URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4434
[ Назад ]

Исходное сообщение
"нужна помощь с natd"

Отправлено izvorot , 26-Ноя-09 11:17 
Привет!Очень нужна помощь в настройке сервака-начальство уже за зад берет :(
ситуация такая-в удаленном офисе стоит фревый сервак(назовем его 1),в центральном офисе тоже фревый сервак (назовем его 2)-на обоих поднят опенвпн (работают по схеме клиент-сервер).проблема в том что из удаленного офиса с сервера 1 я пингую сеть в центральном офисе-а за ним (за 1) клиенты никак не пингуют.делаю трассировку пакетов на клиенте с ИП-адресом ценральной сети -пакеты доходят до сервера (1) и теряются,подозреваю что они уходят по default.дошел до того что у меня или криво отрабатывается маршрутизация или нужно править фаер.
правила маршрутизации:

Internet:
Destination        Gateway              Netif
default            195.5.5.xx            tun0
10.1/24            10.1.0.29             tun1
10.1.0.29          10.1.0.30             tun1
127.0.0.1          127.0.0.1             lo0
192.168.1          link#3                rl2
192.168.10         10.1.0.29             tun1
192.168.20         10.1.0.29             tun1
192.168.30         link#1                rl0
192.168.30.1       00:50:22:86:57:d5     lo0
192.168.30.50      00:11:d8:e6:e8:ac     rl0  
192.168.30.55      00:11:d8:e6:e1:89     rl0  
192.168.30.97      00:11:d8:e7:3a:c9     rl0  
192.168.30.125     00:15:f2:7b:09:8a     rl0  
195.5.5.xx         82.207.xx.xxx         tun0
255.255.255.255    192.168.30.1          rl0

буду благодарен за помощь.


Содержание

Сообщения в этом обсуждении
"нужна помощь с natd"
Отправлено ronin , 26-Ноя-09 13:58 
>Привет!Очень нужна помощь в настройке сервака-начальство уже за зад берет :(
>ситуация такая-в удаленном офисе стоит фревый сервак(назовем его 1),в центральном офисе тоже
>фревый сервак (назовем его 2)-на обоих поднят опенвпн (работают по схеме
>клиент-сервер).проблема в том что из удаленного офиса с сервера 1 я
>пингую сеть в центральном офисе-а за ним (за 1) клиенты никак
>не пингуют.делаю трассировку пакетов на клиенте с ИП-адресом ценральной сети -пакеты
>доходят до сервера (1) и теряются,подозреваю что они уходят по default.дошел
>до того что у меня или криво отрабатывается маршрутизация или нужно
>править фаер.

Скорее всего у Вас траффик, адресованный в центральный оффис, просто идёт на default route. Поэтому пропишите на 1 бзде маршрут на сеть за 2 бздёй через этот ВПН-туннель.

respect,
ronin


"нужна помощь с natd"
Отправлено vagif , 26-Ноя-09 19:07 
>Поэтому пропишите на 1 бзде маршрут на сеть за
>2 бздёй через этот ВПН-туннель.

.......
легким добавлением в конфик OpenVPN'а пары строк типа

route x.x.x.x 255.255.255.0

и он сам поднимет роутинг при установлении соединения


"нужна помощь с natd"
Отправлено izvorot , 03-Дек-09 13:11 
с помощью бубна и ipnat`a смаршрутизировал трафик адресованый с локальной сети за 1м в локальную сеть за 2м сервером.
#cat /etc/ipnat.rules
map tun1 from 192.168.30.0/24 to 192.168.10.0/24 -> 10.1.0.30/32

но теперь мне придумали вытекающую задачу-чтобы можно было с сети в центральлном офисе зайти на комп в удаленном офисе-т.е типа сделать "обратную связь"-опять ломаю голову :( .
на 2м сервере (в центр.офисе) в /etc/ipnat.rules прописываю:
#cat /etc/ipnat.rules
map tun0 from 192.168.10.0/24 to 192.168.30.0/24 -> 10.1.0.30/32
на 1м
#cat /etc/ipnat.rules
map rl0  from 10.1.0.30/32 to 192.168.30.0/24 -> 192.168.30.1/32

но при всем этом 30 подсеть не пигнуется-помогите пинком в правильном направлении пожалуйста :)


"нужна помощь с natd"
Отправлено vagif , 03-Дек-09 14:04 
>с помощью бубна и ipnat`a смаршрутизировал трафик

не очень понятно зачем использовать NAT для маршрутизации? это не есть его задача.
что мешает прописать правила роутинга в настройках OpenVPN и все дела?

или жизнь без бубна скучна и однообразна? ;)


"нужна помощь с natd"
Отправлено izvorot , 03-Дек-09 15:14 
>>с помощью бубна и ipnat`a смаршрутизировал трафик
>
>не очень понятно зачем использовать NAT для маршрутизации? это не есть его
>задача.
>что мешает прописать правила роутинга в настройках OpenVPN и все дела?
>
>или жизнь без бубна скучна и однообразна? ;)

привожу конфиг опенвпна с 2го сервера(он выступает в роли сервера)

# режим работы опенвпн
daemon openvpn
# интерфйес
dev tun
# определяет кем является мой комп (клиент или сервер)
server 10.1.0.0 255.255.255.0
# закрепляю статические адреса за клиентами
client-config-dir /usr/local/etc/openvpn/ccd
# роутинг
push "route 10.1.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"
push "route 192.168.30.0 255.255.255.0"
client-to-client
#tls-server
tls-auth /usr/local/etc/openvpn/easy-rsa/lock/server/ta.key
dh /usr/local/etc/openvpn/easy-rsa/lock/server/dh1024.pem
ca /usr/local/etc/openvpn/easy-rsa/lock/server/ca.crt
cert /usr/local/etc/openvpn/easy-rsa/lock/server/server.crt
key /usr/local/etc/openvpn/easy-rsa/lock/server/server.key
proto tcp-server
# порт на котором слушает запросы
port 5000
# максимальное количество клиентов
max-clients 100
# пользователь под которым работает опенвпн
user nobody
# группа под которой работает опенвпн
group nobody
#cipher BF-CBC
# использовать ли сжатие
comp-lzo
persist-tun
persist-key
keepalive 10 120
# файл лога опенвпн
log /var/log/openvpn/server/openvpn.log
# этот файл показывает в режиме он-лайн кто работает по опенвпн
status /var/log/openvpn/server/openvpn-status.log
verb 3

тут маршруты прописаны и клиенты принимают эти маршруты -но не помагает.подскажите как еще можно разрулить?


"нужна помощь с natd"
Отправлено vagif , 03-Дек-09 18:30 
а покажи плиз,
1. что openvpn при соединении пишет в лог?
2. до соединения: netstat -rn
3. после соединения: netstat -rn