router office-1 router office-2
router VPN Server router VPN Client
LAN-1 ------| eth0 tap0 | --------- VPN ---------- | tap0 eth0 | ------ LAN-2
eth1 | --Inet Inet-- | eth1
LAN-1 = eth0 = 192.168.100.1/24
LAN-2 = eth0 = 192.168.150.1/24
VPN = tap0 = 192.168.200/24Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Параметры роутера с сервером OpenVPN
Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008VPN Server Config
---------------------
iGate:~# cat /etc/openvpn/server.conf
mode server
tls-server
daemonifconfig 192.168.200.1 255.255.255.0
port 1194
proto tcp-server
dev tap0ca /root/openvpn/keys/ca.crt
cert /root/openvpn/keys/iGate.crt
key /root/openvpn/keys/iGate.key # This file should be kept secret
dh /root/openvpn/keys/dh1024.pemclient-config-dir /etc/openvpn/ccd
route 192.168.150.0 255.255.255.0 192.168.200.1
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 9
log-append /var/log/openvpn.log
---------------------в /etc/openvpn/ccd находится 1 файл
---------------------
iGate:/etc/openvpn/ccd# cat NTagil
# приcваиваем ip-адрес
ifconfig-push 192.168.200.2 255.255.255.0# роутинг на сети центрального офиса
push "route 192.168.100.0 255.255.255.0 192.168.200.1"
---------------------кусочек конфига фаервола
---------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"$ipt -v -A INPUT -i tun+ -j ACCEPT
$ipt -v -A OUTPUT -o tun+ -j ACCEPT
$ipt -A FORWARD -i tun+ -j ACCEPT
$ipt -A FORWARD -o tun+ -j ACCEP
---------------------Таблица маршрутов:
---------------------
iGate:/etc/openvpn/ccd# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
217.199.246.12 * 255.255.255.252 U 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth0
192.168.150.0 192.168.200.2 255.255.255.0 UG 0 0 0 tap0
192.168.200.0 * 255.255.255.0 U 0 0 0 tap0
default XXX.XXX.XXX.XX 0.0.0.0 UG 0 0 0 eth1
---------------------
Конфа Роутера в филиале
Версия OpenVPN: 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008Client config
---------------------
tgate:~/net# cat /etc/openvpn/client.conf
client
dev tap0
proto tcp
# адрес сервера в центрально офисе
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca /root/openvpn/keys/ca.crt
cert /root/openvpn/keys/ekb.crt
key /root/openvpn/keys/ekb.key
log-append /var/log/openvpn.log
status /var/log/openvpn/openvpn-status.log
---------------------кусочек конфига фаервола
---------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"$ipt -v -A INPUT -i tun+ -j ACCEPT
$ipt -v -A OUTPUT -o tun+ -j ACCEPT
$ipt -A FORWARD -i tun+ -j ACCEPT
$ipt -A FORWARD -o tun+ -j ACCEP
---------------------
Таблица маршрутов:
---------------------
tgate:~/net# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
93.95.168.96 * 255.255.255.252 U 0 0 0 eth1
192.168.100.0 192.168.200.1 255.255.255.0 UG 0 0 0 tap0
192.168.150.0 * 255.255.255.0 U 0 0 0 eth0
192.168.200.0 * 255.255.255.0 U 0 0 0 tap0
default XXX.XXX.XXX.XXX 0.0.0.0 UG 0 0 0 eth1
---------------------
История такая:OpenVPN работает. Роутеры друг друга пингуют.
С роутера филиала (office-2) можно пропиновать ВСЮ локальную сеть центрального офиса LAN-1, а из локальной сети филиала (LAN-2) не пингуется ни роутер, ни локальная сеть.
И локальной сети центрально офиса можно пинговать роутер филиала, а дальше уже не идет.В Чем может быть загвоздка? Куда копнуть? Я уже голову всю сломал! Ж(
Я конечно может что-нибудь не понимаю, но разве во всей этой схеме не нужен nat?
>Я конечно может что-нибудь не понимаю, но разве во всей этой схеме
>не нужен nat?не нужен, тут просто маршрутизация через vpn
Что-то мне подсказывает, что дело в том, что пакеты на рутере номер два не общаются Ж(
в чем может быть проблема, при условии, что форвардинг включен
>
>Что-то мне подсказывает, что дело в том, что пакеты на рутере номер
>два не общаются Ж(
>в чем может быть проблема, при условии, что форвардинг включенА что показывает traceroute к тому узлу к которому не проходят пинги?
запускайте tcpdump на разных интерфейсах и смотрите прохождение пакетов