URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81477
[ Назад ]

Исходное сообщение
"Vpn Linux -> MS ISA  маршрутизация"

Отправлено Serg1937 , 06-Авг-08 15:17 
Сервер VPN (на Исе)- на другом конце, посмотреть его настройки не могу.

Могу подключится к нему с винды из удаленной сетки.
А вот со шлюза этой удаленной сетки подключаюсь, а вот как настроить маршрутизацию не мого сообразить. Какой-то странный туннель он мне образует.

моя сетка 172.16.0.0/24

Удаленная сетка 10.0.0.0/24

Ранне при подключении к другим серверам я, например, получал
локальный адрес 192.168.0.2
удаленный 192.168.0.1
Соответственно пробрасывал пакеты для 10/24 на тот конец тунеля 192.168.0.1 и проблем нет.

А при подключении к исе мой локальный адрес тунеля становится 10.0.0.150,
а удаленный - 172.16.0.150.
Естественно 172.16.0.150 не пингуется, т.е. на него ничего не пробросить.
Пытаюсь сделать:
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.0.0.150
Пробую пинговать что-нить на удаленной сетке, пакеты видны на моем шлюзе на ppp0. Но ответа нет. Пробовал еще много какие маршруты прописать, ничего не получается.

Подскажите, может кто сталкивался.



Содержание

Сообщения в этом обсуждении
"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 06-Авг-08 16:29 
>[оверквотинг удален]
>А при подключении к исе мой локальный адрес тунеля становится 10.0.0.150,
>а удаленный - 172.16.0.150.
>Естественно 172.16.0.150 не пингуется, т.е. на него ничего не пробросить.
>Пытаюсь сделать:
>route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.0.0.150
>Пробую пинговать что-нить на удаленной сетке, пакеты видны на моем шлюзе на
>ppp0. Но ответа нет. Пробовал еще много какие маршруты прописать, ничего
>не получается.
>
>Подскажите, может кто сталкивался.

Помоему, gw 10.0.0.150 ни как не может быть, так как сетка 172.16.0.0/24  ничего о нем не знает. Может быть верно было бы в качестве gw поставить внутренний ip роутера?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 06-Авг-08 16:38 
>Помоему, gw 10.0.0.150 ни как не может быть, так как сетка 172.16.0.0/24
> ничего о нем не знает. Может быть верно было бы
>в качестве gw поставить внутренний ip роутера?

10.0.0.150 - это айпи моего конца туннеля, который выделяет мне сервер. и этот адрес пингуется.



"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 06-Авг-08 17:41 
>>Помоему, gw 10.0.0.150 ни как не может быть, так как сетка 172.16.0.0/24
>> ничего о нем не знает. Может быть верно было бы
>>в качестве gw поставить внутренний ip роутера?
>
>10.0.0.150 - это айпи моего конца туннеля, который выделяет мне сервер. и
>этот адрес пингуется.

А Вам обязательно настраивать статическую маршрутизацию?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 06-Авг-08 17:52 
>А Вам обязательно настраивать статическую маршрутизацию?

Сервер для меня выделяет локальный адрес динамически. Привязываюсь к нему скриптами через параметры.
А удаленный адрес - постоянный. Смотрел маршруты, которые организуются при подключении с WinXP, там удаленный адрес никак не используется.
Все маршруты строятся через локальный адрес, выделяемый носту сервером.

При подключении с линукса пытаюсь организовать чтото подобное, не получается.


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 11:26 
с этого же шлюза подключаюсь к сервакам на линуксе и винде.
Образуется нормальный туннель - 2 айпи внешний и внутренний из одного диапазона.
Можно подумать, что проблеиа в исе.
Но ведь из сетки, со шлюза которого я подключаюсь, можно законнектиться к исе с клиента winXP.



"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 12:13 
>с этого же шлюза подключаюсь к сервакам на линуксе и винде.
>Образуется нормальный туннель - 2 айпи внешний и внутренний из одного диапазона.
>
>Можно подумать, что проблеиа в исе.
>Но ведь из сетки, со шлюза которого я подключаюсь, можно законнектиться к
>исе с клиента winXP.

Давно настраивал VPN соединение между филиалом и центром, на обоих концах тонеля стояли сервера VPN, так вот виртуальным интерфейсам выдается адрес находящийся в том же диапазоне, который работает в удаленной.
Т.е., если подсеть центра 192,168,200,0, то виртуальному интерфейсу филиального сервера выдавался адрес (к примеру) 192,168,200,100, соответственно подсеть филиал 192,168,5,0 - ip виртуального интерфейса центрального VPN сервака 192,168,5,100.

Организовано было все на w2k, с использованием RRAS.


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 12:21 
>с этого же шлюза подключаюсь к сервакам на линуксе и винде.
>Образуется нормальный туннель - 2 айпи внешний и внутренний из одного диапазона.
>
>Можно подумать, что проблеиа в исе.
>Но ведь из сетки, со шлюза которого я подключаюсь, можно законнектиться к
>исе с клиента winXP.

Да и статическая маршрутизация настраивалась с использованием интерфейса, а на ip, ip постоянно то меняется...


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 12:26 
>с этого же шлюза подключаюсь к сервакам на линуксе и винде.
>Образуется нормальный туннель - 2 айпи внешний и внутренний из одного диапазона.
>
>Можно подумать, что проблеиа в исе.
>Но ведь из сетки, со шлюза которого я подключаюсь, можно законнектиться к
>исе с клиента winXP.

А вывод route show покажите.


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 12:42 
>А вывод route show покажите.

много эксперементировал, все же урежу роуты до того, с чего начинал.
Напомню исходные данные
моя сетка 172.16.0.0/24
Удаленная сетка 10.0.0.0/24
local  IP address 10.0.0.150
remote IP address 172.16.0.150

172.40.40.1 - шлюз провайдера

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.0.150    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        10.0.0.150      255.255.255.0   UG    0      0        0 ppp0
172.40.40.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         172.40.40.1     0.0.0.0         UG    0      0        0 eth0



"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 12:51 
>[оверквотинг удален]
>0      0    
>   0 eth1
>127.0.0.0       0.0.0.0    
>    255.0.0.0      
>U     0      
>0        0 lo
>0.0.0.0         172.40.40.1  
>  0.0.0.0        
>UG    0      0
>       0 eth0

172.16.0.150    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0 - явная ошибка, ip виртуального интерфейса 10,0,0,150! Здесь наверное нужен адрес ISA локальный, какой он у Вас там - 10,0,0,1 к примеру.
И еще вопрос, куда вы подсоединяетесь (rdp, www) и на какой адрес ISA-сервера пытаетесь?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 13:35 
>- явная ошибка, ip виртуального интерфейса 10,0,0,150! Здесь наверное нужен адрес
>ISA локальный, какой он у Вас там - 10,0,0,1 к примеру.

да, его наверное зря вставил, но его тоже не было результат не меняется.
но какой смысл прописывать локальный адрес исы, если отклика от него нет.
потому что строчки
10.0.0.0        10.0.0.150      255.255.255.0   UG    0      0        0 ppp0
мало

>И еще вопрос, куда вы подсоединяетесь (rdp, www) и на какой адрес
>ISA-сервера пытаетесь?

это не важно, при нормальном коннекте я все адреса 10/24 пингую. Т.е. теоретически адрес м.б. любой. А здесь ничто не откликается


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Deneb , 07-Авг-08 12:51 
Если я правильно понимаю, у вас два удаленных офиса и вам надо выпустить удаленый через канал в интернет центрального?
Или у вас коннект установлен через локалку, и инет раздается через ВПН к провайдеру?



"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 13:27 
>Если я правильно понимаю, у вас два удаленных офиса и вам надо
>выпустить удаленый через канал в интернет центрального?
>Или у вас коннект установлен через локалку, и инет раздается через ВПН
>к провайдеру?

да, 2 офиса, между ними инет.
со шлюза одного (линукс) пытаюсь клиентом соединиться к серверу впн другого (иса). Это получается. Чтобы после настройки маршрутизации обе сетки были полноценно объеденены. Вот это пока не выходит


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 13:49 
>>Если я правильно понимаю, у вас два удаленных офиса и вам надо
>>выпустить удаленый через канал в интернет центрального?
>>Или у вас коннект установлен через локалку, и инет раздается через ВПН
>>к провайдеру?
>
>да, 2 офиса, между ними инет.
>со шлюза одного (линукс) пытаюсь клиентом соединиться к серверу впн другого (иса).
>Это получается. Чтобы после настройки маршрутизации обе сетки были полноценно объеденены.
>Вот это пока не выходит

А traceroute что кажит?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 14:32 
кстати
172.16.0.150    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
не я вставлял. само поднялось после подключения

>А traceroute что кажит?

со шлюза ничего не показывает
из сетки, которая выходит через этот шлюз:

C:\tracert 10.0.0.10

Трассировка маршрута к 10.0.0.10 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  ой.домен.мой [172.16.0.1]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
- где 172.16.0.1 - это внутренний интерфейс шлюза

опять же когда я из сетки обращаюсь к удаленной сетке 10/24
tcpdump на ppp0 снимает:
13:59:24.446895 IP ой.домен.мой > 10.0.0.10: icmp 40: echo request seq 48160
13:59:35.359729 IP ой.домен.мой > 10.0.0.10: icmp 40: echo request seq 48416
13:59:40.446856 IP ой.домен.мой > 10.0.0.10: icmp 40: echo request seq 48672

вот на том конце я не могу прослушать, приходят ли пакеты


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 15:17 
>[оверквотинг удален]
>*     Превышен интервал ожидания для запроса.
>- где 172.16.0.1 - это внутренний интерфейс шлюза
>
>опять же когда я из сетки обращаюсь к удаленной сетке 10/24
>tcpdump на ppp0 снимает:
>13:59:24.446895 IP ой.домен.мой > 10.0.0.10: icmp 40: echo request seq 48160
>13:59:35.359729 IP ой.домен.мой > 10.0.0.10: icmp 40: echo request seq 48416
>13:59:40.446856 IP ой.домен.мой > 10.0.0.10: icmp 40: echo request seq 48672
>
>вот на том конце я не могу прослушать, приходят ли пакеты

Ну если пакеты уходят с ppp0 значит маршрутизация работает...я думаю....покрайней мере от Вас.


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 13:49 
>>Если я правильно понимаю, у вас два удаленных офиса и вам надо
>>выпустить удаленый через канал в интернет центрального?
>>Или у вас коннект установлен через локалку, и инет раздается через ВПН
>>к провайдеру?
>
>да, 2 офиса, между ними инет.
>со шлюза одного (линукс) пытаюсь клиентом соединиться к серверу впн другого (иса).
>Это получается. Чтобы после настройки маршрутизации обе сетки были полноценно объеденены.
>Вот это пока не выходит

с Linux до ISA ip внутренний


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Deneb , 07-Авг-08 14:16 
>>Если я правильно понимаю, у вас два удаленных офиса и вам надо
>>выпустить удаленый через канал в интернет центрального?
>>Или у вас коннект установлен через локалку, и инет раздается через ВПН
>>к провайдеру?
>
>да, 2 офиса, между ними инет.
>со шлюза одного (линукс) пытаюсь клиентом соединиться к серверу впн другого (иса).
>Это получается. Чтобы после настройки маршрутизации обе сетки были полноценно объеденены.
>Вот это пока не выходит

Ifconfig мона выложить на ppp0?



"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 14:34 
>Ifconfig мона выложить на ppp0?

чтолибо менять могу только на своей стороне


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 15:19 
>>Ifconfig мона выложить на ppp0?
>
>чтолибо менять могу только на своей стороне

Ну если пакеты уходят с ppp0 значит маршрутизация работает...я думаю....покрайней мере от Вас.
А в фаерволе есть что-то с интерфейсом ppp0?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 15:28 
>>Ifconfig мона выложить на ppp0?
>
>чтолибо менять могу только на своей стороне

Не могли бы Вы выложить конфиг iptables?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 16:32 

>Не могли бы Вы выложить конфиг iptables?

конфиг достаточно емкий.
смотрел, ничего подозрительного не нашел.
на что обратить внимание?


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено tomishinets , 07-Авг-08 16:35 
>
>>Не могли бы Вы выложить конфиг iptables?
>
>конфиг достаточно емкий.
>смотрел, ничего подозрительного не нашел.
>на что обратить внимание?

Разрешено ли проходить трафику по ppp0, и интересует правило с NAT.


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 12-Авг-08 10:29 

>Разрешено ли проходить трафику по ppp0, и интересует правило с NAT.

Дело в том, что с этого шлюза я без проблем организовываю канал с другими серверами.
При этом в правилах ничего не меняю.
Естественно все равно проверил правила, ничего подозрительного не нашел.
Какая-то особенность на MS ISA. Но ведь с виндовой рабочей станции можно нормально соединиться.

Вот доп.информация.
Соединяюсь со шлюза с сервером ISA.
local  IP address 10.0.0.150
remote IP address 172.16.0.150

Пингую 172.16.0.150 со шлюза.
tcpdump -i ppp0
15:14:12.629728 IP 10.0.0.150 > 172.16.0.150: icmp 64: echo request seq 12
т.е. обратного ответа с ppp0 не снимаю

при этом
tcpdump -i eth0 dst IP_офиса or src IP_офиса  (eth0 смотрит в инет)
15:22:19.924048 IP_шлюза > IP_офиса: call 28034 seq 861 gre-ppp-payload
15:22:19.988833 IP_офиса > IP_шлюза: call 0 seq 440 ack 861 gre-ppp-payload
15:22:19.989651 IP_шлюза > IP_офиса: call 28034 seq 862 ack 440  gre-ppp-payload
15:22:20.065133 IP_офиса > IP_шлюза: call 0 ack 862 no-payload

а в нормальной ситуации должно быть так (проверял):
15:36:36.291867 IP_шлюза > IP_офиса: call 999  seq 127 gre-ppp-payload
15:36:36.304725 IP_офиса > IP_шлюза: call 0 seq 129 ack 127  gre-ppp-payload
15:36:36.805574 IP_шлюза > IP_офиса: call 999 ack 129  no-payload

      


"Vpn Linux -> MS ISA  маршрутизация"
Отправлено Serg1937 , 07-Авг-08 15:33 
>Ifconfig мона выложить на ppp0?

ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.0.0.150  P-t-P:172.16.0.150  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:16 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:594 (594.0 b)  TX bytes:606 (606.0 b)