Всем привет, кто может помочь по OpenVPN и с маршрутизацией?

если пользуешься через мобильные сети, проверь mtu

Нет вопрос в другом

Как настроить опенвпн?)

Как настроить опенвпн?)

в гугле забанили?

в гугле забанили?

Меня нет, я его умею настраивать

Нет вопрос в другом

извини. но телепаты в другом чате

Так-с есть сервер OpenVPN к нему подключаются клиенты, за одним из клиентов есть локальная сеть, нужно получить доступ в нее

Прописываю на OpenVPN сервере маршрут в сторону клиента

и не идет

При попытке mtr показывает пустоту

что имено не идет? обатные маршруты то есть?

Обратный маршрут пушится самим OVPN

не идет не трассировка , не пинг

ip ro get %ip из локалки% Чего говорит?

сеть, которая за клиентом, хоть что-то знает о сети на сервере OpenVPN?

Конф сервера mode server port 443 proto tcp dev-type tun dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/Server.crt key /etc/openvpn/Server.key dh /etc/openvpn/dh2048.pem tls-auth ta.key 0 cipher AES-256-CBC topology subnet server 192.168.10.0 255.255.255.0 push "route 192.168.10.0 255.255.255.0" push "route 172.16.0.0 255.255.0.0" ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo persist-key persist-tun client-config-dir /etc/openvpn/ccd status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn-rtk.log verb 3

Так-с есть сервер OpenVPN к нему подключаются клиенты, за одним из клиентов есть локальная сеть, нужно получить доступ в нее

так не работает

так не работает

работает, если маршрутизация правильно прописана

сейчас скину конфиги

да конфиги не нужны

route -n посмотри

работает, если маршрутизация правильно прописана

это нужно очень много допущений

И то, что разрешает ли фаервол с обеих сторон доступ от этих сетей

это нужно очень много допущений

Два маршрута и фаервол. Больше никаких допущений не надо

это нужно очень много допущений

ну как бы прямые руки нужны, с этим никто не спорит. На одной из предыдущих работ подобные схемы работали

На клиенте 3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 08:00:27:f4:6a:66 brd ff:ff:ff:ff:ff:ff inet 192.168.88.110/24 brd 192.168.88.255 scope global enp0s8 valid_lft forever preferred_lft forever inet6 fe80::a00:27ff:fef4:6a66/64 scope link valid_lft forever preferred_lft forever 15: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100 link/none inet 192.168.10.10/24 brd 192.168.10.255 scope global tun0 valid_lft forever preferred_lft forever

Зачем нам адреса? Таблица маршрутизации нужна

ну как бы прямые руки нужны, с этим никто не спорит. На одной из предыдущих работ подобные схемы работали

задача описана так, как будто клиент впн - обычная машинка, кторая не является дефолтным gw

задача описана так, как будто клиент впн - обычная машинка, кторая не является дефолтным gw

именно пожтому я спашивал, а знает ли сеть на стороне клиента о существовании подсетей, которые на сервера OPenVPN. но ответа пока нет...

Конф сервера mode server port 443 proto tcp dev-type tun dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/Server.crt key /etc/openvpn/Server.key dh /etc/openvpn/dh2048.pem tls-auth ta.key 0 cipher AES-256-CBC topology subnet server 192.168.10.0 255.255.255.0 push "route 192.168.10.0 255.255.255.0" push "route 172.16.0.0 255.255.0.0" ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo persist-key persist-tun client-config-dir /etc/openvpn/ccd status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn-rtk.log verb 3

А зачем пушить маршрут на саму VPN сеть?

На сервере 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0

Мальчик, позови к телефону папу

А я сваливаю

Клиент 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s8

Конф сервера mode server port 443 proto tcp dev-type tun dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/Server.crt key /etc/openvpn/Server.key dh /etc/openvpn/dh2048.pem tls-auth ta.key 0 cipher AES-256-CBC topology subnet server 192.168.10.0 255.255.255.0 push "route 192.168.10.0 255.255.255.0" push "route 172.16.0.0 255.255.0.0" ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo persist-key persist-tun client-config-dir /etc/openvpn/ccd status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn-rtk.log verb 3

iroute

выше роуты

выше роуты

лучше начать с того, что не работает. Клиент сеть ВПН видит? Клиент видит локальную сеть? Кто не может видеть сеть ВПН?

Не с сервера, не с других клиентов не достучаться до подсети 192.168.88./24

Связность между клиентами и сервером есть

выше роуты

http://backreference.org/2009/11/15/openvpn-and-iroute/

между собой пингуются

Так на сервере же нет роута до 88.0/24?

Не с сервера, не с других клиентов не достучаться до подсети 192.168.88./24

вы вносите путаницу. Что значит другие клиенты? Они тоже к ВПН серверу подсоединяются?

Еще раз есть OpenVPN сервер, к нему подключаются клиенты, один из которых имеет за собой локальную сеть. Задача получится доступ к этой локальной сети с других клиентов подключенных к этому серваку

возьмите лист бумаги, нарисуйте, как у вас сеть организована, проверьте маршрутизацию во всех точках, проверьте firewall, проверьте, что у вас настроен ip forwarding на промежуточных узлах, если подразумевается NAT, проверьте и его

Подними линуксовую виртуалку, поставь туда докер и тимсити агента (не из докера, дабы не мучаться с docker in docker), и собирай.

Вчера поднял и подключил к ТимСити Линуховый агент. Возник вопрос: можно ли в TC настроить так, чтобы субпроекты собирались и деплоились одним агентом пула, а один из этого списка - другим? У меня не получилось - не увидел привязки и ТС попытался собрать проект на новом агенте, который для этого не настроен.. ? Не хочется перенастраивать сильно: от нового агента нужная только сборка контейнера и его развёртывание.

У TC в свойствах сборки есть Agent Requirements

Но вообще лучше проекты по пулам разносить.

> один из которых имеет за собой локальную сеть Этот один клиент служит промежуточных узлом. В это случае, на других участниках этой локальной сети должен быть настроен соотвествующий маршрут с адресом этого клиента в качестве gateway,

это сделано?

на этом клиенте включен ip forward?

ясно всё с вами. Для вас у этой задачи есть простое решение, которое я уже озвучил. "Так не работает"

> один из которых имеет за собой локальную сеть Этот один клиент служит промежуточных узлом. В это случае, на других участниках этой локальной сети должен быть настроен соотвествующий маршрут с адресом этого клиента в качестве gateway,

Да сделано

на этом клиенте включен ip forward?

IP Forward включен

ну так проверяйте всё по пунктам, tcpdump используйте

такие вещи в чатике не решаются

берёте начальный пункт, проверяете роутинг, запускаете пинг, на следующем узле tcpdump'ом проверяете, что пакет приходит и уходит, потом следующий узел и тд

берёте начальный пункт, проверяете роутинг, запускаете пинг, на следующем узле tcpdump'ом проверяете, что пакет приходит и уходит, потом следующий узел и тд

странный devops нынче пошел, раз подобные вещи разжевывать приходится

Это юниор админ, который хочет быть причастен к великому :))

все там были

господа такой вопрос: мне нужно динамически собирать конфиг файл нжинкса при деплое т.к. там такая тема, что у клиента часто меняются на разных инстансах IP на сервисы кула чего перенаправлять и я хочу сделать скрипт, который бы клиент запускал и он ему в консоли уже предлагал настройку back_ip ... proxy_ip... ssl yes/no и т.д и потом подкладывать ему файл уже готовый в папку и релоад нжинкса делать, соответственно воот как это наименее безболезненно сделать? есть ли какие-то тулы/скрипты для работы из шела с файлами по разметке т.е. чтобы руками это все не ковырять искать вставлять Спасибо. P.S. я сам не админ, просто хочу облегчить жизнь людям, от докера они, почему-то, отказались по внутренним своим причинам

спасибо

сори за длиннопост

и да, у клиента админы такие себе

сами не сделают

а те вопросы на которые отвечает клиент из окружения взять нельзя?

господа такой вопрос: мне нужно динамически собирать конфиг файл нжинкса при деплое т.к. там такая тема, что у клиента часто меняются на разных инстансах IP на сервисы кула чего перенаправлять и я хочу сделать скрипт, который бы клиент запускал и он ему в консоли уже предлагал настройку back_ip ... proxy_ip... ssl yes/no и т.д и потом подкладывать ему файл уже готовый в папку и релоад нжинкса делать, соответственно воот как это наименее безболезненно сделать? есть ли какие-то тулы/скрипты для работы из шела с файлами по разметке т.е. чтобы руками это все не ковырять искать вставлять Спасибо. P.S. я сам не админ, просто хочу облегчить жизнь людям, от докера они, почему-то, отказались по внутренним своим причинам

похоже на это https://www.ibm.com/developerworks/ru/library/l-dialog/

а те вопросы на которые отвечает клиент из окружения взять нельзя?

эм не очень понял откуда я возьму, например, ip машины бэкенда

на голом сервере

похоже на это https://www.ibm.com/developerworks/ru/library/l-dialog/

это да, но меня больше интересует, как с файлом конфига попроще работать

это да, но меня больше интересует, как с файлом конфига попроще работать

первое что приходит в голову собрать переменные и пройтись sedом

как по мне норм практика, когда выносится для конкретного сервиса файл с переменными, клиент заешл прописал и ты уже парсишь и меняешь конфиги

ну эт да просто думал кто то уже разметку придумал типа делаешь темплейт файла с переменными и потом вставляешь

как по мне норм практика, когда выносится для конкретного сервиса файл с переменными, клиент заешл прописал и ты уже парсишь и меняешь конфиги

ну да, такое тоже думал.

кто-нибудь может скинуть отсюда решение? https://access.redhat.com/solutions/3326541

ansible)

consul + consul-template

кто-нибудь может скинуть отсюда решение? https://access.redhat.com/solutions/3326541

Resolution This error message is harmless and can be safely ignored. Red Hat Engineering is tracking this issue via Red Hat Bugzilla 1525715. If you would like to track the progress of this bug, please open a case with Red Hat Global Support Services. Root Cause oci-umount spec file needs an update or correction Diagnostic Steps Collect the logs after starting the container

https://bugzilla.redhat.com/show_bug.cgi?id=1525715

Resolution This error message is harmless and can be safely ignored. Red Hat Engineering is tracking this issue via Red Hat Bugzilla 1525715. If you would like to track the progress of this bug, please open a case with Red Hat Global Support Services. Root Cause oci-umount spec file needs an update or correction Diagnostic Steps Collect the logs after starting the container

спасибо

Где zabbix хранит статистику?

в базе!

в базе!

он видимо имеет ввиду в какой таблице) их там 62,если не ошибаюсь)

я подъебнуть хотел...

Ясно))) А он может хранить статистику в MongoDB?

Или только MySQL/PostgreSQL/Oracle/SQLite ?

Ясно))) А он может хранить статистику в MongoDB?

если настроишь) как я помню, там есть скрипт, который создает базу. если его поправишь, то будет там хранить

Или только MySQL/PostgreSQL/Oracle/SQLite ?

еще MariaDB

еще MariaDB

как ты мускул не назови..

но зачем

место его статистике в кликхаусе

У TC в свойствах сборки есть Agent Requirements

Я смотрел, но не понял сразу, что надо настроить "Explicit Requirements". Спасибо!

господа такой вопрос: мне нужно динамически собирать конфиг файл нжинкса при деплое т.к. там такая тема, что у клиента часто меняются на разных инстансах IP на сервисы кула чего перенаправлять и я хочу сделать скрипт, который бы клиент запускал и он ему в консоли уже предлагал настройку back_ip ... proxy_ip... ssl yes/no и т.д и потом подкладывать ему файл уже готовый в папку и релоад нжинкса делать, соответственно воот как это наименее безболезненно сделать? есть ли какие-то тулы/скрипты для работы из шела с файлами по разметке т.е. чтобы руками это все не ковырять искать вставлять Спасибо. P.S. я сам не админ, просто хочу облегчить жизнь людям, от докера они, почему-то, отказались по внутренним своим причинам

ansible,puppet,chef

спасибо

а еще такой маленький вопрос по башу