Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: openwrt + openvpn, нет пинга с клиентов  (Прочитано 3971 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Tank_T

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
openwrt + openvpn, нет пинга с клиентов
« : 17 Июня 2013, 11:15:12 »
Доброго времени суток.
Заранее извиняюсь если вопрос не в тему, не знаю куда обратиться.
Суть проблемы такая

Есть: openvpn сервер на ubuntu, настроен и работает

Есть: роутер tp-link WR1043 ND с прошивкой openwrt и установленным и настроенным клиентом openvpn на роутере, выход в интернет через 3g mts usb модем.

Описание: при выключенном openvpn все отлично работает, клиенские машины ходят в интернет через роутер отлично, если включить openvpn то происходит успешное соединение с сервером, роутер видит сервер, сервер видит роутер, с роутера пингуется локалка за openvpn сервером.

Проблема: при включенном openvpn на роутере, все машины подключенные к роутеру не видят ничего кроме роутера, т.е. ни интернет ни локалка(за сервером) не пингуются, в тоже время с пинг с роутера работает отлично.

попробовал этот совет, https://forum.ubuntu.ru/index.php?topic=140493.msg1034728#msg1034728
не помогло

Цитировать
root@OpenWrt:~# ip route
default via 10.64.64.64 dev 3g-wan3g  proto static
10.64.64.64 dev 3g-wan3g  proto kernel  scope link  src 10.82.208.96
10.98.95.0/24 via 10.98.97.218 dev tun0
10.98.96.0/23 via 10.98.97.218 dev tun0
10.98.97.218 dev tun0  proto kernel  scope link  src 10.98.96.217
10.98.98.0/24 via 10.98.97.218 dev tun0
192.168.1.0/24 via 10.98.97.218 dev tun0
192.168.66.0/24 dev br-lan  proto kernel  scope link  src 192.168.66.1
192.168.100.0/24 via 10.98.97.218 dev tun0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #1 : 17 Июня 2013, 13:08:33 »
Код: [Выделить]
iptables -nvL
iptables -t nat -nvL
на роутере что кажет во время сессии openvpn?

Оффлайн Tank_T

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #2 : 17 Июня 2013, 15:51:34 »
iptables -nvL

Код: [Выделить]
root@OpenWrt:~# iptables -nvL
Chain INPUT (policy ACCEPT 54 packets, 3750 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
 2804  360K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            ctstate RELATED,ESTABLISHED
  119  7518 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                                                                   
   44  2612 syn_flood  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            tcp flags:0x17/0x02
  345 31284 input_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   
  344 31188 input      all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            ctstate RELATED,ESTABLISHED
    0     0 forwarding_rule  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0
    0     0 forward    all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   
    0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
 2746 1039K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            ctstate RELATED,ESTABLISHED
  119  7518 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0                                                                                                   
  264 19104 output_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                 
  264 19104 output     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain forward (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 zone_lan_forward  all  --  br-lan *       0.0.0.0/0            0.0.0                                                                                                 .0/0
    0     0 zone_wan3g_forward  all  --  3g-wan3g *       0.0.0.0/0            0                                                                                                 .0.0.0/0

Chain forwarding_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain forwarding_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain forwarding_tun0 (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain forwarding_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain forwarding_wan3g (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain input (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  283 25978 zone_lan   all  --  br-lan *       0.0.0.0/0            0.0.0.0/0                                                                                                   
    1    81 zone_wan3g  all  --  3g-wan3g *       0.0.0.0/0            0.0.0.0/0                                                                                                 

Chain input_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain input_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain input_tun0 (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain input_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain input_wan3g (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain output (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  262 18960 zone_lan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0
  252 16180 zone_wan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0
  252 16180 zone_wan3g_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.                                                                                                 0.0/0
    0     0 zone_tun0_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0                                                                                                 .0/0

Chain output_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain reject (5 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            reject-with tcp-reset
    1    81 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            reject-with icmp-port-unreachable

Chain syn_flood (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
   44  2612 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            tcp flags:0x17/0x02 limit: avg 25/sec burst 50
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  283 25978 input_lan  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   
  283 25978 zone_lan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0

Chain zone_lan_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    8  2636 ACCEPT     all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0                                                                                                   
  283 25978 ACCEPT     all  --  br-lan *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_lan_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 DROP       all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0                                                                                                   
    0     0 DROP       all  --  br-lan *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_lan_REJECT (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 reject     all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0                                                                                                   
    0     0 reject     all  --  br-lan *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_lan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 zone_tun0_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0                                                                                                 .0/0
    0     0 zone_wan3g_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.                                                                                                 0.0/0
    0     0 zone_wan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0
    0     0 forwarding_lan  all  --  *      *       0.0.0.0/0            0.0.0.0                                                                                                 /0
    0     0 zone_lan_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0

Chain zone_tun0 (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 input_tun0  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   
    0     0 zone_tun0_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0                                                                                                 .0/0

Chain zone_tun0_ACCEPT (4 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain zone_tun0_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain zone_tun0_REJECT (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain zone_tun0_forward (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 forwarding_tun0  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0
    0     0 zone_tun0_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0                                                                                                 .0/0

Chain zone_wan (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            udp dpt:68
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            icmp type 8
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            tcp dpt:22
    0     0 input_wan  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   
    0     0 zone_wan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0

Chain zone_wan3g (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            tcp dpt:22
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                            udp dpt:68
    1    81 input_wan3g  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                 
    1    81 zone_wan3g_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan3g_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination
  252 16180 ACCEPT     all  --  *      3g-wan3g  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  3g-wan3g *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan3g_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      3g-wan3g  0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  3g-wan3g *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan3g_REJECT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 reject     all  --  *      3g-wan3g  0.0.0.0/0            0.0.0.0/0
    1    81 reject     all  --  3g-wan3g *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan3g_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 forwarding_wan3g  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 zone_wan3g_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan_ACCEPT (3 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_wan_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_wan_REJECT (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_wan_forward (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 forwarding_wan  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 zone_wan_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

-------------------------------------------------------

iptables -t nat -nvL

Код: [Выделить]
root@OpenWrt:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 254 packets, 24670 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  255 24875 prerouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0
  200 20943 zone_lan_prerouting  all  --  br-lan *       0.0.0.0/0            0.                                                                                                 0.0.0/0
    1    81 zone_wan3g_prerouting  all  --  3g-wan3g *       0.0.0.0/0                                                                                                             0.0.0.0/0

Chain INPUT (policy ACCEPT 146 packets, 19085 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain OUTPUT (policy ACCEPT 358 packets, 24922 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain POSTROUTING (policy ACCEPT 127 packets, 10154 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  362 25210 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0                                                                                                 .0/0
    8  2636 zone_lan_nat  all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0                                                                                                 
  231 14768 zone_wan3g_nat  all  --  *      3g-wan3g  0.0.0.0/0            0.0.0                                                                                                 .0/0

Chain postrouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 MASQUERADE  all  --  *      tun0    0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain prerouting_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain prerouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain prerouting_tun0 (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain prerouting_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain prerouting_wan3g (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain zone_lan_nat (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 

Chain zone_lan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  200 20943 prerouting_lan  all  --  *      *       0.0.0.0/0            0.0.0.0                                                                                                 /0

Chain zone_tun0_nat (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_tun0_prerouting (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 prerouting_tun0  all  --  *      *       0.0.0.0/0            0.0.0.                                                                                                 0/0

Chain zone_wan3g_nat (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
  231 14768 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_wan3g_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    1    81 prerouting_wan3g  all  --  *      *       0.0.0.0/0            0.0.0                                                                                                 .0/0

Chain zone_wan_nat (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   

Chain zone_wan_prerouting (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                                 
    0     0 prerouting_wan  all  --  *      *       0.0.0.0/0            0.0.0.0                                                                                                 /0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #3 : 17 Июня 2013, 16:31:40 »
Код: [Выделить]
cat /proc/sys/net/ipv4/ip_forwardчто кажет? (так же во время сессии)
Пользователь решил продолжить мысль 17 Июня 2013, 17:56:20:
что-то я думал, что в open-wrt нет iptables-save, а оказывается есть. Покажите лучше его выхлоп (ip_forward не отменяется).
« Последнее редактирование: 17 Июня 2013, 17:56:20 от fisher74 »

Оффлайн Tank_T

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #4 : 17 Июня 2013, 18:11:42 »
Цитата: fisher74 от 17 Июня 2013, 16:31:40
Код: [Выделить]
cat /proc/sys/net/ipv4/ip_forwardчто кажет? (так же во время сессии)
Пользователь решил продолжить мысль 17 Июня 2013, 17:56:20:
что-то я думал, что в open-wrt нет iptables-save, а оказывается есть. Покажите лучше его выхлоп (ip_forward не отменяется).

Код: [Выделить]
cat /proc/sys/net/ipv4/ip_forward0

если поставить значение 1 то все работает отлично, но после перезагрузки роутера значение опять равно нулю, принципе куда копать понятно, большое человеческое спасибо, может знаете как сделать значение постоянное ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #5 : 17 Июня 2013, 18:16:04 »
Надо понять почему оно слетает. Возможно в конфиге openvpn грабли.

Оффлайн Tank_T

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #6 : 17 Июня 2013, 18:26:44 »
Цитата: fisher74 от 17 Июня 2013, 18:16:04
Надо понять почему оно слетает. Возможно в конфиге openvpn грабли.

Поставил костыль в
Код: [Выделить]
/etc/rc.local добавил
Код: [Выделить]
echo 1 > /proc/sys/net/ipv4/ip_forward работает.

вот конфиг клиента

Цитировать
client
proto udp
dev tun
remote xxx.xxx.xxx.xxx
port 1194
persist-key
keepalive 10 120
comp-lzo
verb 2
ca /etc/openvpn/ca.crt
cert /etc/openvpn/reserve.crt
key /etc/openvpn/reserve.key

странно почему слетает на 0 ибо в
Код: [Выделить]
/etc/sysctl.conf 
Код: [Выделить]
net.ipv4.ip_forward = 1

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #7 : 17 Июня 2013, 18:28:25 »
А при разрыве сессии в каком состоянии этот параметр?

Оффлайн Tank_T

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #8 : 18 Июня 2013, 14:32:55 »
Цитата: fisher74 от 17 Июня 2013, 18:28:25
А при разрыве сессии в каком состоянии этот параметр?

При разрыве сессии параметр остается равен 1

Актуален другой вопрос.
Допустим с машины которая воткнута в роутер(клиент) я отлично пингую всю ВПН'овскую локалку, а вот пингануть машину которая за роутером(клиентом) увы никак.

В качестве ответа на пинг получаю:
Цитировать
Ответ от:(ip интерфейса tun0 роутера) Заданный порт недоступен.

Понимаю что нужно открыть в iptables на роутере icmp, но в синтаксисе не силен, прописал команду
Код: [Выделить]
iptables -A INPUT -i tun0 -p icmp --icmp-type echo-request -j ACCEPT
Толи лижи не едут... Подскажите дураку как пинговать машины за роутером по ip который они получают при втыкании в lan порт, dhcp пул 192.168.66.0\24

 

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: openwrt + openvpn, нет пинга с клиентов
« Ответ #9 : 18 Июня 2013, 16:58:38 »
Однозначно не донастроен сервер OpenVPN
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.055 секунд. Запросов: 25.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.