Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.  (Прочитано 1154 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Добрый вечер.
Вот схема сети.



Ubuntu server
ip r
default via 1.1.1.254 dev eth0  metric 100
10.10.15.0/24 via 10.10.15.2 dev tun0
10.10.15.2 dev tun0  proto kernel  scope link  src 10.10.15.1
1.1.1.0/24 dev eth0  proto kernel  scope link  src 1.1.1.1
192.168.10.0/24 dev eth1  proto kernel  scope link  src 192.168.10.254
192.168.12.0/24 via 192.168.10.254 dev eth1  src 192.168.10.254

server.conf

server 10.10.15.0 255.255.255.0
persist-key
persist-tun
client-config-dir ccd
ccd-exclusive
status logs/openvpn-status.log
log-append logs/openvpn.log
verb 5
client-to-client
user nobody
group nogroup
push "dhcp-option DNS 192.168.10.254"
push "route 192.168.10.0 255.255.255.0"

route 192.168.15.0 255.255.255.0
route 192.168.20.0 255.255.255.0
route 192.168.25.0 255.255.255.0

ccd-10.10.15.25

ifconfig-push 10.10.15.25 10.10.15.26
push "route 192.168.25.0 255.255.255.0"
push "route 192.168.15.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"
push "route 192.168.12.0 255.255.255.0"

ipsec conf
config setup
     interfaces="ipsec0=eth0"
     klipsdebug=none
     plutodebug=all
      uniqueids=yes


conn %default
     keyingtries=0
     authby=rsasig


conn tun15
     left=1.1.1.1
     leftsubnet=1.1.1.254/24
     right=2.2.2.2
     rightsubnet=2.2.2.254/24
     keyexchange=ikev1
     authby=secret
     auth=esp
     ike=3des-md5-modp1024
     esp=3des-md5-modp1024
     pfs=no
     type=tunnel
     auto=start

000 "tun15": 192.168.10.0/24===1.1.1.1[1.1.1.1]...2.2.2.2[2.2.2.2]===192.168.12.0/24; erouted; eroute owner: #3

Mikrotik
ip r print
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          2.2.2.69            1
 1 ADC  2.2.2.68/30   2.2.2.2   WAN                       0
 2 A S  192.168.10.0/24                    bridge                    1
 3 ADC  192.168.12.0/24    192.168.12.254  bridge                    0

Сети 192.168.10.0 и 192.168.12.0 друг друга видят.
Сеть 192.168.10.0 видит сеть 10.10.15.0

1.Как настроить маршрутизацию,чтобы сеть 192.168.12.0 видела сеть 10.10.15.0(OpenVPN сеть)
« Последнее редактирование: 15 Декабрь 2017, 11:34:04 от djrust »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #1 : 14 Декабрь 2017, 22:35:23 »
Учитывая ограниченность предоставленных данных, могу только предложить добавить в ccd-файл микротиковского клиента параметр push "route 192.168.10.0 255.255.255.0"
На счёт всей сети 192.168.12.0 утверждать не буду, но сам микротик точно эту сетку увидит
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #2 : 15 Декабрь 2017, 10:04:32 »
Подскажите какие данные нужно предоставить?

Я на схеме изобразил вроде структуру...

mikrotik и linux соединены по ipsec туннелю. Openvpna между ними нету

10.0/24 видит 12.0/24 и клиентов за ними. И наоборот

10.0.24 видит 10.10.15.0 и клиентов за ними. И наоборот.

Проблема в том ,что 12.0/24 не видит клиентов 10.10.15.0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #3 : 15 Декабрь 2017, 10:46:43 »
А,ну да, видел, что IPSEC и уже забыл про это.

Всё просто. В сети 192.168.12.0/24 добавляете маршрут через туннель на сеть 10.10.15.0, а в сети 10.10.15.0 тоже самое на сеть 192.168.12.0/24.
Где именно добавлять маршруты - зависит от построеня саимх сетей, но на Ubuntu-сервер и микротике их обязательно добавлять
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #4 : 15 Декабрь 2017, 10:49:33 »
Если было бы все так просто)))

В сети 192.168.12.0/24 добавляете маршрут через туннель на сеть 10.10.15.0Не пойму как

Пробовал так
A S  10.10.15.0/24                    bridge                    1и так
A S  10.10.15.0/24                    192.168.10.254                   1
10.10.15.0 тоже самое на сеть 192.168.12.0/2пробовал не получается. Или не правильно пробовал


Мне по сути надо только чтобы mikrotik увидел сеть 10.10.15.0.  Наоборот не надо
« Последнее редактирование: 15 Декабрь 2017, 10:53:33 от djrust »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #5 : 15 Декабрь 2017, 11:21:59 »
не по сути надо только чтобы mikrotik увидел сеть 10.10.15.0.  Наоборот не надо
Это Ваше заблуждение. Тут нужно либо оганизовывать в обе стороны, либо nat-ить.

Я не пойму, где на Ubuntu-сервере туннель на микротик
И что это за маршрут?
192.168.12.0/24 via 192.168.10.254 dev eth1  src 192.168.10.254Ваша паранойя? Или невежество в маршрутизации (без намёков на оскорбление)?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #6 : 15 Декабрь 2017, 11:27:35 »
Ваша паранойя? Или невежество в маршрутизации (без намёков на оскорбление)?Невежество.

Но без этого не работает маршрутизация в сеть 12.0/24


В первом сообщении дописал настройки ipsec
« Последнее редактирование: 15 Декабрь 2017, 11:34:51 от djrust »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #7 : 15 Декабрь 2017, 13:36:07 »
А Вы как проверяете?
Добейтесь сначала, чтобы интерфейс OVPN-сервера (10.10.15.1) пинговался с микротика, а потом уже дальше идите.

iptables-save можно посмотреть?

Кстати OVPN-клиент (вин.сервера) маршрут на 12-ую сеть получил?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #8 : 15 Декабрь 2017, 13:54:26 »
Цитировать
А Вы как проверяете?
пингами)

Цитировать
iptables-save можно посмотреть?

У меня shorewall?поймете?

Цитировать
Кстати OVPN-клиент (вин.сервера) маршрут на 12-ую сеть получил?
да.
Я и на стороне сервера пробовал добавить 12.0 сеть. Но сразу отваливается доступ к сети 12.0,т.к маршрут идет через tun. А IPSec на eth0
Цитировать
Добейтесь сначала, чтобы интерфейс OVPN-сервера (10.10.15.1) пинговался с микротика, а потом уже дальше идите.
В этом и проблема и я почему то думаю,что она на стороне linux

Но мне непонятно,почему mikrotik пингует 192.168.10.254
А когда прописываешь маршрут на 10.10.15.0/24 через шлюз 192.168.10.254 ,то микротик не видит даже 10.10.15.1
« Последнее редактирование: 15 Декабрь 2017, 13:59:13 от djrust »

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: OpenVPN,IPSEC,MIKROTIK. Не видно клиента за ipsec сетью.
« Ответ #9 : 17 Декабрь 2017, 22:16:21 »
В общем я поменял IPSec tunnel на IPSec transport(До этого режим transport у меня не заводился)

Поднял gre интерфейсы.

С Linux пингуется сеть 192.168.12.0/24

С mikrotik пингуется сеть 192.168.10.0/24 и пингуется 10.10.15.1

Теперь застрял как передать mikrotik сеть 10.10.15.0

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          2.2.2.69             1
 1 A S  10.10.15.0/24                      10.10.112.254             1
 2 ADC  10.10.112.252/30   10.10.112.253   gre-tunnel-office         0
 3 ADC  2.2.2.68/30   2.2.2.2   WAN                       0
 4 A S  192.168.10.0/24                    10.10.112.254             1
 5 ADC  192.168.12.0/24    192.168.12.254  bridge                    0

Победа)

В ccd клиента 10.10.15.25
прописал
push "route 192.168.12.0 255.255.255.0"
push "route 10.10.112.0 255.255.255.0"
« Последнее редактирование: 17 Декабрь 2017, 22:34:48 от djrust »

 

Страница сгенерирована за 0.156 секунд. Запросов: 25.