Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 28-Авг-12, 11:42 [смотреть все]Всем привет! Есть две сети, рабочая и домашняя. В домашней сети сервер с win2008, роутер и компьютер с win7. В офисной сети компьютер с win7. Офисная и домашняя сеть соединены с помощью vpn туннеля на OpenVPN. OpenVPN сервер стоит на win2008 в домашней сети, OpenVPN клиент стоит в рабочей сети на компьютере с Win7. Теперь настройки: Win2008(Дом)Eth0: ip:192.168.1.10/24 шлюз:192.168.1.1 Win2008(Дом)Vpn: ip:192.168.3.1/24 Win7(офис)Eth0: ip:192.168.0.75/24 шлюз:192.168.0.5 Win7(офис)vpn: ip:192.168.3.2/24 Win7(Дом)Eth0: 192.168.1.3/24 шлюз:192.168.1.1 Router(Дом): ip:192.168.1.1 Маршруты на Win2008 и Win7(офис) выдаются OpenVPN при подключении. На роутере прописаны маршруты до 3.0 и 0.75 через 1.10. Итак, проблема в следующем: Win7(дом) пингует win7(офис), трассировка проходит так 1.1->1.10->3.2->0.75. Т.е всё правильно. НО win7(офис) не пингует Win7(Дом), хотя пингует Win2008 и Роутер. Из Офиса есть доступ к шарам на 1.10, и есть прямой доступ к 1.1(из браузера), но попасть на 1.3 невозможно, и несмотря на та, что пинг идет с 1.3 получить доступ на ресурсы в офисе не получается(с 1.3). Под офисом я подразумеваю 192.168.0.75 и 192.168.3.2 Проблема решается очень просто, добавлением статических маршрутов на 1.3 до 192.168.0.0 и 192.168.3.0. Всё сразу начинает работать, и шары и пинги ходят в обе стороны. Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого сделать не может? Что делать, добавлять статические маршруты на компьютеры в обход шлюза несерьёзно как-то.
|
- Маршрутизация и VPN-туннель на OpenVpn, Николай, 12:10 , 28-Авг-12 (1)
Народ у меня одного такое чувство, что то что написано, понятно только автору? Даже если убиться в хлам шансов что-то понять мало. Вы бы хотя бы какую нить картинку прилепили где у вас транспорт где локалка.
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 12:24 , 28-Авг-12 (2)
1)Добавлю для наглядности схемку:http://sdrv.ms/Nzme39 2)А вот скрин с компьютера с адресов 192.168.0.75: Тут можно увидеть, wireshark на фоне, там ICMP-запрос от 192.168.1.3, и ответ, так же попытка попинговать, трассировка и route. http://sdrv.ms/PKTtoK
- Маршрутизация и VPN-туннель на OpenVpn, Николай, 12:35 , 28-Авг-12 (3)
а что такое 192.168.0.5 - секондари адрес на ВПН-сервере (еле выговариваю что бы не улыбаться) что ли? Да забыл спросить какой технология построения ВПН?
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 12:45 , 28-Авг-12 (5)
> а что такое 192.168.0.5 - секондари адрес на ВПН-сервере (еле выговариваю что > бы не улыбаться) что ли?192.168.0.5 это шлюз офисной сети, а не секондари адрес на ВПН-сервере. Он не имеет отношения к этой проблеме, указал для информации. > Да забыл спросить какой технология построения ВПН? PPTP
- Маршрутизация и VPN-туннель на OpenVpn, fantom, 12:35 , 28-Авг-12 (4)
> 1)Добавлю для наглядности схемку: > http://sdrv.ms/Nzme39 > 2)А вот скрин с компьютера с адресов 192.168.0.75: > Тут можно увидеть, wireshark на фоне, там ICMP-запрос от 192.168.0.75, и ответ, > так же попытка попинговать, трассировка и route. > http://sdrv.ms/PKTtoK Последовательно на маршруте проверяете таблици маршрутизации и смотрите куда смотрят нужные сети.
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 12:49 , 28-Авг-12 (6)
> Последовательно на маршруте проверяете таблици маршрутизации и смотрите куда смотрят нужные > сети.Маршруты прописаны правильно, т.к. добавляя два маршрута на 192.168.1.3(до 192.168.0.0 и до 192.168.3.0) всё начинает работать.
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 13:01 , 28-Авг-12 (7)
Модель роутера Zyxel Keenetic Lite.На самом деле у меня основной вопрос вот этот: > Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого > сделать не может? Мне главное понять, как может система пинговать, но не пинговаться, и решается это просто прописыванием статического маршрута на самой системе(т.е. никакие брандмауэры не блокируют пакеты)
- Маршрутизация и VPN-туннель на OpenVpn, fantom, 13:16 , 28-Авг-12 (8)
> Модель роутера Zyxel Keenetic Lite. > На самом деле у меня основной вопрос вот этот: >> Вопрос, почему без статики с 1.3 можно попинговать офис, а офис этого >> сделать не может? > Мне главное понять, как может система пинговать, но не пинговаться, и решается > это просто прописыванием статического маршрута на самой системе(т.е. никакие брандмауэры > не блокируют пакеты) Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите к симметричному виду.
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 13:21 , 28-Авг-12 (9)
> Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите > к симметричному виду.Хм, это не НАТ точно, а вот про ассиметричную маршрутизацию я сейчас почитаю.
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 15:15 , 28-Авг-12 (10)
>> Элементарно например в НАТ попадать или ассиметричной маршрутизацией, а вы ее приводите >> к симметричному виду. > Хм, это не НАТ точно, а вот про ассиметричную маршрутизацию я сейчас > почитаю.Судя по всему, асимметричная маршрутизация позволяет пакетам проходить по разным путям, и это может оказаться проблемой при установлении соединения, но как это может помешать проходить icmp пакетам?
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 15:18 , 28-Авг-12 (11)
Вот еще один момент, который может помочь решить вопрос, когда я делаю tracert с компьютера 3.2 до 1.3, то он резолвит имя компьютера, хотя трассировка не доходит до него и он не пингуется.
- Маршрутизация и VPN-туннель на OpenVpn, fantom, 15:45 , 28-Авг-12 (12)
> Вот еще один момент, который может помочь решить вопрос, когда я делаю > tracert с компьютера 3.2 до 1.3, то он резолвит > имя компьютера, хотя трассировка не доходит до него и он не > пингуется.если добавление статических маршрутов на одном единственном узле решает проблему, значит вся проблема с вероятностью 0.99 в этом узле и заключается. Смотрите таблицу маршрутов этого узла "ДО" модификации и "ПОСЛЕ", находите различия, думаете что они исправляют. После этого думаете можно ли добиться аналогичного эффекта ничего не меняя. Есть предположение, что вы пингуя нужный адрес на самомделепингуете совершенно левый хост. (да,да... с адресами из разряда 192.168.... такое иногда случается) Для подтверждения/опровержения проверьте на удаленном узле приходят ли реально к нему icmp пакеты.
- Маршрутизация и VPN-туннель на OpenVpn, Alximikkk, 15:56 , 28-Авг-12 (13)
>[оверквотинг удален] >> пингуется. > если добавление статических маршрутов на одном единственном узле решает проблему, значит > вся проблема с вероятностью 0.99 в этом узле и заключается. > Смотрите таблицу маршрутов этого узла "ДО" модификации и "ПОСЛЕ", находите различия, думаете > что они исправляют. > После этого думаете можно ли добиться аналогичного эффекта ничего не меняя. > Есть предположение, что вы пингуя нужный адрес на самомделепингуете совершенно левый хост. > (да,да... с адресами из разряда 192.168.... такое иногда случается) > Для подтверждения/опровержения проверьте на удаленном узле приходят ли реально к нему icmp > пакеты.Спасибо за советы, но проблема не в сети, а в винде. Поднял виртуальную машину в ХР на этом же компе, и она прекрастно получила маршруты, пропинговала всех, и все пропиновали её, трассировка нормально, удаленный доступ, "шары", все работает. Так что проблема не в сети, а в системе на компьютере 1.3. Теперь это стало НЕ интересно. Поковыряю настройки, посмотрю что да как, и всё заработает. Фантом, спасибо, что пытался мне помочь.
|