Тоже побаиваюсь советовать, но хочу так, мелочь посоветовать...
А проверьте, в линуксе включена ли опция: IP_FORWARD (sysctl.conf)?
Маршрутизация на туннеле.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, никто ничего не боится.
Так как именно эта связка под руками, всегда в доступе и даже может быть временно обрушена, можно пробовать любые, самые дикие предположения
Включено вроде как
Козак ничего бояться не должен!
Так как именно эта связка под руками, всегда в доступе и даже может быть временно обрушена, можно пробовать любые, самые дикие предположения
Код: Выделить всё
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
Включено вроде как
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Код: Выделить всё
iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
проверьте еще конфиг openvpn сервера, должна присутствовать опция client-to-client разрешающая маршрутизацию между клиентами.
-
- Сообщения: 3
- Зарегистрирован: 26 дек 2017, 12:03
На линуксе проверить включен ли внутренний форвардинг.
Зависит от дистрибутива, но в общем случае
Поищите в гугле "название дистрибутива net.ipv4.ip_forward = 1"
Зависит от дистрибутива, но в общем случае
Поищите в гугле "название дистрибутива net.ipv4.ip_forward = 1"
-
- Сообщения: 3
- Зарегистрирован: 26 дек 2017, 12:03
Еще вариант проверить настройку SELinux
-
- Сообщения: 3
- Зарегистрирован: 26 дек 2017, 12:03
И напоследок проверить возможность внутренней маршрутизации до адреса xxx.xxx.xxx.xxx командой
ip route get xxx.xxx.xxx.xxx
ip route get xxx.xxx.xxx.xxx
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
kt72ru писал(а):проверьте еще конфиг openvpn сервера, должна присутствовать опция client-to-client разрешающая маршрутизацию между клиентами.
Есть такая настройка, включена.
Dormidon писал(а):На линуксе проверить включен ли внутренний форвардинг.
Четыре поста назад уже указывал, включено
SELinux в Debian вроде как практически заброшен и давно отключен по-дефолту. Я им не пользуюсь.
Dormidon писал(а):И напоследок проверить возможность внутренней маршрутизации до адреса xxx.xxx.xxx.xxx командой
ip route get xxx.xxx.xxx.xxx
Вот это спасибо, немного поменял конфиг, дописал роуты во все сети,
Код: Выделить всё
~#ip route get 192.168.100.10
192.168.100.10 via 10.8.0.2 dev tun0 src 10.8.0.1
cache
~#ip route get 192.168.88.250
192.168.88.250 via 10.8.0.2 dev tun0 src 10.8.0.1
cache
Внимательно присмотрелся, а у меня маршруты какие-то не такие после перезагрузки. Где-то ошибка;
Код: Выделить всё
ip route show
default via 188.166.0.1 dev eth0 onlink
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.18.0.0/16 dev eth0 proto kernel scope link src 10.18.0.5
188.166.0.0/18 dev eth0 proto kernel scope link src 188.166.48.225
192.168.88.0/24 via 10.8.0.2 dev tun0
192.168.100.0/24 via 10.8.0.2 dev tun0
Почему-то везде фигурирует в качестве шлюза 10.8.0.2. Кто скажет, где я косячу? В конфиге вроде негде там?
Код: Выделить всё
port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.8.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0
route 192.168.100.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
С маршрутами на openvpn сервере у вас все в порядке. А вот с адресацией нет. Адрес 10.8.0.2 не может использоваться Микротиком, это служебный адрес.
Адреса 10.8.0.2 и 10.8.0.3 Микротикам выдал openvpn сервер автоматом или вы назначили руками?
Адреса 10.8.0.2 и 10.8.0.3 Микротикам выдал openvpn сервер автоматом или вы назначили руками?