Добрый день, прошу помощи в сложившейся у меня ситуации:
Задача объединить офисы между собой по средством openvpn!
Есть "условно" головной ЦОД, где генерируются сертификаты и выделяются подсети для отдельных объектов.
Мне на объекте "М" присвоили ключи для тунеля и настройки, а так же выделили 10.0.239.208/28 внутреннюю подсеть.
Микрот сбросил, обновился, поднял NAT, DNS, подцепил сертификаты, поднял тонель с ЦОД - он поднялся!
Начал настраивать DHCP:
- Выделил пул адресов 10.0.239.209-10.0.239.222
- прописал настройки dhcp
ИПы раздались, дальше по сути все должно заработать, но фиг там, инет по сети не появился, другие офисы не видит, пинги не проходят (пишет "Превышен срок жизни (TTL) при передаче пакета") при этом потерь нет...
Самое главное что когда АП DHCP к примеру 192.168.0.1/24 то инет появляется и все работает! но с учетом того что подсеть другая связи с офисами нет
Пожалуйста кто может и знает в чем проблема и куда смотреть подсобите ...
Site-2-Site OpenVPN
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Всегда в таких случаях первым делом проверять:
- наличие маршрутов везде где надо;
- отсутствие правил в firewall'ах блокирующих то, что блокировать не следует;
- не работает ли случайно NAT слишком широко;
- наличие маршрутов везде где надо;
- отсутствие правил в firewall'ах блокирующих то, что блокировать не следует;
- не работает ли случайно NAT слишком широко;
Telegram: @thexvo
-
- Сообщения: 6
- Зарегистрирован: 18 мар 2021, 08:57
не совсем понял ответ,Всегда в таких случаях первым делом проверять:
- наличие маршрутов везде где надо;
- отсутствие правил в firewall'ах блокирующих то, что блокировать не следует;
- не работает ли случайно NAT слишком широко;
- маршруты стандартно на wan, на lan, на vpn..ничего лишнего
- правил блокирующих вообще пока что не делал
- это как? там одно правило маскарад на wan
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?PoulMorphy писал(а): ↑25 мар 2021, 14:29 - маршруты стандартно на wan, на lan, на vpn..ничего лишнего
Telegram: @thexvo
-
- Сообщения: 2
- Зарегистрирован: 26 мар 2021, 13:42
Попробуйте подебажить. В RouteOS есть некий аналог tcpdump: ip -> firewall --> connections
1. Запустите пинг на каком либо роутер ( например роутер клиент ===> роутер ЦОД )
2. Запустите на каждом роутере окошко (Connections)
3. Смотрите на пакеты (колонка Orig./Repl. Bytes) , как они ходят - в обе стороны или в одну.
По пакетом можно определить с какой стороны у вас проблема и уже там дальше искать в чём именно.
1. Запустите пинг на каком либо роутер ( например роутер клиент ===> роутер ЦОД )
2. Запустите на каждом роутере окошко (Connections)
3. Смотрите на пакеты (колонка Orig./Repl. Bytes) , как они ходят - в обе стороны или в одну.
По пакетом можно определить с какой стороны у вас проблема и уже там дальше искать в чём именно.
-
- Сообщения: 6
- Зарегистрирован: 18 мар 2021, 08:57
нет, на другой стороне есть нунель до 10.0.239.208/28xvo писал(а): ↑25 мар 2021, 14:50На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?PoulMorphy писал(а): ↑25 мар 2021, 14:29 - маршруты стандартно на wan, на lan, на vpn..ничего лишнего
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так добавьте.
И, видимо, на этой стороне маршрута до удаленной подсети тоже все-таки нет, а 10.0.0.0/8 это только для самих туннелей?
И, видимо, на этой стороне маршрута до удаленной подсети тоже все-таки нет, а 10.0.0.0/8 это только для самих туннелей?
Telegram: @thexvo
-
- Сообщения: 2
- Зарегистрирован: 26 мар 2021, 13:42
добавьте маршрут или ходите через нат. для ната маршрут не обязателен.PoulMorphy писал(а): ↑29 мар 2021, 12:48нет, на другой стороне есть нунель до 10.0.239.208/28xvo писал(а): ↑25 мар 2021, 14:50На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?PoulMorphy писал(а): ↑25 мар 2021, 14:29 - маршруты стандартно на wan, на lan, на vpn..ничего лишнего
-
- Сообщения: 6
- Зарегистрирован: 18 мар 2021, 08:57
192.168.х.х - это произвольная подсеть, для дхцп... (тут работает инет, но не работает внутрисеть)maezztro писал(а): ↑29 мар 2021, 15:07добавьте маршрут или ходите через нат. для ната маршрут не обязателен.
10.0.х.х - это подсеть нашей компании по городу, и именно такая (10.0.239.208/28) подсеть и должна быть на данном объекте!
Я не могу изменить или посмотреть настройки в ЦОД (это другое подразделение, соответственно у меня нет доступа)