URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 83
[ Назад ]
Исходное сообщение
"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 11:42 
Всем привет!  
Есть две сети, рабочая и домашняя.  
В домашней сети сервер с win2008, роутер и компьютер с win7.  
В офисной сети компьютер с win7.  
Офисная и домашняя сеть соединены с помощью vpn туннеля на OpenVPN.  
OpenVPN сервер стоит на win2008 в домашней сети, OpenVPN клиент стоит в рабочей сети на компьютере с Win7.  
Теперь настройки:  
Win2008(Дом)Eth0:  
ip:192.168.1.10/24  
шлюз:192.168.1.1  

Win2008(Дом)Vpn:  
ip:192.168.3.1/24  

Win7(офис)Eth0:  
ip:192.168.0.75/24  
шлюз:192.168.0.5  

Win7(офис)vpn:  
ip:192.168.3.2/24  

Win7(Дом)Eth0:  
192.168.1.3/24  
шлюз:192.168.1.1  

Router(Дом):  
ip:192.168.1.1  

Маршруты на Win2008 и Win7(офис) выдаются OpenVPN при подключении. На роутере прописаны маршруты до 3.0 и 0.75 через 1.10.  

Итак, проблема в следующем: Win7(дом) пингует win7(офис), трассировка проходит так 1.1->1.10->3.2->0.75. Т.е всё правильно.  
НО win7(офис) не пингует Win7(Дом), хотя пингует Win2008 и Роутер.  
Из Офиса есть доступ к шарам на 1.10, и есть прямой доступ к 1.1(из браузера), но попасть на 1.3 невозможно, и несмотря на та, что пинг идет с 1.3 получить доступ на ресурсы в офисе не получается(с 1.3).  
Под офисом я подразумеваю 192.168.0.75 и 192.168.3.2  

Проблема решается очень просто, добавлением статических маршрутов на 1.3 до 192.168.0.0 и 192.168.3.0. Всё сразу начинает работать, и шары и пинги ходят в обе стороны.  

Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого сделать не может? Что делать, добавлять статические маршруты на компьютеры в обход шлюза несерьёзно как-то.
Содержание
Сообщения в этом обсуждении
"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Николай , 28-Авг-12 12:10 
Народ у меня одного такое чувство, что то что написано, понятно только автору? Даже если убиться в хлам шансов что-то понять мало. Вы бы хотя бы какую нить картинку прилепили где у вас транспорт где локалка.
"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 12:24 
1)Добавлю для наглядности схемку:

http://sdrv.ms/Nzme39

2)А вот скрин с компьютера с адресов 192.168.0.75:
Тут можно увидеть, wireshark на фоне, там ICMP-запрос от 192.168.1.3, и ответ, так же попытка попинговать, трассировка и route.

http://sdrv.ms/PKTtoK


"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Николай , 28-Авг-12 12:35 
а что такое 192.168.0.5 - секондари адрес на ВПН-сервере (еле выговариваю что бы не улыбаться) что ли?
Да забыл спросить какой технология построения ВПН?
"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 12:45 
> а что такое 192.168.0.5 - секондари адрес на ВПН-сервере (еле выговариваю что
> бы не улыбаться) что ли?

192.168.0.5 это шлюз офисной сети, а не секондари адрес на ВПН-сервере. Он не имеет отношения к этой проблеме, указал для информации.

> Да забыл спросить какой технология построения ВПН?

PPTP

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено fantom , 28-Авг-12 12:35 
> 1)Добавлю для наглядности схемку:
> http://sdrv.ms/Nzme39
> 2)А вот скрин с компьютера с адресов 192.168.0.75:
> Тут можно увидеть, wireshark на фоне, там ICMP-запрос от 192.168.0.75, и ответ,
> так же попытка попинговать, трассировка и route.
> http://sdrv.ms/PKTtoK

Последовательно на маршруте проверяете таблици маршрутизации и смотрите куда смотрят нужные сети.

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 12:49 
> Последовательно на маршруте проверяете таблици маршрутизации и смотрите куда смотрят нужные
> сети.

Маршруты прописаны правильно, т.к. добавляя два маршрута на 192.168.1.3(до 192.168.0.0 и до 192.168.3.0) всё начинает работать.

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 13:01 
Модель роутера Zyxel Keenetic Lite.

На самом деле у меня основной вопрос вот этот:

> Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого
> сделать не может?

Мне главное понять, как может система пинговать, но не пинговаться, и решается это просто прописыванием статического маршрута на самой системе(т.е. никакие брандмауэры не блокируют пакеты)

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено fantom , 28-Авг-12 13:16 
> Модель роутера Zyxel Keenetic Lite.
> На самом деле у меня основной вопрос вот этот:
>> Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого
>> сделать не может?
> Мне главное понять, как может система пинговать, но не пинговаться, и решается
> это просто прописыванием статического маршрута на самой системе(т.е. никакие брандмауэры
> не блокируют пакеты)

Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите к симметричному виду.

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 13:21 
> Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите
> к симметричному виду.

Хм, это не НАТ точно, а вот про ассиметричную маршрутизацию я сейчас почитаю.

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 15:15 
>> Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите
>> к симметричному виду.
> Хм, это не НАТ точно, а вот про ассиметричную маршрутизацию я сейчас
> почитаю.

Судя по всему, асимметричная маршрутизация позволяет пакетам проходить по разным путям, и это может оказаться проблемой при установлении соединения, но как это может помешать проходить icmp пакетам?


"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 15:18 
Вот еще один момент, который может помочь решить вопрос, когда я делаю tracert  с компьютера  3.2 до 1.3, то он резолвит имя компьютера, хотя трассировка не доходит до него и он не пингуется.
"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено fantom , 28-Авг-12 15:45 
> Вот еще один момент, который может помочь решить вопрос, когда я делаю
> tracert  с компьютера  3.2 до 1.3, то он резолвит
> имя компьютера, хотя трассировка не доходит до него и он не
> пингуется.

если добавление статических маршрутов на одном единственном узле решает проблему, значит вся проблема с вероятностью 0.99 в этом узле и заключается.
Смотрите таблицу маршрутов этого узла "ДО" модификации и "ПОСЛЕ", находите различия, думаете что они исправляют.
После этого думаете можно ли добиться аналогичного эффекта ничего не меняя.

Есть предположение, что вы пингуя нужный адрес на самомделепингуете совершенно левый хост.
(да,да... с адресами из разряда 192.168.... такое иногда случается)
Для подтверждения/опровержения проверьте на удаленном узле приходят ли реально к нему icmp пакеты.

"Маршрутизация и VPN-туннель на OpenVpn"
Отправлено Alximikkk , 28-Авг-12 15:56 
>[оверквотинг удален]
>> пингуется.
> если добавление статических маршрутов на одном единственном узле решает проблему, значит
> вся проблема с вероятностью 0.99 в этом узле и заключается.
> Смотрите таблицу маршрутов этого узла "ДО" модификации и "ПОСЛЕ", находите различия, думаете
> что они исправляют.
> После этого думаете можно ли добиться аналогичного эффекта ничего не меняя.
> Есть предположение, что вы пингуя нужный адрес на самомделепингуете совершенно левый хост.
> (да,да... с адресами из разряда 192.168.... такое иногда случается)
> Для подтверждения/опровержения проверьте на удаленном узле приходят ли реально к нему icmp
> пакеты.

Спасибо за советы, но проблема не в сети, а в винде. Поднял виртуальную машину в ХР на этом же компе, и она прекрастно получила маршруты, пропинговала всех, и все пропиновали её, трассировка нормально, удаленный доступ, "шары", все работает. Так что проблема не в сети, а в системе на компьютере 1.3. Теперь это стало НЕ интересно. Поковыряю настройки, посмотрю что да как, и всё заработает.
Фантом, спасибо, что пытался мне помочь.