URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89745
[ Назад ]

Исходное сообщение
"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 13:42

Вот какая проблемка: есть офис сетка 192.168.0.0/24 и есть филиал - 192.168.12.0/24 между ними тунель, построеный на базе OpenVPN.
Клиенту (шлюз с NAT`ом), при поднятии тунеля, скармливается следующее правило, после чего он, и все кто за ним, видят локалку офиса:
# cat /etc/openvpn/cdir/M-1
ifconfig-push 10.10.10.250 10.10.10.249
push "route 192.168.0.0 255.255.255.0"
В свою очередь, при попытке сделать доступ к компам филиала с офиса, прописав следующий маршрут:
# route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250 dev tun0
получаю ошибку: SIOCADDRT: No such process
Debian Lenny 5.0
Конфиг сервера OpenVPN офиса
# cat /etc/openvpn/server.conf
management localhost 7505
multihome
port 1194
proto udp
dev tun0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
ifconfig-pool-persist ipp.txt
client-config-dir "/etc/openvpn/cdir"
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
Подскажите, пожалуйста, куда копать. Спасибо.

Содержание

Потерялся в маршрутах,Grey, 13:52 , 06-Сен-10
- Потерялся в маршрутах,yuzo, 15:03 , 06-Сен-10
  - Потерялся в маршрутах,Кирилл_Н, 15:16 , 06-Сен-10
    - Потерялся в маршрутах,yuzo, 15:18 , 06-Сен-10
  - Потерялся в маршрутах,Grey, 15:17 , 06-Сен-10
    - Потерялся в маршрутах,yuzo, 15:20 , 06-Сен-10
      - Потерялся в маршрутах,yuzo, 13:55 , 07-Сен-10
        
        Потерялся в маршрутах,Grey, 14:01 , 07-Сен-10
        
        Потерялся в маршрутах,yuzo, 15:00 , 07-Сен-10
        
        Потерялся в маршрутах,reader, 16:45 , 07-Сен-10
        
        Потерялся в маршрутах,yuzo, 16:57 , 07-Сен-10
Потерялся в маршрутах,yuzo, 10:47 , 22-Ноя-10

Сообщения в этом обсуждении

"Потерялся в маршрутах"
Отправлено Grey , 06-Сен-10 13:52

>В свою очередь, при попытке сделать доступ к компам филиала с офиса,
>прописав следующий маршрут:
>
># route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250 dev tun0
>
>получаю ошибку: SIOCADDRT: No such process
а если так?:
route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250

"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 15:03

>а если так?:
>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
аналогично SIOCADDRT: No such process
Я так подозреваю, что сам route в дебиане хитроват, бо на фре вроде без проблем все делалось примерно так:
# /sbin/route add -net 192.168.12.0 10.10.10.250

"Потерялся в маршрутах"
Отправлено Кирилл_Н , 06-Сен-10 15:16

>>а если так?:
>>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>
>аналогично SIOCADDRT: No such process
>
>Я так подозреваю, что сам route в дебиане хитроват, бо на фре
>вроде без проблем все делалось примерно так:
># /sbin/route add -net 192.168.12.0 10.10.10.250
а можно вывод netstat -nr. ну или route, раз это линух

"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 15:18

>а можно вывод netstat -nr. ну или route, раз это линух
# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.10.10.2      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.30.30.12     0.0.0.0         255.255.255.252 U         0 0          0 vlan7
212.86.xxx.xxx  0.0.0.0         255.255.255.252 U         0 0          0 eth3
10.30.30.16     0.0.0.0         255.255.255.252 U         0 0          0 vlan51
10.86.66.8      0.0.0.0         255.255.255.248 U         0 0          0 eth3
172.0.0.0       0.0.0.0         255.255.255.0   U         0 0          0 eth1
172.16.0.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
172.16.1.0      0.0.0.0         255.255.255.0   U         0 0          0 eth4
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2
10.10.10.0      10.10.10.2      255.255.255.0   UG        0 0          0 tun0
0.0.0.0         212.86.yyy.yyy  0.0.0.0         UG        0 0          0 eth3

"Потерялся в маршрутах"
Отправлено Grey , 06-Сен-10 15:17

>>а если так?:
>>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>
>аналогично SIOCADDRT: No such process
>
>Я так подозреваю, что сам route в дебиане хитроват, бо на фре
>вроде без проблем все делалось примерно так:
># /sbin/route add -net 192.168.12.0 10.10.10.250
а при этом адрес 10.10.10.250 доступен?

"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 15:20

>а при этом адрес 10.10.10.250 доступен?
пингуется, все порты которые у него открыты или пробрасываются - доступны

"Потерялся в маршрутах"
Отправлено yuzo , 07-Сен-10 13:55

Я так думаю, может в сторону конфига OpenVPN смотреть, так как на другие интерфейсы роуты добавляются без проблем, проблема в том что в таблице никоем образом не светится 10.10.10.250, соответственно маршрутизировать некуда. Или я ошибаюсь?

"Потерялся в маршрутах"
Отправлено Grey , 07-Сен-10 14:01

>Я так думаю, может в сторону конфига OpenVPN смотреть, так как на
>другие интерфейсы роуты добавляются без проблем, проблема в том что в
>таблице никоем образом не светится 10.10.10.250, соответственно маршрутизировать некуда. Или я
>ошибаюсь?
10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов не должен светиться

"Потерялся в маршрутах"
Отправлено yuzo , 07-Сен-10 15:00

>10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов
>не должен светиться
таки да, доступен, но все же вопрос остается.

"Потерялся в маршрутах"
Отправлено reader , 07-Сен-10 16:45

>>10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов
>>не должен светиться
>
>таки да, доступен, но все же вопрос остается.
если tun не принципиально, то попробуйте tap, будет попроще, хотя некоторые параметры придется исправить

"Потерялся в маршрутах"
Отправлено yuzo , 07-Сен-10 16:57

>если tun не принципиально, то попробуйте tap, будет попроще, хотя некоторые параметры
>придется исправить
ну с tap накладненько, так как удаленных филиалов 33 а переписать у всех конфиг не просто, они работают, а это остановка всей сетки на часика 2 как минимум, бо сначало надо сменить конфиг на свех клиентах, а потом уже на серваке, и только после этого все законектятся. :(
Vmware...... будем тестить, в муках познается истина.

"Потерялся в маршрутах"
Отправлено yuzo , 22-Ноя-10 10:47

ВНИМАНИЕ!!! РЕШЕНИЕ:
> Клиенту (шлюз с NAT`ом), при поднятии тунеля, скармливается следующее правило, после чего
> он, и все кто за ним, видят локалку офиса:
> # cat /etc/openvpn/cdir/M-1
> ifconfig-push 10.10.10.250 10.10.10.249
> push "route 192.168.0.0 255.255.255.0"
в файл добавить сточку:
iroute 192.168.12.0 255.255.255.0
>[оверквотинг удален]
> port 1194
> proto udp
> dev tun0
> ca /etc/openvpn/easy-rsa/keys/ca.crt
> cert /etc/openvpn/easy-rsa/keys/server.crt
> key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
> dh /etc/openvpn/easy-rsa/keys/dh2048.pem
> ifconfig-pool-persist ipp.txt
> client-config-dir "/etc/openvpn/cdir"
> client-to-client
В конфиге сервера не хватало этого:
route 192.168.12.0 255.255.255.0
> comp-lzo
> persist-key
> persist-tun
> verb 3
Всем, кто не проигнорировал, СПАСИБО.