Originally Posted by
MMX2
Клиенты обеих сетей видят друг-друга в сетевом окружении и пингуются. Но если
подключиться с ноубука под виндой (с натройками аналогичными настройкам клиентского WL500), то в сетевом окружении других устройств не видно, хотя
они пингуются, к ним есть доступ по IP и адаптер получает и прописывает от сервера адрес WINS сервера. Где копать для решения данной проблемы?
UPD по п.2: Вопрос даже шире: каким маршрутом дать доступ из сети к клиенту под виндой?
Только что прверил, доступа нет ни по IP тоннеля, ни по локальному Ip клиента...
Искал, но не нашел ответа. Что есть:
сеть 1: 192.168.1.0/24, где на 192.168.1.1 поднят OpenVPN сервер (tun0, RT-N16)
сеть 2: 192.168.2.0/24, где на 192.168.2.1 поднят OpenVPN клиент (WL500)
Вопрос: как ВЕСЬ трафик только с IP 192.168.2.8 завернуть в тоннель?
Т.е. чтобы в интернет он выходил через RT-N16 и имел его IP? Всем спасибо!
Собственно, никак, бывает тупо глюк винды, когда не видно в сетевом окружении и через некоторое время появляется (именно так и было).
Если используете Windows XP - обозреватель компьютеров надо отключать при включенном WINS-сервере.
Если все пингуется из разных сетей и заходит по IP/имени, значит ВСЕ настроено верно.
Я делал туннель с удаленным серваком по OpenVPN, при этом сервак был в качестве клиента, а роутер - сервер.
Ставил на сервак самбу во внутреннюю сеть, а также во внутренней сети за серваком на одной из машин ставил еще одну самбу. Клиенты за роутером видели также те машины и могли соединиться, но они появлялись не сразу в сетевом окружении. Иногда вообще приходилось ребутить комп. Проще было по имени зайти.
Samba на роутере установлена из Entware samba36-server, НЕ из прошивки.
Конфигурация вот такая:
OpenVPN сеть
10.100.0.0/24
Роутер:
OpenVPN - 10.100.0.1, интерфейс OpenVPN tun5
Внутренняя сеть OpenVPN роутера - 192.168.1.0/24
Правила iptables на роутере:
Code:
iptables -I FORWARD -i tun5 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun5 -j ACCEPT
iptables -I INPUT -i tun5 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.100.0/24 -o tun5 -j MASQUERADE
OpenVPN server.conf
Code:
dev tun5
local 192.168.1.1
server 10.100.0.0 255.255.255.0
key keys/server.key
ca keys/ca.crt
cert keys/server.crt
dh keys/dh1024.pem
ifconfig-pool-persist ipp.txt
proto udp
port 28800
comp-lzo
mssfix 1430
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
push "route 192.168.100.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
route 192.168.100.0 255.255.255.0
;to make routes from clients work
client-to-client
daemon
verb 3
log server.log
;for static ip addresses
client-config-dir /opt/etc/openvpn/ccd
/opt/etc/openvpn/ccd/client1
Code:
ifconfig-push 10.100.0.2 10.100.0.1
iroute 192.168.100.0/24 255.255.255.0
Samba server smb.conf:
Code:
[global]
workgroup = WORKGROUP
netbios name = router
comment = router
server string = router's lair
load printers = no
show add printer wizard = no
printing = no
printcap name = /dev/null
disable spoolss = yes
log file = /opt/var/log/samba/log.%m
max log size = 50
hosts allow = 127.0.0.1, 192.168.1.0/24 192.168.100.0/24 10.100.0.0/24
map to guest = bad user
guest account = nobody
security = user
oplocks = no
level 2 oplocks = no
encrypt passwords = true
username map = /opt/etc/samba/smbusers
obey pam restrictions = yes
socket options = TCP_NODELAY IPTOS_LOWDELAY
aio read size = 16384
interfaces = 192.168.1.0/24 127. tun5 10.100.0.0/24 192.168.100.0/24
bind interfaces only = no
remote browse sync = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255
remote announce = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255
local master = yes
os level = 99
domain master = yes
preferred master = yes
null passwords = yes
passdb backend = smbpasswd
name resolve order = wins lmhosts hosts bcast
wins support = yes
dns proxy = no
case sensitive = no
dos charset = 866
unix charset = UTF8
restrict anonymous = no
acl compatibility = winnt
[testshare]
comment = tmp
path = /opt/tmp
guest ok = yes
browseable = yes
Клиент:
OpenVPN - 10.100.0.2, интерфейс OpenVPN tun2
Внутренняя сеть OpenVPN клиента - 192.168.100.0/24
Правила iptables на клиенте:
Code:
iptables -I FORWARD -i tun2 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun2 -j ACCEPT
iptables -I INPUT -i tun2 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.100.0/24 -o br0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -d 192.168.1.0/24 -o tun2 -j MASQUERADE
OpenVPN client.conf:
Code:
dev tun2
client
remote x.y.z.c
proto udp
port 28800
daemon
key keys/client1.key
cert keys/client1.crt
ca keys/ca.crt
ns-cert-type server
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
resolv-retry infinite
mssfix 1430
nobind
log client.log
verb 3
daemon
pull
Samba client smb.conf:
Code:
[global]
workgroup = WORKGROUP
server string = %h server
netbios name = testsrv
wins support = no
wins server = 192.168.1.1
wins proxy = yes
dns proxy = no
local master = yes
interfaces = 127.0.0.0/8 10.100.0.0/24 192.168.100.1
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = share
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
[cdrom]
comment = Samba server's CD-ROM
read only = yes
locking = no
path = /mnt/cdrom
guest ok = yes
1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?
2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше).
Разница между tap и tun состоит в том, что tap - используется в том случае, если нужен bridge интерфейсов, tun - для routed (tap также можно использовать для routed-network, но не советуют, если есть возможность, то лучше tun). tap - единственный драйвер для windows также под OpenVPN, tun в win нету.
Разделить подсети можно, но нужно будет продумывать тогда момент ограничения и разбиения подсети 192.168.1.0/24 и соответственно роутинга ее части через второй роутер, перенастроить DHCP.
В случае TAP нужно будет читать http://openvpn.net/index.php/open-so...-bridging.html и настраивать по-другому.
Из минусов TAP - у вас будут попадать пакеты также из внутренних сетей в туннель. (подробнее читайте ответ - http://serverfault.com/questions/211...un-for-openvpn)