Маршрутизация на туннеле.

Обсуждение ПО и его настройки
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

а можно глянуть на client-config-dir .ccd


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Руками, пописал в файлах директории .ccd, а что не так с этими адресами?
Vladimir22 писал(а):а можно глянуть на client-config-dir .ccd

В директории файлы по числу клиентов, ну к примеру файл oldflat:

Код: Выделить всё

# Клиентская подсеть за mikrotik (192) и адрес openvpn у роутера (10)
iroute 192.168.88.0 255.255.255.0 10.8.0.1
# Добавим шлюз по умолчанию для машин за микротиком
ifconfig-push 10.8.0.3 10.8.0.1


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

используйте начиная с 5. 2 адрес служебный, он для PtP соединения c интерфейсом tun.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Сменил адреса по вашему совету. Из любой локалки могу подключиться через Winbox по адресу из OVPN-туннеля к любому маршрутизатору. А вот из локалки в локалку ничего не проходит. Я так думаю, надо пробовать маркировать трафик. Ваше мнение?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

покажите
для микротика
/ip route print
/ip address print
/ip firewall filter print
/ip firewall nat print
/ip firewall mangle print


для линукса
iptables -L -nv
ip addr show
ip route show


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Фильтров не, манаглов тоже, NAT - маскарад источника - 192.168.88.0/24, адреса -

Код: Выделить всё

 0    192.168.88.1/24    192.168.88.0    bridge                                                                      
 1 D 10.201.7.18/24     10.201.7.0      ether1                                                                     
 2 D 10.8.0.10/32       10.8.0.1        ovpn-out1

Новые адреса роутеров OVPN (менял по совету чуть выше)
10.8.0.10 для сетки 192.168.88.0/24
10.8.0.5 для сетки 192.168.100.0/24
Роуты тика:

Код: Выделить всё

ip route print
 0 ADS  0.0.0.0/0                          10.201.7.254              1
 1 ADS  10.8.0.0/24                        10.8.0.1                  1
 2 ADC  10.8.0.1/32        10.8.0.10       ovpn-out1                 0
 3 ADC  10.201.7.0/24      10.201.7.18     ether1                    0
 4 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 5 A S   192.168.100.0/24                   10.8.0.1                  1


Для сервака

Код: Выделить всё

ip route show
default via 188.166.0.1 dev eth0 onlink
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.18.0.0/16 dev eth0 proto kernel scope link src 10.18.0.5
188.166.0.0/18 dev eth0 proto kernel scope link src 188.166.48.225
192.168.88.0/24 via 10.8.0.2 dev tun0
192.168.100.0/24 via 10.8.0.2 dev tun0


Код: Выделить всё

ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 06:7e:27:b2:92:f0 brd ff:ff:ff:ff:ff:ff
    inet 111.222.111.222/18 brd 111.222.63.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 10.18.0.5/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::222e:27ff:f222:92f0/64 scope link
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::f7eb:e806:1a5b:c9e/64 scope link flags 800
       valid_lft forever preferred_lft forever


Код: Выделить всё

iptables -L -nv
Chain INPUT (policy ACCEPT 49513 packets, 18M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2128  128K            tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW recent: UPDATE seconds: 15 hit_count: 20 name: DEFAULT side: source mask: 255.255.255.255
   99  5804            tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW recent: UPDATE seconds: 60 hit_count: 5 name: DEFAULT side: source mask: 255.255.255.255

Chain FORWARD (policy ACCEPT 22 packets, 740 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 46288 packets, 18M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  101 16853 DROP       icmp --  *      *      !127.168.169.216     !127.170.191.187      icmptype 3 code 3 connmark match ! 0x3f68c44a
  183  7320 DROP       tcp  --  *      *      !127.37.59.195       !127.215.179.158      tcp spts:61001:65535 flags:0x04/0x04 connmark match ! 0x61762baa


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

поясните фразу "NAT - маскарад источника - 192.168.88.0/24"

покажите вывод команды на Linux sysctl net.ipv4.ip_forward

а также результат traceroute с ПК в одной подсети до ПК в другой подсети.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Если вы выдаете IP и GW абонентам то правильней писать
ifconfig-push 10.8.0.5 10.8.0.6
ifconfig-push 10.8.0.9 10.8.0.10
где 5 и 9 адреса микротиков, а 6 и 10 адреса их шлюзов. Т.е. используем подсети /30.

в файле ccd параметр iroute 192.168.88.0 255.255.255.0 10.8.0.1 неправильно описан, это сеть за текущим клиентом, шлюз указывать не нужно.

чтобы руками не задавать маршруты на микротиках, в конфиге openvpn пропишите
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

kt72ru писал(а):покажите вывод команды на Linux sysctl net.ipv4.ip_forward

Код: Выделить всё

net.ipv4.ip_forward = 1
вроде как я это уже писал
kt72ru писал(а):поясните фразу "NAT - маскарад источника - 192.168.88.0/24"

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat  masquerade" src-address=192.168.88.0/24
какие разночтения-то могут быть?

kt72ru писал(а):также результат traceroute с ПК в одной подсети до ПК в другой подсети.

Да нет там вообще никакого вывода, на третьем хопе сам прервал, потому как далее не идет:

Код: Выделить всё

tracert192.168.100.176

Трассировка маршрута к 192.168.100.176 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  router.lan [192.168.88.1]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *     ^C

kt72ru писал(а):чтобы руками не задавать маршруты на микротиках, в конфиге openvpn пропишите
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"

Спасибо, уже сделано давно.
kt72ru писал(а):Если вы выдаете IP и GW абонентам то правильней писать
ifconfig-push 10.8.0.5 10.8.0.6
ifconfig-push 10.8.0.9 10.8.0.10
где 5 и 9 адреса микротиков, а 6 и 10 адреса их шлюзов. Т.е. используем подсети /30.

в файле ccd параметр iroute 192.168.88.0 255.255.255.0 10.8.0.1 неправильно описан, это сеть за текущим клиентом, шлюз указывать не нужно.

Приведите пример вашего варианта файла .ccd и будут ли в этом варианте маршрутизироваться сети за клиентами? И вообще, клиенты друг друга увидят?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

/ip firewall nat add action=masquerade chain=srcnat masquerade" src-address=192.168.88.0/24

вы вроде соединяете две локалки. Зачем маскарад между сетями?

Код: Выделить всё

push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"

Спасибо, уже сделано давно.

в конфиге выше этого нет и строка

Код: Выделить всё

5 A S   192.168.100.0/24                   10.8.0.1                  1

говорит что вы маршрут статикой прописали

конфиг сервера и персональных настроек клиентов с топологией subnet
openvpn.conf

Код: Выделить всё

port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key  # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
topology subnet
ifconfig 10.8.0.1 255.255.255.0
route 192.168.88.0 255.255.255.0
route 192.168.100.0 255.255.255.0
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC   # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3


ccd1

Код: Выделить всё

iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.8.0.5 255.255.255.0


ccd2

Код: Выделить всё

iroute 192.168.100.0 255.255.255.0
ifconfig-push 10.8.0.6 255.255.255.0


ccd1 и ccd2 имена файлов = CN сертификата каждого микротика


Ответить