OpenVPN на Ubuntu и Mikrotik в филиале. Нужна подсказка...

Обсуждение ПО и его настройки
Ответить
Tarakan
Сообщения: 7
Зарегистрирован: 18 ноя 2013, 14:05

Добрый день, уважаемые гуру.
Задача.
Объединить несколько филиалов с головным офисом.
Что имеем.
Офис. Сеть 192.168.0.0/24. Сервер на Ubuntu на нем стоит openvpn сервер.
Филиал. Сеть 192.168.100.0/24. Mikrotik 750. подключается к инету по pppoe и затем OVPN client (сеть 10.10.10.0/24) подключается к головному офису.
Что получилось.
Микротик подключается к офису по openvpn и все работает. Из филиала могу гулять по сети головного офиса. Тут все работает.
Что не получается.
Из головного офиса не могу подключится к компам в филиале. пинга тоже нету. т.е. из под сети 192.168.0.0/24 не пингуется подсеть 192.168.100.0/24.
Из головного офиса могу только подключится к микротику по ип адресу openvpn клиента. т.е. 10.10.10.6. дальше никак.
Понимаю, что возможно нужно прописать маршрут на ubuntu, но прописав маршрут ничего не меняется.
Подскажите куда копать, или какие скрины сделать для наглядности.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Фаервол и маршрутизация, больше негде копать то особо


Есть интересная задача и бюджет? http://mikrotik.site
Tarakan
Сообщения: 7
Зарегистрирован: 18 ноя 2013, 14:05

У меня сейчас в фаерволе микротика нету правил.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Тогда маршруты в другие сети, или они у Вас автоматом появились?
Допустим, я вторую сеть так писал:

Код: Выделить всё

/ip route add distance=1 dst-address=192.168.0.0/24 gateway=bridge1


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Tarakan
Сообщения: 7
Зарегистрирован: 18 ноя 2013, 14:05

С филиала в головной пускает без проблем. там все маршруты подтянулись с сервера openvpn.
Вот его маршруты
Это уже тестовое оборудование... но принцип тот-же. роутер микротик дома. и цепляюсь на другой сервера на работе.

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTA
0 ADS 0.0.0.0/0 10.95.255.254
1 ADS 10.10.3.0/24 10.10.3.13
2 ADC 10.10.3.13/32 10.10.3.14 ovpn-out1
3 ADC 10.95.255.254/32 46.146.228.153 pppoe-out1
4 ADS 192.168.9.0/24 10.10.3.13
5 ADC 192.168.101.0/24 192.168.101.1 bridge1

а из головы в филилал не пускает. Пускает только на микротик по ип 10.10.3.14. Т.е. я из головы не вижу сеть 192.168.101.0/24


Tarakan
Сообщения: 7
Зарегистрирован: 18 ноя 2013, 14:05

а вот маршруты на сервере:

Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
10.10.1.0 10.10.1.2 255.255.255.0 UG 0 0 0 tun_perm
10.10.1.2 * 255.255.255.255 UH 0 0 0 tun_perm
10.10.2.0 10.10.2.2 255.255.255.0 UG 0 0 0 tun_kray
10.10.2.2 * 255.255.255.255 UH 0 0 0 tun_kray
10.10.3.0 10.10.3.2 255.255.255.0 UG 0 0 0 tun_cheb
10.10.3.2 * 255.255.255.255 UH 0 0 0 tun_cheb
10.10.5.0 10.10.5.2 255.255.255.0 UG 0 0 0 tun_admin
10.10.5.2 * 255.255.255.255 UH 0 0 0 tun_admin
10.10.10.0 10.10.10.2 255.255.255.0 UG 0 0 0 tun_new_prm
10.10.10.2 * 255.255.255.255 UH 0 0 0 tun_new_prm
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.9.0 * 255.255.255.0 U 0 0 0 eth1
192.168.9.200 * 255.255.255.255 UH 0 0 0 ppp0
192.168.9.201 * 255.255.255.255 UH 0 0 0 ppp1
192.168.9.202 * 255.255.255.255 UH 0 0 0 ppp2
192.168.9.203 * 255.255.255.255 UH 0 0 0 ppp3

но добавление маршрута route add -net 192.168.101.0 netmask 255.255.255.0 gw 10.10.3.2 или gw tun_cheb результата не меняют.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Так на точках маршруты то до сетей пропишите, у вас ни на убунту, ни на микротике их нет


Есть интересная задача и бюджет? http://mikrotik.site
Tarakan
Сообщения: 7
Зарегистрирован: 18 ноя 2013, 14:05

Если я правильно все понимаю!?!?!?
то на микротике маршрут до сети головного офиса есть это правило №4
4 ADS 192.168.9.0/24 10.10.3.13

в убунте маршрут тоже добавил
route add -net 192.168.101.0 netmask 255.255.255.0 gw 10.10.3.2
в итоге получил следующую картину маршрутизации
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
10.10.1.0 10.10.1.2 255.255.255.0 UG 0 0 0 tun_perm
10.10.1.2 * 255.255.255.255 UH 0 0 0 tun_perm
10.10.2.0 10.10.2.2 255.255.255.0 UG 0 0 0 tun_kray
10.10.2.2 * 255.255.255.255 UH 0 0 0 tun_kray
10.10.3.0 10.10.3.2 255.255.255.0 UG 0 0 0 tun_cheb
10.10.3.2 * 255.255.255.255 UH 0 0 0 tun_cheb
10.10.5.0 10.10.5.2 255.255.255.0 UG 0 0 0 tun_admin
10.10.5.2 * 255.255.255.255 UH 0 0 0 tun_admin
10.10.10.0 10.10.10.2 255.255.255.0 UG 0 0 0 tun_new_prm
10.10.10.2 * 255.255.255.255 UH 0 0 0 tun_new_prm
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.9.0 * 255.255.255.0 U 0 0 0 eth1
192.168.9.200 * 255.255.255.255 UH 0 0 0 ppp0
192.168.9.201 * 255.255.255.255 UH 0 0 0 ppp1
192.168.9.202 * 255.255.255.255 UH 0 0 0 ppp2
192.168.9.203 * 255.255.255.255 UH 0 0 0 ppp3
192.168.101.0 10.10.3.2 255.255.255.0 UG 0 0 0 tun_cheb

я знаю, что за микротиком в филиале есть ip 192.168.101.99 это wifi точка доступа. пинг с микротика до нее идет. с головного офиса нет.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Есть транспортная сеть 1.1.1.0/24
Есть сеть1 - 192.168.0.0/24 ВПН сервер 1.1.1.1
Есть сеть2 - 192.168.1.0/24 ВПН клиент 1.1.1.2

Роуты
На маршрутизаторе в сети1 = 192.168.1.0/24 шлюз 1.1.1.2
На маршрутизаторе в сети2 = 192.168.0.0/24 шлюз 1.1.1.1


Есть интересная задача и бюджет? http://mikrotik.site
Tarakan
Сообщения: 7
Зарегистрирован: 18 ноя 2013, 14:05

Нашёл свою ошибку. точнее предыдущего админа. проблема была в настройках openvpn сервера. неправильно были прописаны подсети в конфигах. теперь когда все исправил и прописал как должно быть все залетало. всем большой сенкс.


Ответить