PPTP клиент, пинг идет в одну сторону.

Обсуждение ПО и его настройки
Ответить
voler
Сообщения: 109
Зарегистрирован: 13 апр 2012, 12:33

Добрый день.

Имеется следующая схема.
1. Офис. PPTP SERVER
2. Удаленный офис. PPTP клиент в ОФИС. + Он же сервер для других VPN сетей.
3. Удаленный клиент PPTP клиент до удаленного офиса.

Суть проблемы в следующем. Пакеты между пунктом 1 и пунктом 2 бегают отлично. А вот пакеты между 3 и 1 или 2 нет, т.е. если я пускаю ping на устройство в сети 1 или 2 из сети 3, то пакет не доходит. А вот если я пускаю пакет из 1 сети в 3 сеть, то пинг идет нормально. Перепроверил все, из правил на всех сторонах только маршруты и в iptables разрешено хождение всех пакетов между сетями разных офисов.

3 пункт имеет две разные топологии, один клиент пинговать сеть Основного офиса не может, но пакеты ходят (SIP и другие), а вот второй клиент все пакеты не ходят.

Подскажите где искать, уже все глаза просмотрел.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

voler писал(а):Перепроверил все, из правил на всех сторонах только маршруты и в iptables разрешено хождение всех пакетов между сетями разных офисов.

Ну во-первых iptables как бы немного из других дистрибутивов. Во-вторых, как мне думается может быть лишь в двух местах затык. Либо на каком-то из устройств не прописан какой-то из маршрутов до удаленных сетей. Либо где-то маскарад не настроили (все сети, как я понял, находятся за NAT).
Например, у меня не хотели ходить пакеты с обновлением маршрутизатора, выполняющего роль свитча в локалке, пока я не замаскарадил его собственный адрес.
Наугад думаю, что дело в настройке маршрутизатора №2


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
voler
Сообщения: 109
Зарегистрирован: 13 апр 2012, 12:33

Могу приложить выводу маршрутов и iptables (firewall).
Подробнее:
1. Офис, это сервер на базе Linux (Fedora 14), он же VPN сервер для 2 пункта.
2. Офис удаленный, это микротик на 951 Микротика. Он же VPN сервер для других VPN клиентов.
3. Сам клиент, аналогично на 951 Микротике.

Везде прописан NAT, не маскарад.
Пример правила, нат с Микротика
chain=srcnat action=src-nat to-addresses=176.61.107.111 src-address=192.168.2.0/24 dst-address=0.0.0.0/0
Пример маршрутов
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 176.61.107.1 1
1 ADC 10.10.88.224/32 10.10.88.1 pptp01 0
2 ADC 100.100.100.1/32 100.100.100.150 pptp02 0
3 ADC 176.62.187.128/25 176.62.187.168 gw0 0
4 A S 192.168.0.0/24 pptp02 1
5 A S 192.168.1.0/24 pptp02 1
6 ADC 192.168.2.0/24 192.168.2.1 Bridge_local 0
7 A S 192.168.3.0/24 pptp02 1
8 ADC 192.168.5.2/32 192.168.5.1 sve 0
9 A S 192.168.77.0/24 pptp01 1
10 A S 192.168.88.0/24 192.168.5.1 192.168.5.2 1

Вывод с второго устройства. 192.168.88.0/24 подсеть - за 3м устройством. Подсети 192.168.1.0/24, 192.168.0.0/24, 192.168.3.0/24 это офис. 192.168.2.0/24 подсеть за вторым устройством.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

судя по вашему описанию у вас на стороне которая не отвечает просто ICMP перекрыт

Стандартная ошибка. Когда например людям офисы по ВПН объединяешь то начинается подобное. Отключишь на паре машина Касперского и фаервол на ПК и все работать начинает. А дальше народ уже самостоятельно все сети в доверенные добавляет


Есть интересная задача и бюджет? http://mikrotik.site
Ответить