Вот какая проблемка: есть офис сетка 192.168.0.0/24 и есть филиал - 192.168.12.0/24 между ними тунель, построеный на базе OpenVPN.Клиенту (шлюз с NAT`ом), при поднятии тунеля, скармливается следующее правило, после чего он, и все кто за ним, видят локалку офиса:
# cat /etc/openvpn/cdir/M-1
ifconfig-push 10.10.10.250 10.10.10.249
push "route 192.168.0.0 255.255.255.0"В свою очередь, при попытке сделать доступ к компам филиала с офиса, прописав следующий маршрут:
# route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250 dev tun0
получаю ошибку: SIOCADDRT: No such process
Debian Lenny 5.0
Конфиг сервера OpenVPN офиса# cat /etc/openvpn/server.conf
management localhost 7505
multihome
port 1194
proto udp
dev tun0ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secretdh /etc/openvpn/easy-rsa/keys/dh2048.pem
ifconfig-pool-persist ipp.txt
client-config-dir "/etc/openvpn/cdir"
client-to-client
comp-lzo
persist-key
persist-tun
verb 3Подскажите, пожалуйста, куда копать. Спасибо.
>В свою очередь, при попытке сделать доступ к компам филиала с офиса,
>прописав следующий маршрут:
>
># route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250 dev tun0
>
>получаю ошибку: SIOCADDRT: No such processа если так?:
route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>а если так?:
>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250аналогично SIOCADDRT: No such process
Я так подозреваю, что сам route в дебиане хитроват, бо на фре вроде без проблем все делалось примерно так:
# /sbin/route add -net 192.168.12.0 10.10.10.250
>>а если так?:
>>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>
>аналогично SIOCADDRT: No such process
>
>Я так подозреваю, что сам route в дебиане хитроват, бо на фре
>вроде без проблем все делалось примерно так:
># /sbin/route add -net 192.168.12.0 10.10.10.250а можно вывод netstat -nr. ну или route, раз это линух
>а можно вывод netstat -nr. ну или route, раз это линух# netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.10.10.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.30.30.12 0.0.0.0 255.255.255.252 U 0 0 0 vlan7
212.86.xxx.xxx 0.0.0.0 255.255.255.252 U 0 0 0 eth3
10.30.30.16 0.0.0.0 255.255.255.252 U 0 0 0 vlan51
10.86.66.8 0.0.0.0 255.255.255.248 U 0 0 0 eth3
172.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth4
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.10.10.0 10.10.10.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 212.86.yyy.yyy 0.0.0.0 UG 0 0 0 eth3
>>а если так?:
>>route add -net 192.168.12.0 netmask 255.255.255.0 gw 10.10.10.250
>
>аналогично SIOCADDRT: No such process
>
>Я так подозреваю, что сам route в дебиане хитроват, бо на фре
>вроде без проблем все делалось примерно так:
># /sbin/route add -net 192.168.12.0 10.10.10.250а при этом адрес 10.10.10.250 доступен?
>а при этом адрес 10.10.10.250 доступен?пингуется, все порты которые у него открыты или пробрасываются - доступны
Я так думаю, может в сторону конфига OpenVPN смотреть, так как на другие интерфейсы роуты добавляются без проблем, проблема в том что в таблице никоем образом не светится 10.10.10.250, соответственно маршрутизировать некуда. Или я ошибаюсь?
>Я так думаю, может в сторону конфига OpenVPN смотреть, так как на
>другие интерфейсы роуты добавляются без проблем, проблема в том что в
>таблице никоем образом не светится 10.10.10.250, соответственно маршрутизировать некуда. Или я
>ошибаюсь?10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов не должен светиться
>10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов
>не должен светитьсятаки да, доступен, но все же вопрос остается.
>>10.10.10.250 по идее доступен непосредственно и маршрут на него в таблице маршрутов
>>не должен светиться
>
>таки да, доступен, но все же вопрос остается.если tun не принципиально, то попробуйте tap, будет попроще, хотя некоторые параметры придется исправить
>если tun не принципиально, то попробуйте tap, будет попроще, хотя некоторые параметры
>придется исправитьну с tap накладненько, так как удаленных филиалов 33 а переписать у всех конфиг не просто, они работают, а это остановка всей сетки на часика 2 как минимум, бо сначало надо сменить конфиг на свех клиентах, а потом уже на серваке, и только после этого все законектятся. :(
Vmware...... будем тестить, в муках познается истина.
ВНИМАНИЕ!!! РЕШЕНИЕ:> Клиенту (шлюз с NAT`ом), при поднятии тунеля, скармливается следующее правило, после чего
> он, и все кто за ним, видят локалку офиса:
> # cat /etc/openvpn/cdir/M-1
> ifconfig-push 10.10.10.250 10.10.10.249
> push "route 192.168.0.0 255.255.255.0"в файл добавить сточку:
iroute 192.168.12.0 255.255.255.0>[оверквотинг удален]
> port 1194
> proto udp
> dev tun0
> ca /etc/openvpn/easy-rsa/keys/ca.crt
> cert /etc/openvpn/easy-rsa/keys/server.crt
> key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
> dh /etc/openvpn/easy-rsa/keys/dh2048.pem
> ifconfig-pool-persist ipp.txt
> client-config-dir "/etc/openvpn/cdir"
> client-to-clientВ конфиге сервера не хватало этого:
route 192.168.12.0 255.255.255.0> comp-lzo
> persist-key
> persist-tun
> verb 3Всем, кто не проигнорировал, СПАСИБО.