Здравствуйте!Проблема в следующем:
Есть 2 сетки, соединенные ВПНом (openvpn)
в одной сетке стоит станция AVAYA в другой IP-phone.
сетка1:
адрес сервера - 192.168.9.1
адрес шлюза - 192.168.9.5
адрес впн интерфейса (клиент) - 10.151.200.2
сетка2:
адрес телефона - 192.168.7.25
адрес шлюза - 192.168.7.99
адрес впн интерфейса (сервер) - 10.151.200.1
Телефон начинает обмениваться с сервером (сверять прошифки, конфиги) и все вроде удачно, как только появляется запрос на регистрацию (в тспдампе выглядит так 13:16:23.639527 IP 192.168.7.25.49306 > 192.168.9.1.h323gatestat: UDP, length 296) и сразу же перестает получать ответ от сервера. В этот же момент времени перестают идти пинги и трэйсроуты.
tcpdump начинат показывать следующее на примере пинга:
пинг от компа в сетке 1 уходит на шлюз на интерфейс eth0 (шлюз первой сетки)
идет на интерфейс впна tap1 (шлюз первой сетки)
уходит на интерфес впна на втором шлюзе tap0 (шлюз второй сетки)
на внутренний интерфейс eth0 (шлюз второй сетки)
далее до телефона
ответ от телефона
на внутренний интерфейс eth0 (шлюз второй сетки)
уходит на интерфес впна на втором шлюзе tap0 (шлюз второй сетки)
идет на интерфейс впна tap1 (шлюз первой сетки)
а вот на интерфес eth0 (шлюза первой сетки) не доходит.
т.е. пинг доходит до телефона, телефон отвечает, и на выхде из впн пакет где то застревает. И так до перезагрузки телефона.
Как только телефон перезагрузился, пинги начинают проходить, но до тех пор пока не посылается пакет на регистрацию. Далее по новой.
В чем может быть проблема?
protect_from_in выключен.
форварды проброшены по всем портам и протоколам. Компы находящщиеся в сетках видят друг друга и общаются по всем службам и портам. Данный касяк проявляется только на телефонах.
____________
Фаервол надстройка на iptables SuSEfirewall2
некоторые настройки
FW_DEV_INT="eth0 tap0 tap1 tap2 tap3 tap4 tap5"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_NOMASQ_NETS="192.168.8.0/22,192.168.7.0/24 \
192.168.8.0/22,10.151.200.0/24"
FW_PROTECT_FROM_INT="no"
FW_TRUSTED_NETS="192.168.7.0/24 10.151.200.0/24"
FW_FORWARD="192.168.8.0/22,10.151.200.0/24 10.151.200.0/24,192.168.8.0/22 \
192.168.8.0/22,192.168.7.0/24 192.168.7.0/24,192.168.8.0/22"
На втором сервере примерно то же самое.
фаервол выдает такое:
Feb 20 13:55:50 linux-ongu kernel: [2127700.084479] SFW2-FWDint-DROP-DEFLT IN=tap0 OUT=eth2 MAC=86:df:c8:c1:9c:58:da:77:cd:26:a4:14:08:00 SRC=192.168.9.1 DST=192.168.7.25 LEN=56 TOS=0x00 PREC=0x00 TTL=97 ID=50723 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.7.25 DST=192.168.9.1 LEN=44 TOS=0x00 PREC=0x00 TTL=62 ID=3 DF PROTO=TCP INCOMPLETE [8 bytes] ]
Feb 20 13:55:52 linux-ongu kernel: [2127701.839828] SFW2-FWDint-DROP-DEFLT IN=tap0 OUT=eth2 MAC=86:df:c8:c1:9c:58:da:77:cd:26:a4:14:08:00 SRC=192.168.9.1 DST=192.168.7.25 LEN=56 TOS=0x00 PREC=0x00 TTL=97 ID=50819 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.7.25 DST=192.168.9.1 LEN=44 TOS=0x00 PREC=0x00 TTL=62 ID=6 DF PROTO=TCP INCOMPLETE [8 bytes] ]
т.е. за что он порезал и каким образом мне не понятно. Сделано даже так
iptables -A INPUT -s 192.168.7.25 -j ACCEPT
iptables -A INPUT -s 192.168.9.1 -j ACCEPT