作者 主題: openvpn ping  (閱讀 4865 次)

0 會員 與 1 訪客 正在閱讀本文。

unique15lee

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
openvpn ping
« 於: 2012-08-28 01:23 »
各位學長大大您們好,

小弟架設openvpn有個疑問希望學長們幫忙,
網路設定如下
pub ip 120.105.1.10(假設, 實際不是這個ip)
pri 10.5.0.0/24

server端可以啟動openvpn
ip是tun0 10.5.0.1 10.5.0.2
eth0 120.105.1.10

client端也可以連server
配到ip是pri 10.5.0.6
也可以連外網, 也就是可以上網
也可以ping 120.105.1.x (x為2~254, 只要電腦有開著)
但是不知道為何就是無法ping本身120.105.1.10(想知道原因為何)
ip_forward=1, 請各位學長指點一下, 萬分感謝^^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
Re: openvpn ping
« 回覆 #1 於: 2012-08-28 16:04 »
120.105.1.x要有gateway到10.5.0.0/24去

unique15lee

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
Re: openvpn ping
« 回覆 #2 於: 2012-09-02 14:57 »
謝謝前輩netman指點, 不過我都有試過了, 確定還是不可以^^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
Re: openvpn ping
« 回覆 #3 於: 2012-09-02 14:59 »
那ip forward有開嗎?firewall也暫停一下看看

scc_james

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
Re: openvpn ping
« 回覆 #4 於: 2012-09-02 20:13 »
VPN建立前
(VPN Client)  ---  {Internet} --- eth0:120.105.1.10 (VPN Server)

VPN建立後
{internet} -- eth0:120.105.1.10  (VPN Server) tun0-00 --- tun0:10.5.0.6(VPN Client)

由狀況判斷. {可上Intenet} + {可Ping到 120.105.1.X其他主機}
 > VPN Server有作NAT or 前端有設備幫作NAT
 > 120.105.1.X網段設備有指回10.5.0.0/24網段的Router (or 因為VPN Server有把10.50.0/24網段NAT)
 > IP Forward應該有啟動

其實由VPN建立後的狀態而言, VPN Client其實可以視為邏輯接在 VPN Server後端. 應該是可以Ping/Telnet到VPN主機.
我目前使用的方式與你類似,剛剛再度確認,Client從Internet連接後,不論是連Tun0-00或是eth0都可以正常運作.

建議檢查兩個地方.
(1)
Openvpn啟動後,系統會多出一個tun0-00的界面, 主要是來處理VPN的流量. 沒有特別設定的話, 應該是10.50.0.1/32
可以先試試看VPN建立後能不能Ping/Telnet到這個界面.

(2)
如Netman大大所說, 檢查一下iptables的設定,是不是對tun0進入的封包有特定的限制. 或是先關閉iptables試試看.

希望能有幫助





« 上次編輯: 2012-09-02 20:18 由 scc_james »

unique15lee

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
Re: openvpn ping
« 回覆 #5 於: 2012-09-04 13:34 »
回netman前輩,
ip_forward=1 有開,
iptables 我只有寫以下這行,
iptables -t nat -A POSTROUTING -o eth0 -s 10.5.0.0/24 -j MASQUERADE
ps. eth0 120.105.1.10   //對外ip


回scc_james大大,
你指的vpn流量 10.50.0.1/32 我似乎沒看到這個資料,   //他應該也要寫在server.conf裡面才有?我覺的應該是自己指定在哪個ip pool才對?
我ping 10.50.0.1 是不能ping
他只可以ping 10.5.0.1   //這就是我自己指定的ip pool, 預設是 10.8.0.0 255.255.255.0
iptables 我沒特別寫什麼rules, 只有寫轉傳封包訊息, 沒有擋,
想請問scc_james大大, 你server.conf裡面的dev 你是用 tun or tap, 謝謝!

謝謝兩位大大的指點^^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
Re: openvpn ping
« 回覆 #6 於: 2012-09-04 14:53 »
所以你是用 NAT 了哦?
取消那行呢?
然後其他其他要設 gateway 回去

scc_james

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
Re: openvpn ping
« 回覆 #7 於: 2012-09-04 21:55 »
打太快打錯字. Sorry.

1. 我是用tun模式.
/etc/openvpn/server.conf的參數如下
port 443
proto tcp
dev tun
server 172.16.1.0 255.255.255.0

2. 關於服務自動帶起的界面
你可以先把openvpn服務停掉後,執行ifconfig, 再把openvpn服務啟動,再打一次ifconfig.
應該可以發現一個界面會隨openvpn服務啟動而出現. (類似下面)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
              inet addr:172.16.1.1  P-t-P:172.16.1.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

這個界面的IP預設應該是你設定VPN區段的第一個IP. 我設定的是172.16.1.0 255.255.255.0.
因此取的第一個IP是172.16.1.1.

這tun0界面是處理你Client VPN建立後的資料傳輸界面. 應該要能Ping的到.
你server.conf中server參數設定應該是10.5.0.0/24, 也就是你tun0應該ip為 10.5.0.1.
你測試是可以Ping到的,表示VPN建立是正常.

問題應該回到VPN主機的iptables rule上.

建議先在主機上執行下面iptables全通的指令. 再用Client建立VPN後測試,
Ping 10.50.0.1 與 120.105.1.10.
Ping 120.105.1.X 網段
Ping 網際網路
如果可以正常,將iptables改回原本的進行確認.


##################
/sbin/iptables -F -t filter
/sbin/iptables -X -t filter
/sbin/iptables -Z -t filter
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.5.0.0/255.255.255.0 -o eh0 -j SNAT --to-source 120.105.1.10
/sbin/iptables -A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
##################


« 上次編輯: 2012-09-04 21:59 由 scc_james »

unique15lee

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
Re: openvpn ping
« 回覆 #8 於: 2012-09-05 01:57 »
感謝netman & scc_james 前輩們的熱心回應,
小弟測試後的結果還是不行,
scc_james我有照你的全貼, 跟我自己寫那一行的結果是一樣的,

我server.conf的設定如下
port 1194
proto udp
dev tun
ca xxx.crt
cert xxx.crt
key xxx.key  # This file should be kept secret
dh dh2048.pem
server 10.5.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.5.0.0 255.255.255.0"
push "redirect-gateway"
keepalive 10 120
tls-auth xxx.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

請高人指點^^

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
Re: openvpn ping
« 回覆 #9 於: 2012-09-05 08:28 »
感謝netman & scc_james 前輩們的熱心回應,
小弟測試後的結果還是不行,
scc_james我有照你的全貼, 跟我自己寫那一行的結果是一樣的,

我server.conf的設定如下
port 1194
proto udp
dev tun
ca xxx.crt
cert xxx.crt
key xxx.key  # This file should be kept secret
dh dh2048.pem
server 10.5.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.5.0.0 255.255.255.0"
push "redirect-gateway"
keepalive 10 120
tls-auth xxx.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

請高人指點^^

比較快的方式是 直接監控 UDP 封包的交易情況.

1. tcpdump -i eth0 udp port 1194
2. tcpdump -i tun0

由 CLIENT 端發送 ICMP.

在~SERVER 端監控封包有沒有流入.

如果有流量

再看 SERVER 端的封包有沒有流出.

從中間觀查真正的原因.

很快你就可以測出實際的狀況.

實際一點 TRACE 你的封包的交易情況.

不要用猜的 , 這樣做事會很沒效率.



##############

有可能造成這種現像的情況有幾種 :

CASE 1.

加密 KEY 有問題 :

    openvpn --genkey --secret key
    openvpn --test-crypto --secret key


CASE 2.

IPTABLE 沒有設定好 :

iptables -A INPUT -i tun+ -j ACCEPT    <<< 開放了沒?
iptables -A INPUT -i tap+ -j ACCEPT     <<  你是使用 TUN 看你要不要開放


CASE3.

區網防火牆 或 SWITCH 有 下 ACL 阻止 這台 120.105.1.10 UDP 封包.

CASE{N}....................


« 上次編輯: 2012-09-05 08:54 由 FIEND »
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

scc_james

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
Re: openvpn ping
« 回覆 #10 於: 2012-09-05 21:06 »
前面提供的iptables指令是剩下將10.5.0.0/24 NAT轉為界面IP, 並允許NAT回覆資料回傳. 應該趨近需求最簡單的設定.
你碰到的情況真是蠻特別的, 除了上面F大的建議外, 方便貼一下 VPN Client連線前與連線後下列指令的結果嗎?

ifconfig
netstat -rn

註: 如果是微軟平台,ifconfig請改為ipconifg


unique15lee

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
Re: openvpn ping
« 回覆 #11 於: 2012-09-10 01:01 »
連線前指令執行結果如下:

C:\Users\Talis>ipconfig

Windows IP 設定


無線區域網路介面卡 無線網路連線 2:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

乙太網路卡 awesome:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

乙太網路卡 Bluetooth 網路連線:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

無線區域網路介面卡 無線網路連線:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

乙太網路卡 區域連線:

   連線特定 DNS 尾碼 . . . . . . . . :
   連結-本機 IPv6 位址 . . . . . . . : fe80::c72:99a5:f1d4:f287%11
   IPv4 位址 . . . . . . . . . . . . : 192.168.200.41
   子網路遮罩 . . . . . . . . . . . .: 255.255.255.0
   預設閘道 . . . . . . . . . . . . .: 192.168.200.254

乙太網路卡 VirtualBox Host-Only Network:

   連線特定 DNS 尾碼 . . . . . . . . :
   連結-本機 IPv6 位址 . . . . . . . : fe80::de:bf0b:e808:6715%19
   IPv4 位址 . . . . . . . . . . . . : 192.168.56.1
   子網路遮罩 . . . . . . . . . . . .: 255.255.255.0
   預設閘道 . . . . . . . . . . . . .:
   
   
netstat -rn

C:\Users\Talis>netstat -rn
===========================================================================
介面清單
 28...06 24 2c ab 39 72 ......Microsoft Virtual WiFi Miniport Adapter
 15...00 ff 71 7e ad 64 ......TAP-Win32 Adapter V9
 14...00 25 56 cb 0f c9 ......Bluetooth 裝置 (個人區域網路)
 12...00 24 2c ab 39 72 ......11b/g Wireless LAN Mini PCI Express Adapter III
 11...00 24 7e 6b b3 c5 ......Intel(R) 82567LM Gigabit Network Connection
 19...08 00 27 00 0c 7d ......VirtualBox Host-Only Ethernet Adapter
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 24...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 26...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
 20...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #5
===========================================================================

IPv4 路由表
===========================================================================
使用中的路由:
網路目的地                 網路遮罩         閘道          介面       計量
          0.0.0.0          0.0.0.0  192.168.200.254   192.168.200.41     20
        127.0.0.0        255.0.0.0            在連結上         127.0.0.1    306
        127.0.0.1  255.255.255.255            在連結上         127.0.0.1    306
  127.255.255.255  255.255.255.255            在連結上         127.0.0.1    306
     192.168.56.0    255.255.255.0            在連結上      192.168.56.1    276
     192.168.56.1  255.255.255.255            在連結上      192.168.56.1    276
   192.168.56.255  255.255.255.255            在連結上      192.168.56.1    276
    192.168.200.0    255.255.255.0            在連結上    192.168.200.41    276
   192.168.200.41  255.255.255.255            在連結上    192.168.200.41    276
  192.168.200.255  255.255.255.255            在連結上    192.168.200.41    276
        224.0.0.0        240.0.0.0            在連結上         127.0.0.1    306
        224.0.0.0        240.0.0.0            在連結上      192.168.56.1    276
        224.0.0.0        240.0.0.0            在連結上    192.168.200.41    276
  255.255.255.255  255.255.255.255            在連結上         127.0.0.1    306
  255.255.255.255  255.255.255.255            在連結上      192.168.56.1    276
  255.255.255.255  255.255.255.255            在連結上    192.168.200.41    276
===========================================================================
持續路由:
  無

IPv6 路由表
===========================================================================
使用中的路由:
 介面 計量 網路目的地               閘道
  1    306 ::1/128                  在連結上
 19    276 fe80::/64                在連結上
 11    276 fe80::/64                在連結上
 19    276 fe80::de:bf0b:e808:6715/128
                                    在連結上
 11    276 fe80::c72:99a5:f1d4:f287/128
                                    在連結上
  1    306 ff00::/8                 在連結上
 19    276 ff00::/8                 在連結上
 11    276 ff00::/8                 在連結上
===========================================================================
持續路由:
  無


---------------------------------------------------------------------------------------------------------
連線後指令執行結果如下:

ipconfig

Windows IP 設定


無線區域網路介面卡 無線網路連線 2:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

乙太網路卡 awesome:

   連線特定 DNS 尾碼 . . . . . . . . :
   連結-本機 IPv6 位址 . . . . . . . : fe80::21f3:d202:b3c8:1004%15
   IPv4 位址 . . . . . . . . . . . . : 10.5.0.6
   子網路遮罩 . . . . . . . . . . . .: 255.255.255.252
   預設閘道 . . . . . . . . . . . . .: 10.5.0.5

乙太網路卡 Bluetooth 網路連線:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

無線區域網路介面卡 無線網路連線:

   媒體狀態 . . . . . . . . . . . . .: 媒體已中斷連線
   連線特定 DNS 尾碼 . . . . . . . . :

乙太網路卡 區域連線:

   連線特定 DNS 尾碼 . . . . . . . . :
   連結-本機 IPv6 位址 . . . . . . . : fe80::c72:99a5:f1d4:f287%11
   IPv4 位址 . . . . . . . . . . . . : 192.168.200.41
   子網路遮罩 . . . . . . . . . . . .: 255.255.255.0
   預設閘道 . . . . . . . . . . . . .:

乙太網路卡 VirtualBox Host-Only Network:

   連線特定 DNS 尾碼 . . . . . . . . :
   連結-本機 IPv6 位址 . . . . . . . : fe80::de:bf0b:e808:6715%19
   IPv4 位址 . . . . . . . . . . . . : 192.168.56.1
   子網路遮罩 . . . . . . . . . . . .: 255.255.255.0
   預設閘道 . . . . . . . . . . . . .:



netstat -rn


C:\Users\Talis>netstat -rn
===========================================================================
介面清單
 28...06 24 2c ab 39 72 ......Microsoft Virtual WiFi Miniport Adapter
 15...00 ff 71 7e ad 64 ......TAP-Win32 Adapter V9
 14...00 25 56 cb 0f c9 ......Bluetooth 裝置 (個人區域網路)
 12...00 24 2c ab 39 72 ......11b/g Wireless LAN Mini PCI Express Adapter III
 11...00 24 7e 6b b3 c5 ......Intel(R) 82567LM Gigabit Network Connection
 19...08 00 27 00 0c 7d ......VirtualBox Host-Only Ethernet Adapter
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 24...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 26...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
 20...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #5
===========================================================================

IPv4 路由表
===========================================================================
使用中的路由:
網路目的地                 網路遮罩         閘道          介面       計量
          0.0.0.0          0.0.0.0         10.5.0.5         10.5.0.6     30
         10.5.0.1  255.255.255.255         10.5.0.5         10.5.0.6     30
         10.5.0.4  255.255.255.252            在連結上          10.5.0.6    286
         10.5.0.6  255.255.255.255            在連結上          10.5.0.6    286
         10.5.0.7  255.255.255.255            在連結上          10.5.0.6    286
  120.107.172.210  255.255.255.255  192.168.200.254   192.168.200.41     20
        127.0.0.0        255.0.0.0            在連結上         127.0.0.1    306
        127.0.0.1  255.255.255.255            在連結上         127.0.0.1    306
  127.255.255.255  255.255.255.255            在連結上         127.0.0.1    306
     192.168.56.0    255.255.255.0            在連結上      192.168.56.1    276
     192.168.56.1  255.255.255.255            在連結上      192.168.56.1    276
   192.168.56.255  255.255.255.255            在連結上      192.168.56.1    276
    192.168.200.0    255.255.255.0            在連結上    192.168.200.41    276
   192.168.200.41  255.255.255.255            在連結上    192.168.200.41    276
  192.168.200.255  255.255.255.255            在連結上    192.168.200.41    276
        224.0.0.0        240.0.0.0            在連結上         127.0.0.1    306
        224.0.0.0        240.0.0.0            在連結上      192.168.56.1    276
        224.0.0.0        240.0.0.0            在連結上          10.5.0.6    286
        224.0.0.0        240.0.0.0            在連結上    192.168.200.41    276
  255.255.255.255  255.255.255.255            在連結上         127.0.0.1    306
  255.255.255.255  255.255.255.255            在連結上      192.168.56.1    276
  255.255.255.255  255.255.255.255            在連結上          10.5.0.6    286
  255.255.255.255  255.255.255.255            在連結上    192.168.200.41    276
===========================================================================
持續路由:
  無

IPv6 路由表
===========================================================================
使用中的路由:
 介面 計量 網路目的地               閘道
  1    306 ::1/128                  在連結上
 19    276 fe80::/64                在連結上
 15    286 fe80::/64                在連結上
 11    276 fe80::/64                在連結上
 19    276 fe80::de:bf0b:e808:6715/128
                                    在連結上
 11    276 fe80::c72:99a5:f1d4:f287/128
                                    在連結上
 15    286 fe80::21f3:d202:b3c8:1004/128
                                    在連結上
  1    306 ff00::/8                 在連結上
 19    276 ff00::/8                 在連結上
 15    286 ff00::/8                 在連結上
 11    276 ff00::/8                 在連結上
===========================================================================
持續路由:
  無



謝謝!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
Re: openvpn ping
« 回覆 #12 於: 2012-09-10 13:24 »
看起來設定是OK的。
為此我剛剛還特定抓了 openvpn 來裝,不過我是用 tap 不是用 tun (這應該不是重點),
我的測試裡面關鍵還是雙方的路由:

vpn server 是原本網路的 gateway,所以原本網路的 client 維持著原本的 default gateway 就好。
vpn client 是 XP,原本的 gateway 需要手工修改一下:
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 10.8.0.1 metric 1

就這樣,雙方都可以 ping 得通了..

小弟的設定參考 n 年前的實作:
http://www.study-area.org/tips/openvpn.html

p.s.
如果待會有空的話,我再錄一段 video 好了~~  ^_^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
Re: openvpn ping
« 回覆 #13 於: 2012-09-12 01:03 »
vpn client 是 XP,原本的 gateway 需要手工修改一下:
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 10.8.0.1 metric 1

這樣是把 default gateway 改到 vpn server 那邊走,
但是,如果 vpn 連線必須要走原有的 gateway,那就不能這樣改,或是另設路由了。

我已經把之前的文章更新了:
http://www.study-area.org/tips/openvpn.html

錄影也剛完成!
不過第一次沒開麥克風~~ orz... 所以只好再錄一次。
目前還在轉檔中,等明天有空再丟 youtube 去吧... ^_^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
Re: openvpn ping
« 回覆 #14 於: 2012-09-12 10:19 »
總算 upload 完成了:
http://youtu.be/iXJR0C6H2wI

unique15lee

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
Re: openvpn ping
« 回覆 #15 於: 2012-09-15 12:15 »
感謝各位前輩熱心指導, 特別感謝 netman 學長,
還特別作影片教學, 非常謝謝^^