Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik  (Прочитано 7825 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #30 : 09 Февраля 2015, 22:24:44 »
клиент из 27 сети

(Нажмите, чтобы показать/скрыть)


openvpn serv

(Нажмите, чтобы показать/скрыть)


mikrotik

(Нажмите, чтобы показать/скрыть)




Freebsd

(Нажмите, чтобы показать/скрыть)



таблицу маршрутизации клиента из 28й сети показать не могу там сейчас кроме микротика никого нет.

показать таблицу маршрутизации 192.168.27.33 тоже не могу. этот комп работает в туннеле IPsec да еще и через "сдма".
 

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #31 : 09 Февраля 2015, 22:54:47 »
без них (клиентских машин) полной картины нет.
В представленных элементах проблемы не вижу, надо клиентов смотреть.
Правда я во фряшном файере не спец.  Как минимум я не вижу запретов на 28-ую сеть, но последние две строки толкают меня на мысль, что я скорее всего не полностью не понял механизм. Какая политика применена - запрещающая или разрешающая?
Пробуйте на клиенте 27-ой сети указать маршрут
ip route add 192.168.28.0/24 via 192.168.27.29
и попинговать с этого клиента сначала 192.168.28.1, и если удачно - глубже.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #32 : 10 Февраля 2015, 00:05:55 »
На фре послед правило запрещающее

deny ip from any to any


маршрут прописан результаты слудующие
192.168.28.12 сетевой принтер


(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #33 : 10 Февраля 2015, 08:15:20 »
На фре послед правило запрещающее

deny ip from any to any
Вот именно, но только перед ним разрешающее
allow ip from any to any

Но всё же получается микротик запирает трафик из 28-ой сети в свою.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #34 : 10 Февраля 2015, 19:02:37 »
Трасы до 192.168.27.0 ходят до впн сервака.

(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #35 : 10 Февраля 2015, 20:04:23 »
Вы опять с микротика тестируете и делаете выводы? Вы пингуете с интерфейса tun0, у которого адрес 10.15.0.1. А об этой ети знаю вообще только участники VPN. Правда со стороны микротика клиенты тоже "знают", но только за счёт
того, что микротик является дефолтным шлюзом для них.

А если с него так трейсить?
traceroute 192.168.27.1 -s 192.168.28.1

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #36 : 11 Февраля 2015, 00:12:48 »
Простите немножко некорретно выложил инфу. Это трассы из сети за микротиком. Не с самого роутера, а менно из его сети с убунты-клиента.


Трассу по вашему примеру протестить не удалось. пишет ошибку а как сделать аналог для микрота, я незнаю((

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #37 : 11 Февраля 2015, 08:20:58 »
Извините, я ещё раз повторюсь - я по фре ни аллё. Может всё же протестируем используя в качестве подопытного винду или, ещё лучше, Linux.
Добавьте ему маршрут на микротиковскую локальную сеть (28-ую), исключите влияние файрволла и припингуйте с 27-ой сети.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #38 : 11 Февраля 2015, 09:39:29 »
Это эксперементы с машинки(Windows), которая сидит в локалке, где шлюз "фря"
IP-address 192.168.27.1
маршурт я указал по аналогии
ip route add 192.168.28.0/24 via 192.168.27.29


(Нажмите, чтобы показать/скрыть)



А это результаты эксперементов с машинки (Ubuntu) которая сидела в локалке микротика с адресом 192.168.28.15(например)


(Нажмите, чтобы показать/скрыть)


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #39 : 11 Февраля 2015, 10:00:33 »
Можно ещё раз посмотреть таблесы сервера OpenVPN. Только ВСЕ таблицы, а не только nat
sudo iptables-save

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #40 : 11 Февраля 2015, 10:10:45 »
Это все, что есть из настроек Iptables на openvpn-srv

(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #41 : 11 Февраля 2015, 10:41:30 »
трассерните ту машинку на Windows, что в 27-ой сети с прописанным маршрутом
с 192.168.28.15
« Последнее редактирование: 11 Февраля 2015, 10:45:01 от fisher74 »

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #42 : 11 Февраля 2015, 18:52:05 »
Уважаемый,  fisher74, приношу лично Вам глубочайшее извинение, за отсутствие здравого смысла в своей голове!
предыстория...

на удаленном офисе на выходных был замечен рухнувший DC, а утром... пользователи зашли и работали....
офисы видят друг друга через IPsec.
меня это наоборот обрадовало.... далее лирика :)

на новом уделенном офисе не получилось завести IPsec, значит идем по пути кое-как настроенного openvpn...
и тут я начал выедать Вам и другим моск.....

включил запустил с микротик-щлюза проверил доступность сети за впн и успокоился, а таки рановато:)

приехал, проверил, по имени сервака-терминалов зайти не могу, не беда, по ip зайти не могу.

и тут пришлось учиться маршрутизации(за что Вам огромное спасибо).

после 3х дней издеваний над вашим мозгом хочу сказать, что оно работает, не совсем понимаю как, но все же.

Проблема не возможности подключиться не в схеме впн и тем, что рядом с ним, а в отсутствии на новом удаленном офисе, контроллера "RODC" чтобы не плодить костыли буду таки его поднимать.


ХУХ!!!

 

Страница сгенерирована за 0.051 секунд. Запросов: 25.