Форум русскоязычного сообщества Ubuntu


Автор Тема: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik  (Прочитано 6274 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #30 : 09 Февраль 2015, 22:24:44 »
клиент из 27 сети

(Нажмите, чтобы показать/скрыть)


openvpn serv

(Нажмите, чтобы показать/скрыть)


mikrotik

(Нажмите, чтобы показать/скрыть)




Freebsd

(Нажмите, чтобы показать/скрыть)



таблицу маршрутизации клиента из 28й сети показать не могу там сейчас кроме микротика никого нет.

показать таблицу маршрутизации 192.168.27.33 тоже не могу. этот комп работает в туннеле IPsec да еще и через "сдма".
 

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #31 : 09 Февраль 2015, 22:54:47 »
без них (клиентских машин) полной картины нет.
В представленных элементах проблемы не вижу, надо клиентов смотреть.
Правда я во фряшном файере не спец.  Как минимум я не вижу запретов на 28-ую сеть, но последние две строки толкают меня на мысль, что я скорее всего не полностью не понял механизм. Какая политика применена - запрещающая или разрешающая?
Пробуйте на клиенте 27-ой сети указать маршрут
ip route add 192.168.28.0/24 via 192.168.27.29
и попинговать с этого клиента сначала 192.168.28.1, и если удачно - глубже.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #32 : 10 Февраль 2015, 00:05:55 »
На фре послед правило запрещающее

deny ip from any to any


маршрут прописан результаты слудующие
192.168.28.12 сетевой принтер


(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #33 : 10 Февраль 2015, 08:15:20 »
На фре послед правило запрещающее

deny ip from any to any
Вот именно, но только перед ним разрешающее
allow ip from any to any

Но всё же получается микротик запирает трафик из 28-ой сети в свою.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #34 : 10 Февраль 2015, 19:02:37 »
Трасы до 192.168.27.0 ходят до впн сервака.

(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #35 : 10 Февраль 2015, 20:04:23 »
Вы опять с микротика тестируете и делаете выводы? Вы пингуете с интерфейса tun0, у которого адрес 10.15.0.1. А об этой ети знаю вообще только участники VPN. Правда со стороны микротика клиенты тоже "знают", но только за счёт
того, что микротик является дефолтным шлюзом для них.

А если с него так трейсить?
traceroute 192.168.27.1 -s 192.168.28.1
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #36 : 11 Февраль 2015, 00:12:48 »
Простите немножко некорретно выложил инфу. Это трассы из сети за микротиком. Не с самого роутера, а менно из его сети с убунты-клиента.


Трассу по вашему примеру протестить не удалось. пишет ошибку а как сделать аналог для микрота, я незнаю((

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #37 : 11 Февраль 2015, 08:20:58 »
Извините, я ещё раз повторюсь - я по фре ни аллё. Может всё же протестируем используя в качестве подопытного винду или, ещё лучше, Linux.
Добавьте ему маршрут на микротиковскую локальную сеть (28-ую), исключите влияние файрволла и припингуйте с 27-ой сети.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #38 : 11 Февраль 2015, 09:39:29 »
Это эксперементы с машинки(Windows), которая сидит в локалке, где шлюз "фря"
IP-address 192.168.27.1
маршурт я указал по аналогии
ip route add 192.168.28.0/24 via 192.168.27.29


(Нажмите, чтобы показать/скрыть)



А это результаты эксперементов с машинки (Ubuntu) которая сидела в локалке микротика с адресом 192.168.28.15(например)


(Нажмите, чтобы показать/скрыть)


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #39 : 11 Февраль 2015, 10:00:33 »
Можно ещё раз посмотреть таблесы сервера OpenVPN. Только ВСЕ таблицы, а не только nat
sudo iptables-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #40 : 11 Февраль 2015, 10:10:45 »
Это все, что есть из настроек Iptables на openvpn-srv

(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #41 : 11 Февраль 2015, 10:41:30 »
трассерните ту машинку на виндовс, что в 27-ой сети с прописанным маршрутом
с 192.168.28.15
« Последнее редактирование: 11 Февраль 2015, 10:45:01 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн beneshe

  • Автор темы
  • Участник
  • *
  • Сообщений: 108
    • Просмотр профиля
Re: Openvpn UBUNTU srv(за NAT) + openvpn-client Mikrotik
« Ответ #42 : 11 Февраль 2015, 18:52:05 »
Уважаемый,  fisher74, приношу лично Вам глубочайшее извинение, за отсутствие здравого смысла в своей голове!
предыстория...

на удаленном офисе на выходных был замечен рухнувший DC, а утром... пользователи зашли и работали....
офисы видят друг друга через IPsec.
меня это наоборот обрадовало.... далее лирика :)

на новом уделенном офисе не получилось завести IPsec, значит идем по пути кое-как настроенного openvpn...
и тут я начал выедать Вам и другим моск.....

включил запустил с микротик-щлюза проверил доступность сети за впн и успокоился, а таки рановато:)

приехал, проверил, по имени сервака-терминалов зайти не могу, не беда, по ip зайти не могу.

и тут пришлось учиться маршрутизации(за что Вам огромное спасибо).

после 3х дней издеваний над вашим мозгом хочу сказать, что оно работает, не совсем понимаю как, но все же.

Проблема не возможности подключиться не в схеме впн и тем, что рядом с ним, а в отсутствии на новом удаленном офисе, контроллера "RODC" чтобы не плодить костыли буду таки его поднимать.


ХУХ!!!

 

Страница сгенерирована за 0.091 секунд. Запросов: 24.