Всем привет!
Есть две сети, рабочая и домашняя.
В домашней сети сервер с win2008, роутер и компьютер с win7.
В офисной сети компьютер с win7.
Офисная и домашняя сеть соединены с помощью vpn туннеля на OpenVPN.
OpenVPN сервер стоит на win2008 в домашней сети, OpenVPN клиент стоит в рабочей сети на компьютере с Win7.
Теперь настройки:
Win2008(Дом)Eth0:
ip:192.168.1.10/24
шлюз:192.168.1.1
Win2008(Дом)Vpn:
ip:192.168.3.1/24
Win7(офис)Eth0:
ip:192.168.0.75/24
шлюз:192.168.0.5
Win7(офис)vpn:
ip:192.168.3.2/24
Win7(Дом)Eth0:
192.168.1.3/24
шлюз:192.168.1.1
Router(Дом):
ip:192.168.1.1
Маршруты на Win2008 и Win7(офис) выдаются OpenVPN при подключении. На роутере прописаны маршруты до 3.0 и 0.75 через 1.10.
Итак, проблема в следующем: Win7(дом) пингует win7(офис), трассировка проходит так 1.1->1.10->3.2->0.75. Т.е всё правильно.
НО win7(офис) не пингует Win7(Дом), хотя пингует Win2008 и Роутер.
Из Офиса есть доступ к шарам на 1.10, и есть прямой доступ к 1.1(из браузера), но попасть на 1.3 невозможно, и несмотря на та, что пинг идет с 1.3 получить доступ на ресурсы в офисе не получается(с 1.3).
Под офисом я подразумеваю 192.168.0.75 и 192.168.3.2
Проблема решается очень просто, добавлением статических маршрутов на 1.3 до 192.168.0.0 и 192.168.3.0. Всё сразу начинает работать, и шары и пинги ходят в обе стороны.
Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого сделать не может? Что делать, добавлять статические маршруты на компьютеры в обход шлюза несерьёзно как-то.
Народ у меня одного такое чувство, что то что написано, понятно только автору? Даже если убиться в хлам шансов что-то понять мало. Вы бы хотя бы какую нить картинку прилепили где у вас транспорт где локалка.
1)Добавлю для наглядности схемку:2)А вот скрин с компьютера с адресов 192.168.0.75:
Тут можно увидеть, wireshark на фоне, там ICMP-запрос от 192.168.1.3, и ответ, так же попытка попинговать, трассировка и route.
а что такое 192.168.0.5 - секондари адрес на ВПН-сервере (еле выговариваю что бы не улыбаться) что ли?
Да забыл спросить какой технология построения ВПН?
> а что такое 192.168.0.5 - секондари адрес на ВПН-сервере (еле выговариваю что
> бы не улыбаться) что ли?192.168.0.5 это шлюз офисной сети, а не секондари адрес на ВПН-сервере. Он не имеет отношения к этой проблеме, указал для информации.
> Да забыл спросить какой технология построения ВПН?
PPTP
> 1)Добавлю для наглядности схемку:
> http://sdrv.ms/Nzme39
> 2)А вот скрин с компьютера с адресов 192.168.0.75:
> Тут можно увидеть, wireshark на фоне, там ICMP-запрос от 192.168.0.75, и ответ,
> так же попытка попинговать, трассировка и route.
> http://sdrv.ms/PKTtoKПоследовательно на маршруте проверяете таблици маршрутизации и смотрите куда смотрят нужные сети.
> Последовательно на маршруте проверяете таблици маршрутизации и смотрите куда смотрят нужные
> сети.Маршруты прописаны правильно, т.к. добавляя два маршрута на 192.168.1.3(до 192.168.0.0 и до 192.168.3.0) всё начинает работать.
Модель роутера Zyxel Keenetic Lite.На самом деле у меня основной вопрос вот этот:
> Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого
> сделать не может?Мне главное понять, как может система пинговать, но не пинговаться, и решается это просто прописыванием статического маршрута на самой системе(т.е. никакие брандмауэры не блокируют пакеты)
> Модель роутера Zyxel Keenetic Lite.
> На самом деле у меня основной вопрос вот этот:
>> Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого
>> сделать не может?
> Мне главное понять, как может система пинговать, но не пинговаться, и решается
> это просто прописыванием статического маршрута на самой системе(т.е. никакие брандмауэры
> не блокируют пакеты)Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите к симметричному виду.
> Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите
> к симметричному виду.Хм, это не НАТ точно, а вот про ассиметричную маршрутизацию я сейчас почитаю.
>> Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите
>> к симметричному виду.
> Хм, это не НАТ точно, а вот про ассиметричную маршрутизацию я сейчас
> почитаю.Судя по всему, асимметричная маршрутизация позволяет пакетам проходить по разным путям, и это может оказаться проблемой при установлении соединения, но как это может помешать проходить icmp пакетам?
Вот еще один момент, который может помочь решить вопрос, когда я делаю tracert с компьютера 3.2 до 1.3, то он резолвит имя компьютера, хотя трассировка не доходит до него и он не пингуется.
> Вот еще один момент, который может помочь решить вопрос, когда я делаю
> tracert с компьютера 3.2 до 1.3, то он резолвит
> имя компьютера, хотя трассировка не доходит до него и он не
> пингуется.если добавление статических маршрутов на одном единственном узле решает проблему, значит вся проблема с вероятностью 0.99 в этом узле и заключается.
Смотрите таблицу маршрутов этого узла "ДО" модификации и "ПОСЛЕ", находите различия, думаете что они исправляют.
После этого думаете можно ли добиться аналогичного эффекта ничего не меняя.Есть предположение, что вы пингуя нужный адрес на самомделепингуете совершенно левый хост.
(да,да... с адресами из разряда 192.168.... такое иногда случается)
Для подтверждения/опровержения проверьте на удаленном узле приходят ли реально к нему icmp пакеты.
>[оверквотинг удален]
>> пингуется.
> если добавление статических маршрутов на одном единственном узле решает проблему, значит
> вся проблема с вероятностью 0.99 в этом узле и заключается.
> Смотрите таблицу маршрутов этого узла "ДО" модификации и "ПОСЛЕ", находите различия, думаете
> что они исправляют.
> После этого думаете можно ли добиться аналогичного эффекта ничего не меняя.
> Есть предположение, что вы пингуя нужный адрес на самомделепингуете совершенно левый хост.
> (да,да... с адресами из разряда 192.168.... такое иногда случается)
> Для подтверждения/опровержения проверьте на удаленном узле приходят ли реально к нему icmp
> пакеты.Спасибо за советы, но проблема не в сети, а в винде. Поднял виртуальную машину в ХР на этом же компе, и она прекрастно получила маршруты, пропинговала всех, и все пропиновали её, трассировка нормально, удаленный доступ, "шары", все работает. Так что проблема не в сети, а в системе на компьютере 1.3. Теперь это стало НЕ интересно. Поковыряю настройки, посмотрю что да как, и всё заработает.
Фантом, спасибо, что пытался мне помочь.