проблема с маршрутизацией

vitaminozzz · 27 February 2018, 16:35

Здравствуйте! Помогите пожалуйста разобраться

Имеется Сеть1 (192.168.0.0/24):
Роутер - 192.168.0.212
OpenVPN Server (Windows7) - 192.168.0.31 (10.8.0.1)
Конфиг:

dev tun
proto udp
port 12345
ca ca.crt
cert server.crt
key server.key 
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
cipher AES-128-CBC
comp-lzo
mssfix
keepalive 10 120
verb 3
client-to-client
tls-server
tls-auth ta.key 0
status "C:\\OpenVPN\\log\\status.log"
log "C:\\OpenVPN\\log\\openvpn.log"
push "route 192.168.0.0 255.255.255.0"
route-gateway 10.8.0.1
route 192.168.1.0 255.255.255.0 10.8.0.2

На роутере настроен проброс портов 12345 до OpenVPN сервера.

Есть сеть2 (192.168.1.0/24):
Роутер - 192.168.1.100
OpenVPN клиент Windows7 - 192.168.1.101 (10.8.0.2)

Конфиг клиента:

Code Select

client
dev tun
proto udp
remote XX.YYY.ZZ.XX 12345
ca ca.crt
cert client2.crt
key client2.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3
tls-client
tls-auth ta.key 1 
ns-cert-type server

И сервер и клиент пингуют друг друга по адресам 10.8.0.1 и 10.8.0.2 . С этим все нормально.
С 10.8.0.2 пингуется 192.168.0.31, но не пингуются другие устройства сети 192.168.0.0/24
С 10.8.0.1 не пингуется даже 192.168.1.101...

Маршрутизация включена как на сервере, так и на клиенте. Брандмауэр выключен.

Таблица маршрутизации:

Сервер
http://prntscr.com/ikf80i

Клиент:
http://prntscr.com/ikf9nz

ival · 27 February 2018, 17:22

С OpenVPN не работал никогда, но предположу, что вы сам сервер настроили правильно и задам вопрос только по маршрутизации

Quote from: vitaminozzz on 27 February 2018, 16:35С 10.8.0.2 пингуется 192.168.0.31, но не пингуются другие устройства сети 192.168.0.0/24

Устройства из 192.168.0.0 знают, что сеть 10.8.0.0 и 192.168.1.0 доступна через 192.168.0.31?

vitaminozzz · 27 February 2018, 20:53

Ага, спасибо! Половина вопроса, а именно

Quoteне пингуются другие устройства сети 192.168.0.0/24

решилась после того как в сети 192.168.0.0/24 прописал маршрут к 10.8.0.0 через 192.168.0.31. Маршрут к 192.168.1.0 через 192.168.0.31 был прописан.

Теперь осталось решить вопрос с доступом из основной сети 192.168.0.0/24 в клиентскую 192.168.1.0/24...

ival · 27 February 2018, 23:04

Ну логично будет предположить, что если из одной сети был отправлен пакет в другую сеть, пакет дошёл и вернул обратно ответ: «я дошел и все хорошо», то проблемы с маршрутизацией нет. Если вы говорите что пингуете теперь в одну сторону, то мое заключение скорее всего верное. Смотрите в сторону ограничений, незнаю например брандмауер, не включено сетевое обнаружение или еще что нибудь. Самое простое что приходит на ум это запустить с любого узла из сети 192.168.0.0 (но не с 31) вечныйпинг до 192.168.1.110, а на последнем в свою очередь захватить трафик на локальном интерфейсе и понять доходят ли пакеты.

Уваров А.С. · 28 February 2018, 01:59

Сделайте так:

Code (На сервере) Select

push "route 192.168.0.0 255.255.255.0"
route 192.168.1.0 255.255.255.0

и в ccd-файле

Code Select

iroute 192.168.1.0 255.255.255.0

ObaninSV · 06 September 2018, 15:15

Такая же проблема.
10.8.1.0 сеть VPN
10.8.2.1 локалка за VPN-клиентом
Пинги по vpn адресам во все стороны есть. Есть даже пинг с vpn-клиента до локалки за VPN сервером. Пинга с VPN-сервера до 10.8.2.1 (т.е. локалка за VPN-клиентом) нет.

Активные маршруты:

Code Select

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.200    276
         10.8.1.0    255.255.255.0         On-link          10.8.1.1    276
         10.8.1.1  255.255.255.255         On-link          10.8.1.1    276
       10.8.1.255  255.255.255.255         On-link          10.8.1.1    276
         10.8.2.0    255.255.255.0         On-link          10.8.1.1     21
       10.8.2.255  255.255.255.255         On-link          10.8.1.1    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link     192.168.1.200    276
    192.168.1.200  255.255.255.255         On-link     192.168.1.200    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.200    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.200    276
        224.0.0.0        240.0.0.0         On-link          10.8.1.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.200    276
  255.255.255.255  255.255.255.255         On-link          10.8.1.1    276

Явно что VPN-сервер не заворачивает трафик:

Code Select

C:\Windows\system32>tracert 10.8.2.1

Трассировка маршрута к 10.8.2.1 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2     1 ms     1 ms     1 ms  ^C

Кусок конфига сервера

Code Select

route 10.8.1.0 255.255.255.0 #IP Range of VPN
route 10.8.2.0 255.255.255.0 #IP Range of VPN
push "route 10.8.2.0 255.255.255.0"

В файле клиента (клиент получает от VPN 10.8.1.3)

Code Select

ifconfig-push 10.8.1.3 255.255.255.0
push "route 10.8.1.0 255.255.255.0"
push "route-gateway 10.8.1.1"
iroute 10.8.2.0 255.255.255.0

В логе присутствует такая вот запись, как мне кажется, правильная

Code Select

[bel]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,route-gateway 10.8.1.1,topology subnet,ping 10,ping-restart 120,route 10.8.1.0 255.255.255.0,route-gateway 10.8.1.1,ifconfig 10.8.1.3 255.255.255.0,peer-id 1,cipher AES-256-GCM' (status=1)

Уваров А.С. · 06 September 2018, 18:19

Насколько я понял, у вас схема такая:

LAN1 - 192.168.1.0/24
LAN2 - 10.8.2.0/24
OVPN - 10.8.1.0/24

Тогда на сервере указываем маршрут к сети LAN2

Code Select

route 10.8.2.0 255.255.255.0
Передаем на клиент маршрут в LAN1

Code Select

push "route 192.168.1.0 255.255.255.0"
И в ccd-файле указываем роут для VPN сети:

Code Select

iroute 10.8.2.0 255.255.255.0
На этом больше никаких маршрутов писать в конфиги не надо.

В сети LAN1 на роутере или клиентах нужен маршрут:

Code Select

10.8.2.0 mask 255.255.255.0 gw 192.168.1.200
Это всё, больше ничего не надо.

ObaninSV · 07 September 2018, 08:26

Code Select

LAN1 - 192.168.1.0/24 (в этой сети сервер 192.168.1.200, 192.168.1.1 роутер наружу в интернет) 
LAN2 - 10.8.2.0/24
OVPN - 10.8.1.0/24

Оставил только то, что вы сказали. На всякий случай конфиг вложил
C:\Users\server>ping 10.8.2.1

Обмен пакетами с 10.8.2.1 по с 32 байтами данных:
Ответ от 10.8.1.1: Заданный узел недоступен.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Трассировка
10.8.2.0 mask 255.255.255.0 192.168.1.200

и без этой команды тынц

Уваров А.С. · 07 September 2018, 18:02

Вообще-то все правильно, в смысле как настроено - так и работает. Что за маршрут к 10.8.2.0 через 192.168.1.200?

Записки IT специалиста - Форум

News:

проблема с маршрутизацией

vitaminozzz

ival

vitaminozzz

ival

Уваров А.С.

ObaninSV

Уваров А.С.

ObaninSV

Уваров А.С.