Подскажите пожалуйста решение следующих вопросов.
Сервер с установленным zentyal имеет 2 сетевые карты:
eth0 - внешняя, смотрит в интернет, с адресом, к примеру 30.40.30.40
eth1 - внутренняя, на ней средствами zentyal, подняты, DHCP, DNS, прозрачный прокси и DC - Организована сеть 172.16.0.0/24. Делал по видеоруководствам papaadmin.
Включил OpenVPN, организовалась подсеть 192.168.160.0/24 для внешних клиентов.
Хочу пустить весь трафик клиентов vpn через сервер. В веб-интерфейсе выбрал:
Интерфейс TUN, разрешил соединения клиент-клиент, указал Первый сервер DNS: 172.16.0.250
Столкнулся с проблемой следующего характера. Клиентская машина win 7, подключена к серверу:
===========================================
C:\Users\Anton>ping 188.40.74.10
Обмен пакетами с 188.40.74.10 по с 32 байтами данных:
Ответ от 188.40.74.10: число байт=32 время=64мс TTL=52
Ответ от 188.40.74.10: число байт=32 время=64мс TTL=52
Ответ от 188.40.74.10: число байт=32 время=69мс TTL=52
Ответ от 188.40.74.10: число байт=32 время=67мс TTL=52
Статистика Ping для 188.40.74.10:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 64мсек, Максимальное = 69 мсек, Среднее = 66 мсек
C:\Users\Anton>ping 2ip.ru
При проверке связи не удалось обнаружить узел 2ip.ru.
Проверьте имя узла и повторите попытку.
=============================================
Т.о. удаленная машина не получает DNS от сервера. Если в свойствах сетевого соединения в win7 указать DNS 8.8.8.8 - пинговаться узлы начинают, но вот открываться страницы явно хотят не все.
Пробовал указать в настройках сервера DNS 192.168.160.1, 8.8.8.8 и т.п. - к результату отличному от описанного не пришел.
Настройки файрволла пока дефолтные - весь трафик наружу ACCEPT.
Конфигурация сервера:
=================== server conf ============
multihome
port 1194
proto udp
dev tun0
ca '/var/lib/zentyal/CA/cacert.pem'
cert '/var/lib/zentyal/CA/certs/0C50059F0F42128C.pem'
key '/var/lib/zentyal/CA/private/vpn-BD-VPN.pem'
crl-verify /var/lib/zentyal/CA/crl/latest.pem
dh /etc/openvpn/ebox-dh1024.pem
server 192.168.160.0 255.255.255.0
ifconfig-pool-persist '/etc/openvpn/BD-VPN.d/BD-VPN-ipp.txt'
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
writepid /var/run/openvpn.BD-VPN.pid
status '/var/log/openvpn/status-BD-VPN.log'
log-append '/var/log/openvpn/BD-VPN.log'
verb 3
;mute 20
push "redirect-gateway def1"
push "dhcp-option DNS 172.16.0.250"
client-config-dir /etc/openvpn/BD-VPN.d/client-config.d
push "route 172.16.0.0 255.255.255.0"
=================== server conf ============
Клиент - настройки по умолчанию, из скачанного сервера пакета:
=================== client conf ============
client
dev tun
proto udp
remote myserver.zentyal.me 1194
float
remote-random
resolv-retry infinite
nobind
persist-key
persist-tun
ca "cacert.pem"
cert "0C50059F0F42128D.pem"
key "kna1.pem"
tls-remote vpn-BD-VPN
comp-lzo
verb 3
explicit-exit-notify 3
=================== client conf ============
И теперь вопрос 2.
Ознакомился с инструкцие по настройке опенвпн на ios/android.
http://habrahabr.ru/post/168853/На другом сервере (CentOS, asterisk) установил openvpn, настроил - заработало. Удаленный андроид подключался, на астериске сип-клиент регистрировался. Теперь появилось желание проделать все под Zentyal.
Но, т.к. авторизация по сертификатам для ios требует иных настроек openvpn сервера, чем те, что выдает веб-морда Zentyal - то вопрос следующий: достаточно ли отредактировать openvpn.mas файл в /usr/share/zentyal/stubs/openvpn/ под себя, чтобы вебморда перестала перерисовать конфигурацию в /etc/openvpn/?