URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84710
[ Назад ]

Исходное сообщение
"Open VPN: проблемы с маршрутизацией"

Отправлено past0r , 31-Мрт-09 12:06 
           router office-1                        router office-2
          router VPN Server                      router VPN Client
LAN-1 ------| eth0 tap0 | --------- VPN ---------- | tap0 eth0 | ------ LAN-2
                   eth1 | --Inet            Inet-- | eth1      


LAN-1 = eth0 = 192.168.100.1/24
LAN-2 = eth0 = 192.168.150.1/24
VPN = tap0 = 192.168.200/24

Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008


Параметры роутера с сервером OpenVPN
Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008

VPN Server Config
---------------------
iGate:~# cat /etc/openvpn/server.conf
mode server
tls-server
daemon

ifconfig 192.168.200.1 255.255.255.0

port 1194
proto tcp-server
dev tap0

ca /root/openvpn/keys/ca.crt
cert /root/openvpn/keys/iGate.crt
key /root/openvpn/keys/iGate.key  # This file should be kept secret
dh /root/openvpn/keys/dh1024.pem

client-config-dir /etc/openvpn/ccd
route 192.168.150.0 255.255.255.0 192.168.200.1
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 9
log-append /var/log/openvpn.log
---------------------

в /etc/openvpn/ccd находится 1 файл
---------------------
iGate:/etc/openvpn/ccd# cat NTagil
# приcваиваем ip-адрес
ifconfig-push 192.168.200.2 255.255.255.0

# роутинг на сети центрального офиса
push "route 192.168.100.0 255.255.255.0 192.168.200.1"
---------------------

кусочек конфига фаервола
---------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"

$ipt -v -A INPUT  -i tun+ -j ACCEPT
$ipt -v -A OUTPUT -o tun+ -j ACCEPT
$ipt -A FORWARD -i tun+ -j ACCEPT
$ipt -A FORWARD -o tun+ -j ACCEP
---------------------

Таблица маршрутов:
---------------------
iGate:/etc/openvpn/ccd# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.199.246.12  *               255.255.255.252 U     0      0        0 eth1
localnet        *               255.255.255.0   U     0      0        0 eth0
192.168.150.0   192.168.200.2   255.255.255.0   UG    0      0        0 tap0
192.168.200.0   *               255.255.255.0   U     0      0        0 tap0
default         XXX.XXX.XXX.XX  0.0.0.0         UG    0      0        0 eth1
---------------------


Конфа Роутера в филиале
Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008

Client config
---------------------
tgate:~/net# cat /etc/openvpn/client.conf
client
dev tap0
proto tcp


# адрес сервера в центрально офисе
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca /root/openvpn/keys/ca.crt
cert /root/openvpn/keys/ekb.crt
key /root/openvpn/keys/ekb.key
log-append /var/log/openvpn.log
status /var/log/openvpn/openvpn-status.log
---------------------

кусочек конфига фаервола
---------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"

$ipt -v -A INPUT  -i tun+ -j ACCEPT
$ipt -v -A OUTPUT -o tun+ -j ACCEPT
$ipt -A FORWARD -i tun+ -j ACCEPT
$ipt -A FORWARD -o tun+ -j ACCEP
---------------------


Таблица маршрутов:
---------------------
tgate:~/net# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
93.95.168.96    *               255.255.255.252 U     0      0        0 eth1
192.168.100.0   192.168.200.1   255.255.255.0   UG    0      0        0 tap0
192.168.150.0   *               255.255.255.0   U     0      0        0 eth0
192.168.200.0   *               255.255.255.0   U     0      0        0 tap0
default         XXX.XXX.XXX.XXX    0.0.0.0         UG    0      0        0 eth1
---------------------


История такая:

OpenVPN работает. Роутеры друг друга пингуют.
С роутера филиала (office-2) можно пропиновать ВСЮ локальную сеть центрального офиса LAN-1, а из локальной сети филиала (LAN-2) не пингуется ни роутер, ни локальная сеть.
И локальной сети центрально офиса можно пинговать роутер филиала, а дальше уже не идет.

В Чем может быть загвоздка? Куда копнуть? Я уже голову всю сломал! Ж(


Содержание

Сообщения в этом обсуждении
"Open VPN: проблемы с маршрутизацией"
Отправлено Berlin , 31-Мрт-09 20:10 
Я конечно может что-нибудь не понимаю, но разве во всей этой схеме не нужен nat?

"Open VPN: проблемы с маршрутизацией"
Отправлено reader , 01-Апр-09 10:03 
>Я конечно может что-нибудь не понимаю, но разве во всей этой схеме
>не нужен nat?

не нужен, тут просто маршрутизация через vpn


"Open VPN: проблемы с маршрутизацией"
Отправлено past0r , 01-Апр-09 12:11 

Что-то мне подсказывает, что дело в том, что пакеты на рутере номер два не общаются Ж(
в чем может быть проблема, при условии, что форвардинг включен

"Open VPN: проблемы с маршрутизацией"
Отправлено Berlin , 01-Апр-09 12:21 
>
>Что-то мне подсказывает, что дело в том, что пакеты на рутере номер
>два не общаются Ж(
>в чем может быть проблема, при условии, что форвардинг включен

А что показывает traceroute к тому узлу к которому не проходят пинги?


"Open VPN: проблемы с маршрутизацией"
Отправлено reader , 01-Апр-09 12:24 
запускайте tcpdump на разных интерфейсах и смотрите прохождение пакетов