Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik  (Прочитано 6280 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #15 : 09 Февраль 2015, 12:27:23 »
нехватка маршрута или правила какого
На клиентах кто дефолтный шлюз? Микротик?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #16 : 09 Февраль 2015, 12:29:07 »
да микротик
локалка сидит за нат

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #17 : 09 Февраль 2015, 12:32:49 »
туннель тоже заNATен? в микротике с файером всё нормально?

Пользователь решил продолжить мысль 09 Февраль 2015, 12:34:47:
192.168.27.29 тоже не пингуется? начинайте проверять именно с этого адреса. Если он пингуется, то как минимум, до ценрального офиса Вы добрались
« Последнее редактирование: 09 Февраль 2015, 12:34:47 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #18 : 09 Февраль 2015, 12:37:50 »
firewall пустой там правил апще нет.

в НАТ 2 правила собственно сам НАТ и перед ним правило

chain srcnat

src. address 192.168.28.0/24
dst. address 192.168.27.0/24

больше никаких галочек нет.
интернет работает.
на микротике тунель пашет даже телнетом прицепился в терминалу.

клиентом с "28" сети пингую адрес впн сервака.
« Последнее редактирование: 09 Февраль 2015, 12:39:45 от beneshe »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #19 : 09 Февраль 2015, 12:46:20 »
192.168.27.29 тоже не пингуется?
?

Пользователь решил продолжить мысль 09 Февраль 2015, 12:48:31:
А вы форвард пакетов на сервере OpenVPN разрешали?
sysctl net.ipv4.ip_forward - должна быть 1
« Последнее редактирование: 09 Февраль 2015, 12:48:31 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #20 : 09 Февраль 2015, 12:56:57 »
форвард включен специально проверял.
192.168.27.29 пингуется с клиента за микротиком.
вся сеть пингует 192.168.27.29
« Последнее редактирование: 09 Февраль 2015, 12:59:00 от beneshe »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #21 : 09 Февраль 2015, 13:02:19 »
значит грабли точно на стороне центрального офиса.
Могу предложить временный костыль: на тех компах, к которым требуется доступ из удалённого офиса, добавьте статический маршрут, такой же как на фряхе добавляли.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #22 : 09 Февраль 2015, 13:08:02 »
Так дело в том, что я могу с микротика работать с любым компом в "27" сети.
Телнетом цеплялся с микротика к серверу терминалов на 3389 порт
С сервера openvpn полнеценно могу лезть на любой порт в 192.168.27.0/24 сеть.

Ща правила фаера закину фряшного.

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 09 Февраль 2015, 13:12:12 от beneshe »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #23 : 09 Февраль 2015, 13:18:51 »
с микротика Вы попадаете с адресом из сети VPN, то есть 10.15.0.2 (скорее всего)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #24 : 09 Февраль 2015, 13:24:49 »
сервер openvpn 192.168.27.29

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.15.0.1  P-t-P:10.15.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:148848 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58409 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:7565801 (7.5 MB)  TX bytes:8106398 (8.1 MB)


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #25 : 09 Февраль 2015, 14:18:51 »
именно так я себе это и представлял. Только к чему это?
У Вас клиенты 27-ой сети не знают о маршрутах до клиентов 28-ой. Или знают, но кто-то их не пускает. Или фря или сервер VPN. Исключите фрю и можно будет делать выводы.
Микротик достукивается до сервера терминалов с source-address из сети VPN, а не 27-ой сети

ЗЫ извините, что долго отвечал: ответ написал,но отвлекли на повреждение до нажатия "Отправить"
« Последнее редактирование: 09 Февраль 2015, 14:23:13 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #26 : 09 Февраль 2015, 18:04:32 »
Пока пустил в работу через костыль всех теперь можно будет спокойно заняться настройкой.

Смотрите есть 2 сети:


192.168.28.0/24

ROUTER "MIKROTIK"
wan   address 1.1.1.1
lan   adress 192.168.28.1
o-vpn address 10.15.0.6


192.168.27.0/24
GW-FREEBSD
wan adress 2.2.2.2
lan adress 192.168.27.56

TERMINAL
192.168.27.33

Openvpn(ubuntu)
wan 192.168.27.29
tuno 10.15.0.1
p-t-p 10.15.0.2 (подскажите что за адрес)


теперь сама ситуация.

с роутера "мокротик"
через впн пинги идут до 27 сети на любой хост



(Нажмите, чтобы показать/скрыть)

Но из локальной сети микротика ping идут в туннель до интерфейса openvpn-serv eth0 (192.168.27.29)

traceroute с клиента сети 192.168.28.0/24

(Нажмите, чтобы показать/скрыть)

Таблица маршрутизации сервера openvpn:


(Нажмите, чтобы показать/скрыть)


ifconfig openvpn-srv

(Нажмите, чтобы показать/скрыть)


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #27 : 09 Февраль 2015, 18:13:07 »
для полной картины не хватает таблиц маршрутизации всех участников расследования (особенно 192.168.27.56) и iptables-save (Вы уверяете что пустой, но вдруг) и sysctl net.ipv4.ip_forward (тоже "вдруг")
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #28 : 09 Февраль 2015, 18:34:09 »
таблица фри 192.168.27.56


(Нажмите, чтобы показать/скрыть)


таблица маршрутизации "микротика"

(Нажмите, чтобы показать/скрыть)

openvpn

(Нажмите, чтобы показать/скрыть)


вывод iptables-save

(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #29 : 09 Февраль 2015, 21:05:11 »
А с 192.168.27.33 можете показать таблицу маршрутизации?

Извините, но информацию Вы предоставляете вообще вырви глаз. Неужели нельзя поэлементно собрать?
Сервер OpenVPN - ip a; ip r; sudo iptables-save
микротик - ip a; ip r; sudo iptables-save
фря - ip a; ip r; sudo iptables-save
клиент 27-ой сети - ip a; ip r; sudo iptables-save
клиент 28-й сети - ip a; ip r; sudo iptables-save
Естественно, команды нужно менять на соответствующие к используемой системе.

А то пишите в сервер OpenVPN - wan, а там lan (eth0). Кстати маскарад на этом порту (если это lan) нарушает принцип сквозной маршрутизации.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.112 секунд. Запросов: 25.