Маршрутизация на туннеле.
-
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
а можно глянуть на client-config-dir .ccd
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Руками, пописал в файлах директории .ccd, а что не так с этими адресами?
В директории файлы по числу клиентов, ну к примеру файл oldflat:
Vladimir22 писал(а):а можно глянуть на client-config-dir .ccd
В директории файлы по числу клиентов, ну к примеру файл oldflat:
Код: Выделить всё
# Клиентская подсеть за mikrotik (192) и адрес openvpn у роутера (10)
iroute 192.168.88.0 255.255.255.0 10.8.0.1
# Добавим шлюз по умолчанию для машин за микротиком
ifconfig-push 10.8.0.3 10.8.0.1
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
используйте начиная с 5. 2 адрес служебный, он для PtP соединения c интерфейсом tun.
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Сменил адреса по вашему совету. Из любой локалки могу подключиться через Winbox по адресу из OVPN-туннеля к любому маршрутизатору. А вот из локалки в локалку ничего не проходит. Я так думаю, надо пробовать маркировать трафик. Ваше мнение?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
покажите
для микротика
/ip route print
/ip address print
/ip firewall filter print
/ip firewall nat print
/ip firewall mangle print
для линукса
iptables -L -nv
ip addr show
ip route show
для микротика
/ip route print
/ip address print
/ip firewall filter print
/ip firewall nat print
/ip firewall mangle print
для линукса
iptables -L -nv
ip addr show
ip route show
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Фильтров не, манаглов тоже, NAT - маскарад источника - 192.168.88.0/24, адреса -
Новые адреса роутеров OVPN (менял по совету чуть выше)
10.8.0.10 для сетки 192.168.88.0/24
10.8.0.5 для сетки 192.168.100.0/24
Роуты тика:
Для сервака
Код: Выделить всё
0 192.168.88.1/24 192.168.88.0 bridge
1 D 10.201.7.18/24 10.201.7.0 ether1
2 D 10.8.0.10/32 10.8.0.1 ovpn-out1
Новые адреса роутеров OVPN (менял по совету чуть выше)
10.8.0.10 для сетки 192.168.88.0/24
10.8.0.5 для сетки 192.168.100.0/24
Роуты тика:
Код: Выделить всё
ip route print
0 ADS 0.0.0.0/0 10.201.7.254 1
1 ADS 10.8.0.0/24 10.8.0.1 1
2 ADC 10.8.0.1/32 10.8.0.10 ovpn-out1 0
3 ADC 10.201.7.0/24 10.201.7.18 ether1 0
4 ADC 192.168.88.0/24 192.168.88.1 bridge 0
5 A S 192.168.100.0/24 10.8.0.1 1
Для сервака
Код: Выделить всё
ip route show
default via 188.166.0.1 dev eth0 onlink
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.18.0.0/16 dev eth0 proto kernel scope link src 10.18.0.5
188.166.0.0/18 dev eth0 proto kernel scope link src 188.166.48.225
192.168.88.0/24 via 10.8.0.2 dev tun0
192.168.100.0/24 via 10.8.0.2 dev tun0
Код: Выделить всё
ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 06:7e:27:b2:92:f0 brd ff:ff:ff:ff:ff:ff
inet 111.222.111.222/18 brd 111.222.63.255 scope global eth0
valid_lft forever preferred_lft forever
inet 10.18.0.5/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::222e:27ff:f222:92f0/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::f7eb:e806:1a5b:c9e/64 scope link flags 800
valid_lft forever preferred_lft forever
Код: Выделить всё
iptables -L -nv
Chain INPUT (policy ACCEPT 49513 packets, 18M bytes)
pkts bytes target prot opt in out source destination
2128 128K tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW recent: UPDATE seconds: 15 hit_count: 20 name: DEFAULT side: source mask: 255.255.255.255
99 5804 tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW recent: UPDATE seconds: 60 hit_count: 5 name: DEFAULT side: source mask: 255.255.255.255
Chain FORWARD (policy ACCEPT 22 packets, 740 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 46288 packets, 18M bytes)
pkts bytes target prot opt in out source destination
101 16853 DROP icmp -- * * !127.168.169.216 !127.170.191.187 icmptype 3 code 3 connmark match ! 0x3f68c44a
183 7320 DROP tcp -- * * !127.37.59.195 !127.215.179.158 tcp spts:61001:65535 flags:0x04/0x04 connmark match ! 0x61762baa
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
поясните фразу "NAT - маскарад источника - 192.168.88.0/24"
покажите вывод команды на Linux sysctl net.ipv4.ip_forward
а также результат traceroute с ПК в одной подсети до ПК в другой подсети.
покажите вывод команды на Linux sysctl net.ipv4.ip_forward
а также результат traceroute с ПК в одной подсети до ПК в другой подсети.
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
Если вы выдаете IP и GW абонентам то правильней писать
ifconfig-push 10.8.0.5 10.8.0.6
ifconfig-push 10.8.0.9 10.8.0.10
где 5 и 9 адреса микротиков, а 6 и 10 адреса их шлюзов. Т.е. используем подсети /30.
в файле ccd параметр iroute 192.168.88.0 255.255.255.0 10.8.0.1 неправильно описан, это сеть за текущим клиентом, шлюз указывать не нужно.
чтобы руками не задавать маршруты на микротиках, в конфиге openvpn пропишите
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
ifconfig-push 10.8.0.5 10.8.0.6
ifconfig-push 10.8.0.9 10.8.0.10
где 5 и 9 адреса микротиков, а 6 и 10 адреса их шлюзов. Т.е. используем подсети /30.
в файле ccd параметр iroute 192.168.88.0 255.255.255.0 10.8.0.1 неправильно описан, это сеть за текущим клиентом, шлюз указывать не нужно.
чтобы руками не задавать маршруты на микротиках, в конфиге openvpn пропишите
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
kt72ru писал(а):покажите вывод команды на Linux sysctl net.ipv4.ip_forward
Код: Выделить всё
net.ipv4.ip_forward = 1
kt72ru писал(а):поясните фразу "NAT - маскарад источника - 192.168.88.0/24"
Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat masquerade" src-address=192.168.88.0/24
kt72ru писал(а):также результат traceroute с ПК в одной подсети до ПК в другой подсети.
Да нет там вообще никакого вывода, на третьем хопе сам прервал, потому как далее не идет:
Код: Выделить всё
tracert192.168.100.176
Трассировка маршрута к 192.168.100.176 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс router.lan [192.168.88.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * ^C
kt72ru писал(а):чтобы руками не задавать маршруты на микротиках, в конфиге openvpn пропишите
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
Спасибо, уже сделано давно.
kt72ru писал(а):Если вы выдаете IP и GW абонентам то правильней писать
ifconfig-push 10.8.0.5 10.8.0.6
ifconfig-push 10.8.0.9 10.8.0.10
где 5 и 9 адреса микротиков, а 6 и 10 адреса их шлюзов. Т.е. используем подсети /30.
в файле ccd параметр iroute 192.168.88.0 255.255.255.0 10.8.0.1 неправильно описан, это сеть за текущим клиентом, шлюз указывать не нужно.
Приведите пример вашего варианта файла .ccd и будут ли в этом варианте маршрутизироваться сети за клиентами? И вообще, клиенты друг друга увидят?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
/ip firewall nat add action=masquerade chain=srcnat masquerade" src-address=192.168.88.0/24
вы вроде соединяете две локалки. Зачем маскарад между сетями?
Код: Выделить всё
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
Спасибо, уже сделано давно.
в конфиге выше этого нет и строка
Код: Выделить всё
5 A S 192.168.100.0/24 10.8.0.1 1
говорит что вы маршрут статикой прописали
конфиг сервера и персональных настроек клиентов с топологией subnet
openvpn.conf
Код: Выделить всё
port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
topology subnet
ifconfig 10.8.0.1 255.255.255.0
route 192.168.88.0 255.255.255.0
route 192.168.100.0 255.255.255.0
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
ccd1
Код: Выделить всё
iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.8.0.5 255.255.255.0
ccd2
Код: Выделить всё
iroute 192.168.100.0 255.255.255.0
ifconfig-push 10.8.0.6 255.255.255.0
ccd1 и ccd2 имена файлов = CN сертификата каждого микротика