту тему. Ваш адрес просто так не увидеть,
поэтому мой: aleks200768 собака rambler ru
спасибо.

Оставьте свое сообщение

E-mail: