Маршрутизация на туннеле.

Обсуждение ПО и его настройки
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2131
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

25 дек 2017, 05:36

Тоже побаиваюсь советовать, но хочу так, мелочь посоветовать...
А проверьте, в линуксе включена ли опция: IP_FORWARD (sysctl.conf)?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 3426
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

25 дек 2017, 12:00

Так, никто ничего не боится.
Козак ничего бояться не должен!

Так как именно эта связка под руками, всегда в доступе и даже может быть временно обрушена, можно пробовать любые, самые дикие предположения

Код: Выделить всё

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

Включено вроде как


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2131
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

25 дек 2017, 12:04

НАТов на Дебиане тоже нету в настройках? (для этих сетей)?
Ну а вдруг случайно заНАЧиваются...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 3426
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

25 дек 2017, 12:14

Код: Выделить всё

 iptables -t  nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination     


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

26 дек 2017, 09:27

проверьте еще конфиг openvpn сервера, должна присутствовать опция client-to-client разрешающая маршрутизацию между клиентами.


Dormidon
Сообщения: 3
Зарегистрирован: 26 дек 2017, 12:03

26 дек 2017, 12:35

На линуксе проверить включен ли внутренний форвардинг.
Зависит от дистрибутива, но в общем случае
Поищите в гугле "название дистрибутива net.ipv4.ip_forward = 1"


Dormidon
Сообщения: 3
Зарегистрирован: 26 дек 2017, 12:03

26 дек 2017, 12:37

Еще вариант проверить настройку SELinux


Dormidon
Сообщения: 3
Зарегистрирован: 26 дек 2017, 12:03

26 дек 2017, 12:43

И напоследок проверить возможность внутренней маршрутизации до адреса xxx.xxx.xxx.xxx командой
ip route get xxx.xxx.xxx.xxx


Аватара пользователя
podarok66
Модератор
Сообщения: 3426
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

26 дек 2017, 14:51

kt72ru писал(а):проверьте еще конфиг openvpn сервера, должна присутствовать опция client-to-client разрешающая маршрутизацию между клиентами.

Есть такая настройка, включена.
Dormidon писал(а):На линуксе проверить включен ли внутренний форвардинг.

Четыре поста назад уже указывал, включено
SELinux в Debian вроде как практически заброшен и давно отключен по-дефолту. Я им не пользуюсь.
Dormidon писал(а):И напоследок проверить возможность внутренней маршрутизации до адреса xxx.xxx.xxx.xxx командой
ip route get xxx.xxx.xxx.xxx

Вот это спасибо, немного поменял конфиг, дописал роуты во все сети,

Код: Выделить всё

~#ip route get 192.168.100.10
192.168.100.10 via 10.8.0.2 dev tun0 src 10.8.0.1
    cache
~#ip route get 192.168.88.250
192.168.88.250 via 10.8.0.2 dev tun0 src 10.8.0.1
    cache


Внимательно присмотрелся, а у меня маршруты какие-то не такие после перезагрузки. Где-то ошибка;

Код: Выделить всё

ip route show
default via 188.166.0.1 dev eth0 onlink
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.18.0.0/16 dev eth0 proto kernel scope link src 10.18.0.5
188.166.0.0/18 dev eth0 proto kernel scope link src 188.166.48.225
192.168.88.0/24 via 10.8.0.2 dev tun0
192.168.100.0/24 via 10.8.0.2 dev tun0

Почему-то везде фигурирует в качестве шлюза 10.8.0.2. Кто скажет, где я косячу? В конфиге вроде негде там?

Код: Выделить всё

port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key  # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.8.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0
route 192.168.100.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC   # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

26 дек 2017, 15:30

С маршрутами на openvpn сервере у вас все в порядке. А вот с адресацией нет. Адрес 10.8.0.2 не может использоваться Микротиком, это служебный адрес.
Адреса 10.8.0.2 и 10.8.0.3 Микротикам выдал openvpn сервер автоматом или вы назначили руками?


Ответить