Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik

[fisher74]

нехватка маршрута или правила какого

На клиентах кто дефолтный шлюз? Микротик?

[beneshe]

да микротик
локалка сидит за нат

[fisher74]

туннель тоже заNATен? в микротике с файером всё нормально?
Пользователь решил продолжить мысль 09 Февраля 2015, 12:34:47:192.168.27.29 тоже не пингуется? начинайте проверять именно с этого адреса. Если он пингуется, то как минимум, до ценрального офиса Вы добрались

[beneshe]

firewall пустой там правил апще нет.

в НАТ 2 правила собственно сам НАТ и перед ним правило

chain srcnat

src. address 192.168.28.0/24
dst. address 192.168.27.0/24

больше никаких галочек нет.
интернет работает.
на микротике тунель пашет даже телнетом прицепился в терминалу.

клиентом с "28" сети пингую адрес впн сервака.

[fisher74]

192.168.27.29 тоже не пингуется?

?
Пользователь решил продолжить мысль 09 Февраля 2015, 12:48:31:А вы форвард пакетов на сервере OpenVPN разрешали?
sysctl net.ipv4.ip_forward - должна быть 1

[beneshe]

форвард включен специально проверял.
192.168.27.29 пингуется с клиента за микротиком.
вся сеть пингует 192.168.27.29

[fisher74]

значит грабли точно на стороне центрального офиса.
Могу предложить временный костыль: на тех компах, к которым требуется доступ из удалённого офиса, добавьте статический маршрут, такой же как на фряхе добавляли.

[beneshe]

Так дело в том, что я могу с микротика работать с любым компом в "27" сети.
Телнетом цеплялся с микротика к серверу терминалов на 3389 порт
С сервера openvpn полнеценно могу лезть на любой порт в 192.168.27.0/24 сеть.

Ща правила фаера закину фряшного.

(Нажмите, чтобы показать/скрыть)

stargate# ipfw show
00881        0          0 allow ip from 95.67.62.171 to me via em0 dst-port 1723
00882        0          0 allow tcp from 82.144.216.137 to me via em0 dst-port 3391
00883        0          0 allow tcp from 212.90.174.98 to me via em0 dst-port 3391
00884        3        152 deny tcp from any to me via em0 dst-port 3391
00885        4        240 deny tcp from any to me via em0 dst-port 5366
00886       18        760 deny ip from any to me via em0 dst-port 3128
00887        0          0 allow ip from 22.11.180.190 to 192.168.27.9 dst-port 25,443
00890        0          0 allow ip from 176.111.63.35 to me via em0 dst-port 1723
00891     1370      81340 allow ip from any to me via em0 dst-port 1723
00892        0          0 deny ip from any to me via em0 dst-port 199
00893        2         80 deny ip from any to me via em0 dst-port 21
00895        0          0 deny ip from any to me via em0 dst-port 5006
00896        0          0 deny ip from any to me via em0 dst-port 4889
00897        2         96 deny ip from any to me via em0 dst-port 139
00898       27       1096 deny ip from any to me via em0 dst-port 445
00899        8        320 deny ip from any to me via em0 dst-port 3306
00910        0          0 deny ip from table(1) to 192.168.27.0/24
00911        0          0 allow ip from 192.168.27.56 to 192.168.27.9 dst-port 25,443
01000  7529456 4888725004 divert 8668 ip from any to any via em0
01001 15544890 9950818679 allow ip from any to any
01110        0          0 deny ip from 172.16.0.0/12 to any in via em0
01120        0          0 deny ip from any to 172.16.0.0/12 in via em0
01130        0          0 deny ip from 192.168.0.0/16 to any in via em0
01140        0          0 deny ip from 10.0.0.0/8 to any in recv em0
01150        0          0 deny ip from any to 10.0.0.0/8 in recv em0
01160        0          0 deny ip from 169.254.0.0/16 to any in recv em0
01170        0          0 deny ip from any to 169.254.0.0/16 in recv em0
01180        0          0 allow esp from me to 212.90.174.98
01190        0          0 allow esp from 22.11.174.98 to me
01200        0          0 allow udp from 22.11.174.98 to me dst-port 500
01210        0          0 allow esp from me to 195.78.112.60
01210        0          0 allow udp from 192.168.27.90 to any
01220        0          0 allow esp from 195.78.112.60 to me
01220        0          0 allow udp from 192.168.27.70 to any
01230        0          0 allow udp from 195.78.112.60 to me dst-port 500
01230        0          0 allow udp from 192.168.27.58 to any
01240        0          0 allow tcp from any to any dst-port 7002
01330        0          0 deny ip from any to 195.222.187.87 out via em0
01430        0          0 deny ip from any to 195.222.187.88 out via em0
01530        0          0 deny ip from any to 212.119.208.28 out via em0
01630        0          0 deny ip from any to 212.119.208.29 out via em0
01730        0          0 deny ip from any to 217.20.147.94
01830        0          0 deny ip from any to 87.240.131.99
01930        0          0 allow udp from any to 192.168.27.58
02030        0          0 allow udp from any to 192.168.27.70
02130        0          0 allow udp from any to 192.168.27.90
65000        0          0 allow ip from any to any
65535        0          0 deny ip from any to any

[fisher74]

с микротика Вы попадаете с адресом из сети VPN, то есть 10.15.0.2 (скорее всего)

[beneshe]

сервер openvpn 192.168.27.29

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.15.0.1  P-t-P:10.15.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:148848 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58409 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:7565801 (7.5 MB)  TX bytes:8106398 (8.1 MB)

[fisher74]

именно так я себе это и представлял. Только к чему это?
У Вас клиенты 27-ой сети не знают о маршрутах до клиентов 28-ой. Или знают, но кто-то их не пускает. Или фря или сервер VPN. Исключите фрю и можно будет делать выводы.
Микротик достукивается до сервера терминалов с source-address из сети VPN, а не 27-ой сети

ЗЫ извините, что долго отвечал: ответ написал,но отвлекли на повреждение до нажатия "Отправить"

[beneshe]

Пока пустил в работу через костыль всех теперь можно будет спокойно заняться настройкой.

Смотрите есть 2 сети:


192.168.28.0/24

ROUTER "MIKROTIK"
wan   address 1.1.1.1
lan   adress 192.168.28.1
o-vpn address 10.15.0.6


192.168.27.0/24
GW-FREEBSD
wan adress 2.2.2.2
lan adress 192.168.27.56

TERMINAL
192.168.27.33

Openvpn(ubuntu)
wan 192.168.27.29
tuno 10.15.0.1
p-t-p 10.15.0.2 (подскажите что за адрес)


теперь сама ситуация.

с роутера "мокротик"
через впн пинги идут до 27 сети на любой хост

(Нажмите, чтобы показать/скрыть)

пинги адреса openvpn в туннель

[admin@MikroTik] > ping 10.15.0.1 SEQ HOST SIZE TTL TIME STATUS
0 10.15.0.1 56 64 2ms
1 10.15.0.1 56 64 2ms
sent=2 received=2 packet-loss=0% min-rtt=2ms avg-rtt=2ms max-rtt=2ms

ping eth0 (address 192.168.27.29)

[admin@MikroTik] > ping 192.168.27.29
SEQ HOST SIZE TTL TIME STATUS 0
192.168.27.29 56 64 2ms
1 192.168.27.29 56 64 10ms
2 192.168.27.29 56 64 2ms
3 192.168.27.29 56 64 2ms
sent=4 received=4 packet-loss=0% min-rtt=2ms avg-rtt=4ms max-rtt=10ms

ping в сеть "27" 192.168.27.56


[admin@MikroTik] > ping 192.168.27.56
SEQ HOST SIZE TTL TIME STATUS
0 192.168.27.56 56 63 2ms
1 192.168.27.56 56 63 5ms
2 192.168.27.56 56 63 5ms
3 192.168.27.56 56 63 4ms
sent=4 received=4 packet-loss=0% min-rtt=2ms avg-rtt=4ms max-rtt=5ms

Но из локальной сети микротика ping идут в туннель до интерфейса openvpn-serv eth0 (192.168.27.29)

traceroute с клиента сети 192.168.28.0/24

(Нажмите, чтобы показать/скрыть)

[16:52][root][/home/admin]# traceroute 192.168.27.56
traceroute to 192.168.27.56 (192.168.27.56), 30 hops max, 60 byte packets
 1  192.168.28.1 (192.168.28.1)  0.232 ms  0.251 ms  0.318 ms
 2  10.15.0.1 (10.15.0.1)  8.614 ms  44.405 ms  44.411 ms

Таблица маршрутизации сервера openvpn:

(Нажмите, чтобы показать/скрыть)

root@ubuntu:/home/ing# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.27.56   0.0.0.0         UG        0 0          0 eth0
10.15.0.0       10.15.0.2       255.255.255.0   UG        0 0          0 tun0
10.15.0.2       0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.27.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.28.0    10.15.0.2       255.255.255.0   UG        0 0          0 tun0

ifconfig openvpn-srv

(Нажмите, чтобы показать/скрыть)

root@ubuntu:/home/ing# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:76:cb:87
          inet addr:192.168.27.29  Bcast:192.168.27.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe76:cb87/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21135 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32927 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2804347 (2.8 MB)  TX bytes:2872105 (2.8 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.15.0.1  P-t-P:10.15.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:10466 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4008 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:631276 (631.2 KB)  TX bytes:401101 (401.1 KB)

[fisher74]

для полной картины не хватает таблиц маршрутизации всех участников расследования (особенно 192.168.27.56) и iptables-save (Вы уверяете что пустой, но вдруг) и sysctl net.ipv4.ip_forward (тоже "вдруг")

[beneshe]

таблица фри 192.168.27.56

(Нажмите, чтобы показать/скрыть)

stargate# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            22.22.180.189     UGS         0 16886858    em0
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.25.0/24    gif0               US          0  1402478   gif0
192.168.25.254     192.168.27.56      UH          0        0   gif0
192.168.27.0/24    link#3             UC          0        0   fxp0
192.168.27.1       00:1e:c9:f8:e9:f5  UHLW        1   918287   fxp0   1189
192.168.27.2       00:21:9b:fb:2c:76  UHLW        1     5174   fxp0   1169
192.168.27.3       00:18:f3:c5:0f:de  UHLW        1        0   fxp0    837
192.168.27.5       00:0c:29:7f:46:f1  UHLW        1    15450   fxp0   1195
192.168.27.9       00:0c:29:5a:32:00  UHLW        1   422035   fxp0   1193
192.168.27.15      00:1f:29:20:a1:1c  UHLW        1       32   fxp0    902
192.168.27.17      192.168.27.56      UH          0   814627    ng0
192.168.27.17      00:e0:81:2c:44:87  UHLS2       1        0   fxp0
192.168.27.29      00:0c:29:76:cb:87  UHLW        2   269194   fxp0   1200
192.168.27.33      192.168.27.56      UH          0    68949    ng1
192.168.27.33      00:e0:81:2c:44:87  UHLS2       1        0   fxp0
192.168.27.55      00:24:1d:23:09:89  UHLW        1   511881   fxp0   1102
192.168.27.59      54:42:49:58:72:e8  UHLW        1      391   fxp0    748
192.168.27.69      00:0c:29:4f:f2:7d  UHLW        1  3979855   fxp0   1197
192.168.27.73      00:1e:8c:82:b0:b7  UHLW        1    62583   fxp0   1094
192.168.27.77      00:24:21:f0:c2:22  UHLW        1   227306   fxp0   1190
192.168.27.81      08:60:6e:6f:13:1f  UHLW        1   684641   fxp0   1098
192.168.27.90      6c:f0:49:5c:7b:d0  UHLW        1    21350   fxp0   1200
192.168.27.154     40:61:86:0a:2f:22  UHLW        1    27592   fxp0   1034
192.168.27.155     00:1e:8f:b1:36:28  UHLW        1      697   fxp0    656
192.168.27.158     dc:0e:a1:20:7f:fa  UHLW        1    84979   fxp0   1170
192.168.27.165     00:17:31:f5:ec:3a  UHLW        1    42271   fxp0   1189
192.168.27.169     54:42:49:58:b8:4d  UHLW        1   234660   fxp0   1199
192.168.27.170     c8:9c:dc:ef:97:f1  UHLW        1   424425   fxp0   1090
192.168.27.171     00:1d:92:22:fd:59  UHLW        1     5003   fxp0   1186
192.168.27.202     ac:f1:df:2f:74:e2  UHLW        1   798714   fxp0   1199
192.168.27.208     60:a4:4c:ca:a8:56  UHLW        1     1692   fxp0   1190
192.168.27.228     08:60:6e:7d:de:63  UHLW        1     1416   fxp0   1169
192.168.28.0/24    192.168.27.29      UGS         0    19597   fxp0
22.22.180.188/30  link#1             UC          0        0    em0
22.22.180.189     64:87:88:5b:8a:5a  UHLW        2        0    em0    145

таблица маршрутизации "микротика"

(Нажмите, чтобы показать/скрыть)

 [admin@MikroTik] /ip> route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 195.78.112.49 1
1 ADS 10.15.0.0/24 10.15.0.5 0
2 ADC 10.15.0.5/32 10.15.0.6 ovpn-out1 0
3 ADS 192.168.27.0/24 10.15.0.5 1
4 ADC 192.168.28.0/24 192.168.28.1 ether3 0
5 ADC 11.11.112.48/28 11.11.112.60 ether2 0

openvpn

(Нажмите, чтобы показать/скрыть)

root@ubuntu:/home/ing# cat /proc/sys/net/ipv4/ip_forward
1

вывод iptables-save

(Нажмите, чтобы показать/скрыть)

root@ubuntu:/home/ing# iptables-save
# Generated by iptables-save v1.4.21 on Mon Feb  9 17:31:40 2015
*nat
:PREROUTING ACCEPT [18873:916350]
:INPUT ACCEPT [836:80239]
:OUTPUT ACCEPT [68:4470]
:POSTROUTING ACCEPT [16317:731991]
-A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb  9 17:31:40 2015

[fisher74]

А с 192.168.27.33 можете показать таблицу маршрутизации?

Извините, но информацию Вы предоставляете вообще вырви глаз. Неужели нельзя поэлементно собрать?
Сервер OpenVPN - ip a; ip r; sudo iptables-save
микротик - ip a; ip r; sudo iptables-save
фря - ip a; ip r; sudo iptables-save
клиент 27-ой сети - ip a; ip r; sudo iptables-save
клиент 28-й сети - ip a; ip r; sudo iptables-save
Естественно, команды нужно менять на соответствующие к используемой системе.

А то пишите в сервер OpenVPN - wan, а там lan (eth0). Кстати маскарад на этом порту (если это lan) нарушает принцип сквозной маршрутизации.