Кто в Форуме спрашивал, чем отличаются VPN от OpenVPN.
Для нас вот еще чем: нельзя установить несколько VPN-соединений с одного внешнего ip-адреса, выдаваемого NAT'ом (потому что gre)
Точнее можно, но нормально работать будет только одно.
С OpenVPN таких проблем нет.
У меня в сети две машины с dvb-картами (пока это SkyStar2, но судя по всему их дни уже "сочтены"), потому взялся за настройку OpenVPN.
Проблем с собственно установкой openvpn-соединения нет:
соединение успешно устанавливается, появляется tap0 интерфейс, в логах правда "светятся" несколько предупреждений:
Jan 28 16:33:53 heimdal openvpn[4977]: WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
Jan 28 16:33:53 heimdal openvpn[4977]: WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
...добавил указанные параметры в конфигурационный файл - предупреждения перестали появляться;
Jan 28 16:33:54 heimdal openvpn[4989]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1473', remote='link-mtu 1573'
Jan 28 16:33:54 heimdal openvpn[4989]: WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1432', remote='tun-mtu 1532'
...та же песня, изменил mtu на 1500 - сообщения исчезли;
Jan 28 16:33:54 heimdal openvpn[4989]: WARNING: 'ifconfig' is present in local config but missing in remote config, local='ifconfig 10.250.5.0 255.255.255.0'
...это осталось
...роутинг по умолчанию через tap0
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.81.208.66 192.168.50.4 255.255.255.255 UGH 0 0 0 eth0
172.20.0.0 192.168.50.4 255.255.255.224 UG 0 0 0 eth0
192.168.50.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.250.5.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.0.0 192.168.50.4 255.255.0.0 UG 0 0 0 eth0
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 dvb0_0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tap0
однако вот все, что я вижу на tap0-интерфейсе, если делаю например
ping 213.59.128.121:
...
16:55:59.752054 arp who-has 213.59.128.121 tell 10.250.5.xxx
16:56:00.751618 arp who-has 213.59.128.121 tell 10.250.5.xxx
16:56:01.763176 arp who-has 213.59.128.121 tell 10.250.5.xxx
16:56:02.762737 arp who-has 213.59.128.121 tell 10.250.5.xxx
16:56:03.762299 arp who-has 213.59.128.121 tell 10.250.5.xxx
16:56:04.773858 arp who-has 213.59.128.121 tell 10.250.5.xxx
16:56:05.773419 arp who-has 213.59.128.121 tell 10.250.5.xxx
...
а где icmp echo-request?!
# ls -la /dev/net
crw-rw---- 1 openvpn openvpn 10, 200 2001-03-26 07:04 tun
сначала владельцем был root:root, но из-за:
# cat /etc/openvpn/raduga/raduga.conf | grep openvpn
user openvpn
group openvpn
попробовал изменить владельца на openvpn
netfilter/iptables не активирован, на других интерфейсах тоже никаких следов ping'а
где копать?
# cat /etc/openvpn/raduga/raduga.conf
dev tap
proto udp
port 55446
remote 80.81.208.66
ifconfig 10.250.5.xxx 255.255.255.0
route-noexec
tun-mtu 1500
tls-client
persist-tun
persist-key
ca /etc/openvpn/raduga/ca.crt
cert /etc/openvpn/raduga/Deposit_xxxx.crt
key /etc/openvpn/raduga/Deposit_xxxx.key
ns-cert-type server
user openvpn
group openvpn
verb 4
и еще такой вопрос:
под ядром 2.4 у меня не нужно держать включенным szap, чтобы на dvb-интерфейс что-то валилось, т.е. настраиваемся на транспондер szap -x , под 2.6 такой номер не проходит - нужно держать терминал с запущенным szap'ом
так у всех или снова кривые "дрова" для SkyStar2?
