このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

OpenVPNでpingが通らない このメッセージに返信する
日時: 2010/01/28 17:41
名前: dangan
URL:
先日こちらの掲示板に質問させていただいた者です。
VPNのサーバ、クライアント間の通信はできたのですが肝心のiperfサーバ・クライアント間の通信ができません。

まず、iperfクライアント(192.168.2.2)からiperfサーバ(192.168.4.2)へpingを行ったところ、
VPNクライアントではtun0でパケットを確認をできましたがVPNサーバのtun0ではパケットを確認できませんでした。
VPNクライアントのeth0では192.168.2.2から192.168.4.2宛のパケットが出ておりクライアント側のゲートウェイAでは192.168.2.3から192.168.4.3宛の
パケットが出ました。このパケットはサーバ側のゲートウェイB、VPNサーバのeth0で確認しましたが肝心のtun0では確認できませんでした。
なお、パケットはいずれも一方向のみでした。

クライアント側にはエラーのログは無く、サーバ側の方には下記のログがありました。
////////////openvpn.log////////////////
Thu Jan 28 14:42:12 2010 us=410014 192.168.2.3:1039 [NSK-VPN-CLIENT] Peer Connection Initiated with 192.168.2.3:1039
Thu Jan 28 14:42:12 2010 us=410052 NSK-VPN-CLIENT/192.168.2.3:1039 OPTIONS IMPORT: reading client specific options from: ccd/NSK-VPN-CLIENT
Thu Jan 28 14:42:12 2010 us=410144 NSK-VPN-CLIENT/192.168.2.3:1039 MULTI: Learn: 10.8.0.2 -> NSK-VPN-CLIENT/192.168.2.3:1039
Thu Jan 28 14:42:12 2010 us=410156 NSK-VPN-CLIENT/192.168.2.3:1039 MULTI: primary virtual IP for NSK-VPN-CLIENT/192.168.2.3:1039: 10.8.0.2
RThu Jan 28 14:42:13 2010 us=527671 NSK-VPN-CLIENT/192.168.2.3:1039 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jan 28 14:42:13 2010 us=527707 NSK-VPN-CLIENT/192.168.2.3:1039 SENT CONTROL [NSK-VPN-CLIENT]: 'PUSH_REPLY,route 192.168.4.0 255.255.255.0,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.2 10.8.0.1' (status=1)
Thu Jan 28 14:42:13 2010 us=894198 NSK-VPN-CLIENT/192.168.2.3:1039 MULTI: bad source address from client [192.168.2.2], packet dropped
Thu Jan 28 14:42:14 2010 us=893742 NSK-VPN-CLIENT/192.168.2.3:1039 MULTI: bad source address from client [192.168.2.2], packet dropped
Thu Jan 28 14:42:15 2010 us=893487 NSK-VPN-CLIENT/192.168.2.3:1039 MULTI: bad source address from client [192.168.2.2], packet dropped
////////////////////////////////////

192.168.2.2からきたパケットを破棄しているように読み取れるのですがどこの設定でそうしているのか分かりません。
「bad source address from client」をキーワードにして検索してみたのですが解決策があるみたいなのですが英語のテキストばかりで勉強不足な私では読めませんでした。
すみませんがどこの設定に問題があるのか教えていただけないでしょうか?以下VPNサーバとクライアントの設定です。なお、全てのマシンのファイアウォールは切ってあります。

サーバ
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.3 192.168.4.1 255.255.255.255 UGH 0 0 0 eth0
192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.4.1 0.0.0.0 UG 0 0 0 eth0

//////////////////////server.conf////////////////////
dev tun

;proto tcp
proto udp

server 10.8.0.0 255.255.255.0
port 1194

#client-sert-not-required
#username-as-common-name

ifconfig-pool-persist ipp.txt

keepalive 10 120

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

up /etc/openvpn/route-up.sh
down /etc/openvpn/route-down.sh

push "route 192.168.4.0 255.255.255.0"
;push "route 10.8.0.0 255.255.255.0"

;route 192.168.2.0 255.255.255.0

client-config-dir ccd

persist-key
#push "persist-key"

persist-tun
#push "persist-tun"

#user nobody
#group nobody

verb 5

log-append openvpn.log
status openvpn-status.log

#plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
///////////////////////////

//////////////[etc/openvpn/ccd/NSK-VPN-CLIENT]/////////////
ifconfig-push 10.8.0.2 10.8.0.1
#iroute 192.168.2.0 255.255.255.0
#iroute 10.8.0.0 255.255.255.0
//////////////////////

///////////////route-up.sh////////////
#!/bin/sh
/sbin/route add -net 192.168.2.0/24 gw 10.8.0.2
/sbin/route add 192.168.2.3 gw 192.168.4.1
//////////////////

///////////////route-down.sh////////////
#!/bin/sh
/sbin/route del -net 192.168.2.0/24 gw 10.8.0.2
/sbin/route del 192.168.2.3 gw 192.168.4.1
//////////////////

クライアント
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.4.3 192.168.2.1 255.255.255.255 UGH 0 0 0 eth0
192.168.4.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0

/////////////openvpn.conf///////////
client

;proto tcp
proto udp

dev tun

float
pull
remote 192.168.4.3 1194
resolv-retry infinite

nobind

auth-user-pass vpn_acct
#auth-retry nointeract

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/NSK-VPN-CLIENT.crt
key /usr/local/etc/openvpn/keys/NSK-VPN-CLIENT.key

up /usr/local/etc/openvpn/route-up.sh
down /usr/local/etc/openvpn/route-down.sh

#user nobody
#group nobody

persist-key
persist-tun

keepalive 10 60
//////////////////

////////////////route-up.sh////////////
#!/bin/sh

/sbin/route add 192.168.4.3 gw 192.168.2.1
///////////////

////////////////route-down.sh////////////
#!/bin/sh

/sbin/route del 192.168.4.3 gw 192.168.2.1
///////////////
記事編集 編集
Re: OpenVPNでpingが通らない このメッセージに返信する
日時: 2010/01/28 18:26
名前: dangan
URL:
解決策を探していたところ以下のサイトに解決策がありました
URI:http://www.ossg.ru/docs/OpenVPN/faq.html

///////////////////
How to fix the errors "MULTI: bad source address from client [192.168.100.249], packet dropped" or "GET INST BY VIRT: 192.168.100.249 [failed]"?
These errors occur because OpenVPN doesn't have an internal route for 192.168.100.249. Consequently,
it doesn't know how to route the packet to this machine, so it drops the packet.
Use client-config-dir and create a ccd file for your client containing the iroute option to tell
OpenVPN that the 192.168.100.0/24 network is available behind this client.
/////////////////

この記述を元に以下のファイルを編集し再起動したところつながりました
//////////////[etc/openvpn/ccd/NSK-VPN-CLIENT]/////////////
ifconfig-push 10.8.0.2 10.8.0.1
iroute 192.168.2.0 255.255.255.0
#iroute 10.8.0.0 255.255.255.0
//////////////////////
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -