Доброй ночи, уважаемые форумчане!
Задался вопросом о поднятии OenVPN-сервера в режиме tap (преследовал цель подключить нескольких пользователей из инета к ресурсам внутреннией локалки). Раньше доблся работы сей софтины в режиме tun - т.е. в ржиме "роутера" (работало но только с одним подключённым клиентом.)
Делал всё изучив следующие мануалы:
Несколько клиентов по OpenVPN - http://wl500g.info/showthread.php?t=9784
Помогите объяснить поведение OpenVPN - http://wl500g.info/showthread.php?t=...hlight=openvpn
Установка openvpn в основную память для НОВИЧКОВ - http://wl500g.info/showthread.php?t=8880&page=6
FAQ: OpenVPN (было - Помогите настроить OpenVPN) ! - http://forum.ixbt.com/topic.cgi?id=14:40906
После долгих мучений и сервер и клиент перестали ругаться на конфиги, сервер запустился.
Конфиги следующие:
server.conf
Code:
dev tap0
proto tcp-server
server-bridge 10.0.0.1 255.255.255.0 10.0.0.50 10.0.0.60
client-to-client
tls-server
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key
port 1194
keepalive 10 120
persist-tun
persist-key
verb 3
client.ovpn
Code:
ca ca.crt
cert client.crt
key client.key
dev tap0
tls-client
remote 192.168.1.1:1194
port 1194
proto udp
persist-tun
persist-key
verb 3
route-delay 10
route-gateway 10.8.0.2
НО!!
При запуске клиентского соединеия лог постепенно заполняется сообщениями следующего характера:
Thu May 08 00:15:17 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Погуглив вопрос нашёл инфу что эти ошибки - ошибки работы с сокетом - и выдаёт их винда.
Лезем в фаервол:
Code:
[admin@(none) /]$ iptables -L -nv --line-numbers
Chain INPUT (policy ACCEPT 860 packets, 111K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
2 84 3528 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1194
4 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
5 5122 745K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 293 17580 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
7 2454 766K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
8 3 156 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
9 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:8081
10 4 244 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
11 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:81
12 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
13 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22000
14 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
15 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
16 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:59970
17 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:64255
18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:39309
Chain FORWARD (policy ACCEPT 52 packets, 2664 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
2 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- * * 192.168.210.10 192.168.1.10
4 0 0 ACCEPT all -- * * 192.168.213.76 192.168.1.10
5 0 0 ACCEPT all -- * * 192.168.211.14 192.168.1.10
6 0 0 ACCEPT all -- * * 192.168.217.3 192.168.1.10
7 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
8 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9 80 3992 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU
10 2351 1438K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11 51 2624 MAC_IP all -- * !br0 0.0.0.0/0 0.0.0.0/0
12 0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
13 0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
14 31 1488 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
15 0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 7723 packets, 1428K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
Chain MACS (0 references)
num pkts bytes target prot opt in out source destination
Chain MAC_IP (1 references)
num pkts bytes target prot opt in out source destination
1 9 432 RETURN all -- * * 192.168.1.3 0.0.0.0/0 MAC 00:80:48:3F:7A:9F
2 0 0 RETURN all -- * * 192.168.1.4 0.0.0.0/0 MAC 00:E0:4C:DD:0D:90
3 39 2036 RETURN all -- * * 192.168.1.5 0.0.0.0/0 MAC 00:1C:23:0B:1C:A4
4 0 0 RETURN all -- * * 192.168.1.10 0.0.0.0/0 MAC 00:17:31:96:6E:F4
5 0 0 RETURN all -- * * 192.168.1.124 0.0.0.0/0 MAC 00:02:78:89:82:13
6 3 156 RETURN all -- * * 192.168.1.190 0.0.0.0/0 MAC 00:1B:77:B6:55:BB
7 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain SECURITY (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
2 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
3 0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
4 0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
5 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaccept (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
2 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
На мой взгляд блокировать ничего не должно. Причём при попытке подключения в таблице INPUT увеличиваются кол-во пакетов и объём данных в правиле №2
Может кто сталкивался с подобной ситуацией? Подскажит пожалуйсто, где накосячили мои кривые ручёнки!
Пробовал и с вот этими правилами из одного мануала
Code:
#!/bin/sh
iptables -D INPUT -j DROP
# enable access from WAN
iptables -t nat -I PREROUTING -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -j ACCEPT
И с вот этими правилами из другого мануала:
Code:
iptables -A INPUT -i tap0 -j ACCEPT
P.S. На компе с которого пытаюсь подключиться фаерволов нет. Виндовый брандмауэр отключён. Винда -XP SP2.
Зарание благодарен всем откликнувшимся!