Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Сеть 2-х офисов, все работает нужна помощь в донастройке  (Прочитано 1853 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
Добрый день или вечер!
Есть 2-а офиса в каждом из которых стоит по серверу на базе Ubuntu 10.10 Server, по ним брошен тунель OpenVPN. Все работает, клиент конектится к серверу и проблем никаких нет, но ПК клиентские за сервером-клиентом (что там что там) не видят другую подсеть.
Я так понимаю проблема в роутинге.

Что имеем: ОФИС №1

 Интернет (Статика, L2TP) -> маршрутизатор NetGear N300 (прошивка Tomato) 192.168.201.1 -> Сервер Ubuntu Server 192.168.201.100 (OpenVPN Server 192.168.20.1) -> Клиентские ПК получающие IP от cервера 192.168.201.0/24

           Офис №2
 Интернет (статика, pppoe) -> маршрутизатор D-LINK DIR-615 (прошивка DD-WRT) 192.168.15.1-> Сервер Ubuntu Server 192.168.15.100 (OpenVPN клиент 192.168.20.6) -> Клиентские ПК получающие IP от cервера 192.168.15.0/24

Ситуация в следующем, коннект идет нормальный вот конфиг сервера OpenVPN
port 1194
proto udp
dev tun
;dev-node tap0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 192.168.20.0 255.255.255.0 # vpn subnet
ifconfig-pool-persist ipp.txt
push "route 192.168.201.0 255.255.255.0" # home subnet
route 192.168.15.0 255.255.255.0 192.168.20.2
;duplicate-cn
keepalive 10 120
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
;status openvpn-status.log
;log-append  openvpn.log
verb 4
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd


Вот конфиг клиента OpenVPN
remote xxx.xxx.xxx.xxx 1194
client
dev tun
proto udp
resolv-retry infinite # this is necessary for DynDNS
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/office.crt
key /etc/openvpn/office.key
comp-lzo
verb 4
mute 20


Сервер OpenVPN пингует клиента-сервера (192.168.15.100) НО не пингует подсеть с компами 192.168.15.0/24
Клиент-сервер OpenVPN пингует сервер и всю подсеть 192.168.201.0/24 НО клиентские ПК 192.168.15.0/24 не видят подсеть 192.168.201.0/24

« Последнее редактирование: 24 Мая 2012, 22:45:13 от dirsex »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28337
    • Просмотр профиля
Ну?
"Я так думаю, проблема в роутинге"...
А дальше?
Где этот самый роутинг? И почему про спойлеры забываем?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн unixod

  • Участник
  • *
  • Сообщений: 114
    • Просмотр профиля
route 192.168.15.0 255.255.255.0 192.168.20.2
192.168.20.2 - нет такого адреса в описанном конфиге...

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
C сервера
netstat -nr
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.20.2    0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.20.0    192.168.20.2    255.255.255.0   UG        0 0          0 tun0
192.168.15.0    192.168.20.2    255.255.255.0   UG        0 0          0 tun0
192.168.201.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
0.0.0.0         192.168.201.1   0.0.0.0         UG        0 0          0 eth0

С клаента
netstat -nr
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.20.5    0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.20.0    192.168.20.5    255.255.255.0   UG        0 0          0 tun0
192.168.201.0   192.168.20.5    255.255.255.0   UG        0 0          0 tun0
192.168.15.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
0.0.0.0         192.168.15.1    0.0.0.0         UG        0 0          0 eth0


Пользователь решил продолжить мысль 24 Мая 2012, 20:03:35:
route 192.168.15.0 255.255.255.0 192.168.20.2
192.168.20.2 - нет такого адреса в описанном конфиге...


Тоесть нету?
« Последнее редактирование: 24 Мая 2012, 20:03:36 от dirsex »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28337
    • Просмотр профиля
Ну, а ifconfig'и где? И используй уже спойлеры, крутить страницу туда-сюда - то ещё удовольствие.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
Вобщем донастраивался я.
Ситуация сейчас очень странная

Сервер OpenVPN (офис 1) видит клиента OpenVPN (192.168.15.100 192.168.20.6) также видит маршрутизатор 2-го офиса (192.168.15.1) НО клиентов 2-го офиса не видит
Клиенты 1-го офиса вообще не видят сеть 192.168.20.0/24

Сервер-клиент OpenVPN (офис 2) видит и сервер и всех клиентов (т.е 192.168.20.0/24 192.168.201.0/24), клиенты видят сеть 192.168.20.0/24 и маршрутизатор 1-го офиса 192.168.201.100 НО клиентов 1-го не видят!

Херь какаято!

Привожу заного все конфиги

1 - офис, добавил на роутер маршрут
192.168.20.0   255.255.255.0   192.168.201.100    Конфиг OpenVPN сервера
(Нажмите, чтобы показать/скрыть)
ifconfig сервера OpenVPN
(Нажмите, чтобы показать/скрыть)
netstat -nr сервера
(Нажмите, чтобы показать/скрыть)

Клиенты этого офиса, netstat -nr
(Нажмите, чтобы показать/скрыть)

2- офис
Добавил маршрут на роутер
Цитировать
192.168.20.0 255.255.255.0 192.168.15.100 LAN & WLAN
192.168.201.0 255.255.255.0 192.168.15.100 LAN & WLAN

Клиент-сервер OpenVPN конфиг
(Нажмите, чтобы показать/скрыть)

netstat -nr этого же компа
(Нажмите, чтобы показать/скрыть)
ifconfig
(Нажмите, чтобы показать/скрыть)

Клиенты 2-го офиса
netstat -nr c win машины
(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Таки на клиент-сервере ip_forward по ходу не включен

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
cat /proc/sys/net/ipv4/ip_forward
1

что там, что там

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
с файрволлами не игрались?
sudo iptables-save с обоих можете показать?

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
iptables-save 1-го
[spoiler]
# Generated by iptables-save v1.4.4 on Fri May 25 06:17:11 2012
*filter
:INPUT ACCEPT [52233834:32185488627]
:FORWARD ACCEPT [2137:594168]
:OUTPUT ACCEPT [125428566:164660315238]
:fail2ban-default - [0:0]
-A INPUT -p tcp -j fail2ban-default
-A INPUT -p tcp -j fail2ban-default
-A INPUT -p tcp -j fail2ban-default
-A INPUT -s 222.77.14.229/32 -j DROP
-A fail2ban-default -j RETURN
-A fail2ban-default -j RETURN
-A fail2ban-default -j RETURN
COMMIT
# Completed on Fri May 25 06:17:11 2012[/spoiler]


iptables-save 2-го вообще пустые

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Клиеты 1-ого оффиса не попадут на 15-ую сеть. Дефолтный на роутер, на котором только ненужная им 20-ая сетка.

Пользователь решил продолжить мысль 24 Мая 2012, 23:17:53:
Вы бы на роутер лучше добавили
192.168.15.0   255.255.255.0   192.168.201.100А 20-ая ему не нужна
« Последнее редактирование: 24 Мая 2012, 23:17:53 от fisher74 »

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
Клиеты 1-ого оффиса не попадут на 15-ую сеть. Дефолтный на роутер, на котором только ненужная им 20-ая сетка.

Как пробросить чтобы 15-ю сетку видели? На маршрутике надо?

Пользователь решил продолжить мысль 24 Мая 2012, 23:23:28:
Сделал как сказали
192.168.15.0   255.255.255.0   192.168.201.100
изменил маршрут

Сервер пингует 192.168.15.100(клиент впн) и 192.168.15.1(маршрутизатор 2го офиса)
локальную сетку 2-го офиса не пингует(

Пользователь решил продолжить мысль 24 Мая 2012, 23:24:10:
Клиент 1-го офиса не видит 15-ю сетку(

Пользователь решил продолжить мысль 24 Мая 2012, 23:28:58:
Все сервер 1-го офиса видит сетку 2-го!!!

Проблема осталось тока в том чтобы клиенты 1-го видели клиентов 2-го и наоборот

Пользователь решил продолжить мысль 24 Мая 2012, 23:45:38:
Как то странно, клиенты 1-го офиса вообще не видят 15 сеть
клиенты 2-го офиса видят, но не всех(
« Последнее редактирование: 24 Мая 2012, 23:45:38 от dirsex »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Ну так во 2-ом офисе клиентам тоже нужно дать маршрут на 201-ую сетку
192.168.201.0 255.255.255.0 192.168.15.100

В роутере 192.168.15.1 или на всех клиентах.

Оффлайн S-VL

  • Автор темы
  • Участник
  • *
  • Сообщений: 166
  • All OS
    • Просмотр профиля
Я прописал - не помогло(

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
с клиента второй сети пинг на 192.168.201.100 что кажет?

 

Страница сгенерирована за 0.04 секунд. Запросов: 26.