URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89745
[ Назад ]

Исходное сообщение
"Потерялся в маршрутах"

Отправлено yuzo , 06-Сен-10 13:42 
Вот какая проблемка: есть офис сетка 192.168.0.0/24 и есть филиал - 192.168.12.0/24 между ними тунель, построеный на базе OpenVPN.

Клиенту (шлюз с NAT`ом), при поднятии тунеля, скармливается следующее правило, после чего он, и все кто за ним, видят локалку офиса:

# cat /etc/openvpn/cdir/M-1
ifconfig-push 10.10.10.250 10.10.10.249
push "route 192.168.0.0 255.255.255.0"

В свою очередь, при попытке сделать доступ к компам филиала с офиса, прописав следующий маршрут:

# route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250 dev tun0

получаю ошибку: SIOCADDRT: No such process

Debian Lenny 5.0
Конфиг сервера OpenVPN офиса

# cat /etc/openvpn/server.conf

management localhost 7505
multihome
port 1194
proto udp
dev tun0

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret

dh /etc/openvpn/easy-rsa/keys/dh2048.pem

ifconfig-pool-persist ipp.txt

client-config-dir "/etc/openvpn/cdir"
client-to-client
comp-lzo
persist-key
persist-tun
verb 3

Подскажите, пожалуйста, куда копать. Спасибо.


Содержание

Сообщения в этом обсуждении
"Потерялся в маршрутах"
Отправлено Grey , 06-Сен-10 13:52 
>В свою очередь, при попытке сделать доступ к компам филиала с офиса,
>прописав следующий маршрут:
>
># route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250 dev tun0
>
>получаю ошибку: SIOCADDRT: No such process

а если так?:
route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250


"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 15:03 
>а если так?:
>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250

аналогично SIOCADDRT: No such process

Я так подозреваю, что сам route в дебиане хитроват, бо на фре вроде без проблем все делалось примерно так:
# /sbin/route add -net 192.168.12.0 10.10.10.250


"Потерялся в маршрутах"
Отправлено Кирилл_Н , 06-Сен-10 15:16 
>>а если так?:
>>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>
>аналогично SIOCADDRT: No such process
>
>Я так подозреваю, что сам route в дебиане хитроват, бо на фре
>вроде без проблем все делалось примерно так:
># /sbin/route add -net 192.168.12.0 10.10.10.250

а можно вывод netstat -nr. ну или route, раз это линух


"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 15:18 
>а можно вывод netstat -nr. ну или route, раз это линух

# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.10.10.2      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.30.30.12     0.0.0.0         255.255.255.252 U         0 0          0 vlan7
212.86.xxx.xxx  0.0.0.0         255.255.255.252 U         0 0          0 eth3
10.30.30.16     0.0.0.0         255.255.255.252 U         0 0          0 vlan51
10.86.66.8      0.0.0.0         255.255.255.248 U         0 0          0 eth3
172.0.0.0       0.0.0.0         255.255.255.0   U         0 0          0 eth1
172.16.0.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
172.16.1.0      0.0.0.0         255.255.255.0   U         0 0          0 eth4
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2
10.10.10.0      10.10.10.2      255.255.255.0   UG        0 0          0 tun0
0.0.0.0         212.86.yyy.yyy  0.0.0.0         UG        0 0          0 eth3


"Потерялся в маршрутах"
Отправлено Grey , 06-Сен-10 15:17 
>>а если так?:
>>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>
>аналогично SIOCADDRT: No such process
>
>Я так подозреваю, что сам route в дебиане хитроват, бо на фре
>вроде без проблем все делалось примерно так:
># /sbin/route add -net 192.168.12.0 10.10.10.250

а при этом адрес 10.10.10.250 доступен?


"Потерялся в маршрутах"
Отправлено yuzo , 06-Сен-10 15:20 
>а при этом адрес 10.10.10.250 доступен?

пингуется, все порты которые у него открыты или пробрасываются - доступны


"Потерялся в маршрутах"
Отправлено yuzo , 07-Сен-10 13:55 
Я так думаю, может в сторону конфига OpenVPN смотреть, так как на другие интерфейсы роуты добавляются без проблем, проблема в том что в таблице никоем образом не светится 10.10.10.250, соответственно маршрутизировать некуда. Или я ошибаюсь?

"Потерялся в маршрутах"
Отправлено Grey , 07-Сен-10 14:01 
>Я так думаю, может в сторону конфига OpenVPN смотреть, так как на
>другие интерфейсы роуты добавляются без проблем, проблема в том что в
>таблице никоем образом не светится 10.10.10.250, соответственно маршрутизировать некуда. Или я
>ошибаюсь?

10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов не должен светиться


"Потерялся в маршрутах"
Отправлено yuzo , 07-Сен-10 15:00 
>10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов
>не должен светиться

таки да, доступен, но все же вопрос остается.


"Потерялся в маршрутах"
Отправлено reader , 07-Сен-10 16:45 
>>10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов
>>не должен светиться
>
>таки да, доступен, но все же вопрос остается.

если tun не принципиально, то попробуйте tap, будет попроще, хотя некоторые параметры придется исправить


"Потерялся в маршрутах"
Отправлено yuzo , 07-Сен-10 16:57 
>если tun не принципиально, то попробуйте tap, будет попроще, хотя некоторые параметры
>придется исправить

ну с tap накладненько, так как удаленных филиалов 33 а переписать у всех конфиг не просто, они работают, а это остановка всей сетки на часика 2 как минимум, бо сначало надо сменить конфиг на свех клиентах, а потом уже на серваке, и только после этого все законектятся. :(

Vmware...... будем тестить, в муках познается истина.


"Потерялся в маршрутах"
Отправлено yuzo , 22-Ноя-10 10:47 
ВНИМАНИЕ!!! РЕШЕНИЕ:

> Клиенту (шлюз с NAT`ом), при поднятии тунеля, скармливается следующее правило, после чего
> он, и все кто за ним, видят локалку офиса:
> # cat /etc/openvpn/cdir/M-1
> ifconfig-push 10.10.10.250 10.10.10.249
> push "route 192.168.0.0 255.255.255.0"

в файл добавить сточку:
iroute 192.168.12.0 255.255.255.0

>[оверквотинг удален]
> port 1194
> proto udp
> dev tun0
> ca /etc/openvpn/easy-rsa/keys/ca.crt
> cert /etc/openvpn/easy-rsa/keys/server.crt
> key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret
> dh /etc/openvpn/easy-rsa/keys/dh2048.pem
> ifconfig-pool-persist ipp.txt
> client-config-dir "/etc/openvpn/cdir"
> client-to-client

В конфиге сервера не хватало этого:
route 192.168.12.0 255.255.255.0

> comp-lzo
> persist-key
> persist-tun
> verb 3

Всем, кто не проигнорировал, СПАСИБО.