OpenVPN + Dlink DES-1100-16

[anubis_donetsk]

Имеется сетка 192.168.10.х локалка
Шлюз 192.168.10.5 Mikrotik с добавленным маршрутом

Код: [Выделить]

1 A S  10.8.0.0/24                        192.168.10.9              1Сервер с Ubuntu amd64 192.168.10.9 с настроенным openvpn

Код: [Выделить]

port 2194
proto udp
dev tun
fast-io
topology subnet
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key 
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 192.168.10.7"
client-config-dir /etc/openvpn/ccd
client-to-client
keepalive 10 120
auth SHA1
cipher AES-128-CBC   # AES
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
verb 3
mute 3


Имеем openvpn клиента

Код: [Выделить]

client
dev tun
proto udp
remote x.x.x.x
port 2194
auth SHA1
cipher AES-128-CBC
ns-cert-type server
persist-key
persist-tun
verb 3
mute 5
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----
</key>


так же имеем Dlink DES-1100-16 c адресом 192.168.10.4

Проблема в том что через VPN немогу попасть на веб-морду свича, остальные веб открываются нормально, смотрел tcpdump, пакеты ходять.

tcpdump -ni tun0

(Нажмите, чтобы показать/скрыть)

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
08:21:13.800103 IP 10.8.0.2.55685 > 192.168.10.4.80: Flags , seq 491653932, win 13140, options [mss 1353,sackOK,TS val 16571622 ecr 0,nop,wscale 1], length 0
08:21:14.039514 IP 10.8.0.2.55686 > 192.168.10.4.80: Flags , seq 2264740967, win 13140, options [mss 1353,sackOK,TS val 16571647 ecr 0,nop,wscale 1], length 0
08:21:14.044583 IP 192.168.10.4.80 > 10.8.0.2.55686: Flags [S.], seq 240426360, ack 2264740968, win 1400, options [mss 1460], length 0
08:21:14.246912 IP 192.168.10.4.80 > 10.8.0.2.55685: Flags [S.], seq 240426350, ack 491653933, win 1400, options [mss 1460], length 0
08:21:14.279950 IP 10.8.0.2.55686 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:14.519660 IP 10.8.0.2.55686 > 192.168.10.4.80: Flags [P.], seq 1:405, ack 1, win 13140, length 404
08:21:14.545529 IP 192.168.10.5.80 > 10.8.0.2.55686: Flags [P.], seq 240426361:240426945, ack 2264741372, win 1400, length 584
08:21:14.559057 IP 10.8.0.2.55685 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:15.099594 IP 10.8.0.2.55686 > 192.168.10.5.80: Flags [R], seq 2264741372, win 0, length 0
08:21:17.798690 IP 10.8.0.2.55686 > 192.168.10.4.80: Flags [P.], seq 1:405, ack 1, win 13140, length 404
08:21:17.804167 IP 192.168.10.4.80 > 10.8.0.2.55686: Flags [R.], seq 1, ack 2, win 13140, length 0
08:21:18.798595 IP 10.8.0.2.55685 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:18.909192 IP 192.168.10.5.80 > 10.8.0.2.55685: Flags [P.], seq 240426351:240426935, ack 491654363, win 1400, length 584
08:21:19.276509 IP 192.168.10.5.80 > 10.8.0.2.55685: Flags [P.], seq 0:584, ack 1, win 1400, length 584
08:21:19.279679 IP 10.8.0.2.55685 > 192.168.10.5.80: Flags [R], seq 491654363, win 0, length 0
08:21:19.620179 IP 10.8.0.2.55685 > 192.168.10.5.80: Flags [R], seq 491654363, win 0, length 0
08:21:22.178958 IP 10.8.0.2.55685 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:22.184270 IP 192.168.10.4.80 > 10.8.0.2.55685: Flags [R.], seq 1, ack 2, win 13140, length 0
08:21:22.619688 IP 10.8.0.2.55687 > 192.168.10.4.80: Flags , seq 1345053109, win 13140, options [mss 1353,sackOK,TS val 16572499 ecr 0,nop,wscale 1], length 0
08:21:22.625685 IP 192.168.10.4.80 > 10.8.0.2.55687: Flags [S.], seq 240427220, ack 1345053110, win 1400, options [mss 1460], length 0
08:21:22.819294 IP 10.8.0.2.55688 > 192.168.10.4.80: Flags , seq 1055081543, win 13140, options [mss 1353,sackOK,TS val 16572524 ecr 0,nop,wscale 1], length 0
08:21:22.822518 IP 192.168.10.4.80 > 10.8.0.2.55688: Flags [S.], seq 240427240, ack 1055081544, win 1400, options [mss 1460], length 0
08:21:22.898969 IP 10.8.0.2.55687 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:23.140984 IP 10.8.0.2.55687 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:23.167682 IP 192.168.10.5.80 > 10.8.0.2.55687: Flags [P.], seq 240427221:240427805, ack 1345053540, win 1400, length 584
08:21:23.180976 IP 10.8.0.2.55688 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:23.518964 IP 10.8.0.2.55687 > 192.168.10.5.80: Flags [R], seq 1345053540, win 0, length 0
08:21:26.500690 IP 10.8.0.2.55687 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:26.506189 IP 192.168.10.4.80 > 10.8.0.2.55687: Flags [R.], seq 1, ack 2, win 13140, length 0
08:21:32.707926 IP 10.8.0.2.55688 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:32.900264 IP 192.168.10.5.80 > 10.8.0.2.55688: Flags [P.], seq 240427241:240427825, ack 1055081974, win 1400, length 584
08:21:33.544839 IP 192.168.10.5.80 > 10.8.0.2.55688: Flags [P.], seq 0:584, ack 1, win 1400, length 584
08:21:33.581184 IP 10.8.0.2.55688 > 192.168.10.5.80: Flags [R], seq 1055081974, win 0, length 0
08:21:34.241003 IP 10.8.0.2.55688 > 192.168.10.5.80: Flags [R], seq 1055081974, win 0, length 0
08:21:35.460764 IP 10.8.0.2.55688 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:35.465066 IP 192.168.10.4.80 > 10.8.0.2.55688: Flags [R.], seq 1, ack 2, win 13140, length 0
08:21:35.861182 IP 10.8.0.2.55689 > 192.168.10.4.80: Flags , seq 2500899984, win 13140, options [mss 1353,sackOK,TS val 16573828 ecr 0,nop,wscale 1], length 0
08:21:35.865714 IP 192.168.10.4.80 > 10.8.0.2.55689: Flags [S.], seq 240428540, ack 2500899985, win 1400, options [mss 1460], length 0
08:21:36.121967 IP 10.8.0.2.55690 > 192.168.10.4.80: Flags , seq 1361232967, win 13140, options [mss 1353,sackOK,TS val 16573853 ecr 0,nop,wscale 1], length 0
08:21:36.128106 IP 192.168.10.4.80 > 10.8.0.2.55690: Flags [S.], seq 240428560, ack 1361232968, win 1400, options [mss 1460], length 0
08:21:36.161476 IP 10.8.0.2.55689 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:36.440616 IP 10.8.0.2.55689 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:36.467564 IP 192.168.10.5.80 > 10.8.0.2.55689: Flags [P.], seq 240428541:240429125, ack 2500900415, win 1400, length 584
08:21:36.471899 IP 192.168.10.4.80 > 10.8.0.2.55690: Flags [S.], seq 240428560, ack 1361232968, win 1400, options [mss 1460], length 0
08:21:36.521370 IP 10.8.0.2.55690 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:36.841182 IP 10.8.0.2.55689 > 192.168.10.5.80: Flags [R], seq 2500900415, win 0, length 0
08:21:36.882098 IP 10.8.0.2.55690 > 192.168.10.4.80: Flags [.], ack 1, win 13140, length 0
08:21:39.680308 IP 10.8.0.2.55689 > 192.168.10.4.80: Flags [P.], seq 1:431, ack 1, win 13140, length 430
08:21:39.683633 IP 192.168.10.4.80 > 10.8.0.2.55689: Flags [R.], seq 1, ack 2, win 13140, length 0
08:21:46.579202 IP 10.8.0.2.55690 > 192.168.10.4.80: Flags [F.], seq 1, ack 1, win 13140, length 0
08:21:46.584310 IP 192.168.10.4.80 > 10.8.0.2.55690: Flags [F.], seq 1, ack 2, win 1400, length 0
08:21:46.913878 IP 192.168.10.4.80 > 10.8.0.2.55690: Flags [F.], seq 1, ack 2, win 1400, length 0
08:21:47.179052 IP 10.8.0.2.55690 > 192.168.10.4.80: Flags [.], ack 2, win 13140, length 0
08:21:47.218469 IP 10.8.0.2.55690 > 192.168.10.4.80: Flags [.], ack 2, win 13140, length 0
08:21:47.222047 IP 192.168.10.4.80 > 10.8.0.2.55690: Flags [R.], seq 2, ack 3, win 13140, length 0

В чем может быть трабл?


P.S. пока траблу решил костылем

на 192.168.10.9 добавил

Код: [Выделить]

/sbin/iptables -t nat -A POSTROUTING -o eth0 -d 192.168.10.4 -j SNAT --to-source 192.168.10.9и все работает, но не хотелось бы городить нат

[fisher74]

так же имеем Dlink DES-1100-16 c адресом 192.168.10.4

если правило SNAT помогло, то явно проблема с маршрутизацией на свиче.

[anubis_donetsk]

ТОка в свиче нет настроек маршрутизации ((((

[fisher74]

и дефолтного шлюза нет? Тогда оставляйте костыль. Очень даже миленький ))) только я бы ещё добавил -i tun+

[bukass]

anubis_donetsk,
На D-link

Код: [Выделить]

create iproute default <ipaddr>
?

[anubis_donetsk]

fisher74,
Дефолтовый шлюз прописан, все равно не работает.

bukass,
В этой железяке нет консоли, тока вебморда ((((

[fisher74]

Дефолтовый шлюз прописан, все равно не работает.

Значит указанный шлюз не знает где сеть VPN.
А ... поднялся в первый пост.... должен видеть...
Но может в его iptables-ах запрещено.

А Вы на этот шлюз заходите?

[anubis_donetsk]

Все разобрался. Тока озарило. На микротике маскарад стоял без указания выходного интерфейса. Микротик настраивал не я. Исправил - заработало.