Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: L2tp IPSEC PSK VPN (X)Ubuntu 16.4 LTS виден только VPN-шлюз  (Прочитано 473 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн iNewBe

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Доброго Вам здоровья, дорогие друзья.

Имеется пара сетей - сеть головного предприятия и сеть дочерней организации.
В головной сети установлен роутер VPN-шлюзом. За этим шлюзом всякого рода плюшки в т.ч. RDP-сервер.
В дочерней сети имеется группа ПК на MS-системах и другая группа ПК на lX-системах, а именно XUbuntu 16.4 LTS.
Затрудняет поведение lX-систем - когда инициировано VPN-соединение, не пингуются ресурсы за шлюзом,
соответственно RDP-сервер не доступен.
В MS-системах всё видно, доступно и в обоих направлениях.
Приходится, что бы получить доступ к RDP-серверу за VPN-шлюзом, сначала заходить на RDP-сервер дочерней сети,
а уже оттуда инициировать VPN-сессию до шлюза и RDP-сессию до сервера головной сети. Говоря проще - заправляем шубу в трусы.
Интересует момент - возможно ли научить lX-систему общению с головной сетью непосредственно.

(VPN был добавлен и настроен согласно инструкции https://askubuntu.com/questions/789421/l2tp-ipsec-psk-vpn-client-on-xubuntu-16-04)

Пожалуйста, помогите решить проблему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25755
    • Просмотр профиля
В дочерней организации есть нормальный сервер? Постройте от него тоннель до головной и не майтесь… не майтесь.
« Последнее редактирование: 10 Март 2018, 05:49:05 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн iNewBe

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Дочерняя сеть - их много. Сервер(ов) для тоннеля - любой роутер с lX-подобной системой (тот же Mikrotik), однако..
Объединение сетей постоянным соединением - религия не позволяет, но даже если допустить этот вариант, то..
Мы получим трамвай без дверей - группа мобильных ПК смогут работать в головной сети исключительно в дочерних офисах.
Кроме того, это потребует изменений на сетевом оборудовании, но мы то знаем, что с точки зрения пользователей MS-систем - всё гуд.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25755
    • Просмотр профиля
Дочерняя сеть - их много.
И…
Объединение сетей постоянным соединением - религия не позволяет,
Бред собачий.
группа мобильных ПК
Откуда взялась "группа мобильных ПК"?…
"Мобильные" ПК подключаются по внешнему адресу головного офиса и работают совершенно иначе.

В общем случае, надо смотреть, что вы там в настройках навертели, потому что в укзанной вами ссылке кроме совета использовать плагин для NM нет ничего.

Пользователь добавил сообщение 10 Март 2018, 05:56:19:
Кроме того, это потребует изменений на сетевом оборудовании,
Ну, когда-то надо начинать строить нормальную сеть? Почему не вчера?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн iNewBe

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Зачем столь категорично? Бред - это когда ради пары десятков устройств под управлением lX, сидящих то в офисах, то вне его,
объединять десяток сетей, по полсотни ПК в каждой. Ради генерировать трафик на без того тонких и дорогих каналах связи?
Да и потом, когда они дома, в кафе или в командировке, с собой отдельное устройство брать - роутер/сервер?
Напомню нормальная сеть - это понятие субъективного мнения и у каждого оно разное, но критерий всегда один: минимум затрат.

Откуда взялась "группа мобильных ПК"?…
Купили. Пользуюстя. Работают. Названы условно группой мобильных ПК. С точки зрения доступа к VPN-шлюзу, что мобильный, что привинченый
к офисному столу большими саморезами - нет никакой разницы. Всё что нужно для работы - простой доступ в глобальную сеть.

"Мобильные" ПК подключаются по внешнему адресу головного офиса и работают совершенно иначе.
А не мобильные ПК? Подключаются не по внешнему адресу головоного офиса? Иначе - это как?

В общем случае, надо смотреть, что вы там в настройках навертели, потому что в укзанной вами ссылке кроме совета использовать плагин для NM нет ничего.
Таки наоборот - инструкция по установке плагина, по его настройке - всё имеется.
Вот только маршруты не добавляются в lX-системах.

Лично Вам простой вопрос, зачем Вы уводите обсуждение проблемы, в плоскость "скрипит колесо, поменяй дорогу"?

Ну, когда-то надо начинать строить нормальную сеть? Почему не вчера?
А сети и так нормально работают. Колесо скрипит по дороге, а не дорога под колесом.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1666
  • חתול המדען
    • Просмотр профиля
Цитировать
Вот только маршруты не добавляются в lX-системах.
Иначе говоря, при инициировании VPN-сессии на *nix не прилетают маршруты от VPN. Я правильно Вас понял?
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25755
    • Просмотр профиля
А не мобильные ПК? Подключаются не по внешнему адресу головоного офиса? Иначе - это как?
Иначе - это просто включаются и работают.

Таки наоборот - инструкция по установке плагина, по его настройке - всё имеется.Вот только маршруты не добавляются в lX-системах.
А должны?
Показывайте базовую диагностику и линь и вин.
(Что именно показывать - под спойлером в https://forum.ubuntu.ru/index.php?topic=107492.0 )
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн iNewBe

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Иначе говоря, при инициировании VPN-сессии на *nix не прилетают маршруты от VPN. Я правильно Вас понял?
Верно.

Иначе - это просто включаются и работают.
Ничего подобного. По средством иных устройств (роутеры/серверы/коммутаторы) или не опосредованно, статично или динамически, явно или скрыто от конечного пользователя, по щелчку или при старте назначенного для сих целей устройства в инфраструктуре сети, заранее или только что - устанавливается соединение с реально существующим адресатом.

А должны?
Иначе им даётся ответ от сосбственного же интерфейса - никакго такого адресата не знаю. (Что собственно и происходит.)


Показывайте базовую диагностику и линь и вин.
ВИН работает НОРМ, однако вот:
D:\>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : FXXXXXXXXXXXXXXXX
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Адаптер PPP VPN XXXXXXXXXXXXX:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : VPN XXXXXXXXXXXXX
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.0.10.249(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 10.0.10.1
                                       213.228.68.202
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 2C-4D-54-52-F0-44
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.0.10.12(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 10 марта 2018 г. 9:04:52
   Срок аренды истекает. . . . . . . . . . : 10 марта 2018 г. 22:24:53
   Основной шлюз. . . . . . . . . : 10.0.10.5
   DHCP-сервер. . . . . . . . . . . : 10.0.10.5
   DNS-серверы. . . . . . . . . . . : 10.0.10.5
                                       109.194.17.1
                                       5.3.3.3
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{DE175361-4BE3-421C-94AD-6FD7CD769C28}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{A939D8EE-C702-4B81-A850-3266EAB381BB}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

D:\>route print
===========================================================================
Список интерфейсов
 19...........................VPN XXXXXXXXXXXXX
 11...2c 4d 54 52 f0 44 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0        10.0.10.5       10.0.10.12     10
         10.0.0.0        255.0.0.0        10.0.10.1      10.0.10.249     11
        10.0.10.0    255.255.255.0         On-link        10.0.10.12    266
       10.0.10.12  255.255.255.255         On-link        10.0.10.12    266
      10.0.10.249  255.255.255.255         On-link       10.0.10.249    266
      10.0.10.255  255.255.255.255         On-link        10.0.10.12    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
   19X.XX.XXX.XXX  255.255.255.255        10.0.10.5       10.0.10.12     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.0.10.12    266
        224.0.0.0        240.0.0.0         On-link       10.0.10.249    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.0.10.12    266
  255.255.255.255  255.255.255.255         On-link       10.0.10.249    266
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

D:\>ping 192.168.0.1

Обмен пакетами с 192.168.0.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.0.1:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

D:\>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  10.0.10.5
  2     1 ms    <1 мс    <1 мс  10.71.255.126
  3    <1 мс    <1 мс    <1 мс  ae-2-435.bgw01.irkutsk.ertelecom.ru [109.194.24.18]
  4    26 ms    26 ms    26 ms  nsk-ix.ertelecom.ru [193.232.87.49]
  5    26 ms    26 ms    26 ms  kuchum-xe-0-0-2.yndx.net [193.232.87.42]
  6    43 ms    43 ms    43 ms  sverdlov-xe-0-0-3.yndx.net [213.180.213.68]
  7    73 ms    65 ms    69 ms  styri-et-10-3-0-901.yndx.net [213.180.213.18]
  8    69 ms    72 ms    65 ms  m9-p2-eth-trunk8.yndx.net [87.250.239.127]
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11    72 ms    69 ms    68 ms  vla1-1d2-eth-trunk6-1.yndx.net [87.250.239.167]
 12   114 ms   105 ms   105 ms  10.20.32.92
 13    67 ms    67 ms    67 ms  ya.ru [87.250.250.242]

Трассировка завершена.

D:\>tracert 8.8.8.8

Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  10.0.10.5
  2     1 ms    <1 мс    <1 мс  10.71.255.126
  3    <1 мс    <1 мс    <1 мс  ae-2-435.bgw01.irkutsk.ertelecom.ru [109.194.24.18]
  4    60 ms    60 ms    60 ms  72.14.215.165
  5    60 ms    60 ms    60 ms  72.14.215.166
  6    60 ms    60 ms    60 ms  108.170.250.65
  7    58 ms    58 ms    58 ms  108.170.227.75
  8    61 ms    60 ms    60 ms  google-public-dns-a.google.com [8.8.8.8]

Трассировка завершена.

ЛИНЬ вот, пожалуйста:
john@RED-BIRD:~$     ifconfig -a
enp2s0    Link encap:Ethernet  HWaddr 00:25:22:fc:fb:75 
          inet addr:10.0.10.15  Bcast:10.0.10.255  Mask:255.255.255.0
          inet6 addr: fe80::225:22ff:fefc:fb75/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3167748 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1311052 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4034771470 (4.0 GB)  TX bytes:131451637 (131.4 MB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:550178 errors:0 dropped:0 overruns:0 frame:0
          TX packets:550178 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:41377451 (41.3 MB)  TX bytes:41377451 (41.3 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:10.0.10.249  P-t-P:10.0.10.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:7289 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7301 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1032624 (1.0 MB)  TX bytes:442396 (442.3 KB)

john@RED-BIRD:~$     route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         10.0.10.5       0.0.0.0         UG    100    0        0 enp2s0
10.0.10.0       0.0.0.0         255.255.255.0   U     100    0        0 enp2s0
10.0.10.1       0.0.0.0         255.255.255.255 UH    50     0        0 ppp0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp2s0
19X.XX.XXX.XXX  10.0.10.5       255.255.255.255 UGH   100    0        0 enp2s0
john@RED-BIRD:~$     ping -c3 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.

--- 192.168.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

john@RED-BIRD:~$     tracepath ya.ru
 1?: [LOCALHOST]                                         pmtu 1500
 1:  10.0.10.5                                             0.579ms
 1:  10.0.10.5                                             0.401ms
 2:  10.0.10.5                                             0.469ms pmtu 1480
 2:  10.71.255.126                                         7.523ms
 3:  ae-2-435.bgw01.irkutsk.ertelecom.ru                   3.331ms
 4:  nsk-ix.ertelecom.ru                                  26.803ms asymm  6
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
     Too many hops: pmtu 1480
     Resume: pmtu 1480
john@RED-BIRD:~$     tracepath 8.8.8.8
 1?: [LOCALHOST]                                         pmtu 1500
 1:  10.0.10.5                                             0.783ms
 1:  10.0.10.5                                             0.420ms
 2:  10.0.10.5                                             0.409ms pmtu 1480
 2:  10.71.255.126                                         4.138ms
 3:  ae-2-435.bgw01.irkutsk.ertelecom.ru                   0.885ms
 4:  72.14.215.165                                        60.390ms asymm  7
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
     Too many hops: pmtu 1480
     Resume: pmtu 1480

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1666
  • חתול המדען
    • Просмотр профиля
Иначе говоря, при инициировании VPN-сессии на *nix не прилетают маршруты от VPN. Я правильно Вас понял?
Верно.
Вам просто нужно бы банально записать маршрут на сеть организации через туннель, насколько я увидел это сеть 10/8, в том же Network Manager для нужного соединения, если конечно задача не стоит в получении маршрутов по VPN, т.к ни один дистрибутив не поддерживает подобное поведение по умолчанию.
« Последнее редактирование: 10 Март 2018, 21:08:45 от koshev »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25755
    • Просмотр профиля
Распутывайте вашу сеть, у вас адресация в локалке и в тоннеле совпадает.
Вынь работает истинным чудом.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.067 секунд. Запросов: 25.