LINUX.ORG.RU
ФорумGeneral

Не удается подключиться к логкальным ресурсам через VPN

 ,


0

1

Всем привет. Такая ситуация: Есть офис, в офисе стоит микротик(не главный роутер). В офисе есть локальный ресурс, на который вход через браузер по https черз внутренние днс. На роутере поднят wireguard сервер. Нужно сделать так, чтобы доступ к этому локальному ресурсу был у WG клиентов. Клиент настроен, в качестве днс используется адрес роутера в офисе, адрес ресурса резолвится и пингуется по домену. Но, curl на 80 или 443 порт не отвечает, в чем может быть проблема, подскажите пожалуйста?



Последнее исправление: Lantsevrot (всего исправлений: 1)

точно пингуется? нужно убедиться, что на пинг отвечает именно веб сервер, а не кто-то вместо него.

если хост действительно достигаем, но траффика на уровне приложения всё равно нет, тогда возможно фаервол? посмотри curl -v

иначе смотри в таблицы маршрутизации клиенте и сервере wireguard.

flant ★★★
()
Ответ на: комментарий от flant

Трейсроут долетает до ip WG интерфейса роутера, а куда дальше неизвестно. Curl -trace -v по домену пишет trying….

Командой ping ресурс пингуется

Lantsevrot
() автор топика
Последнее исправление: Lantsevrot (всего исправлений: 2)
Ответ на: комментарий от Lantsevrot

это не конкретезирует, к сожалению. я ставлю на то, что на пинг отвечает wireguard. чтобы убедиться, можешь как-то перерезать траффик между веб сервером и wireguard’ом и увидеть, что пинг скорее всего не пропадёт.

а форвардинг пакетов на wireguard сервере включён?

и что по фаерволам?

flant ★★★
()
Ответ на: комментарий от flant

Так, сейчас сделал клиентом еще один микротик. При трейсроуте с микротика в офисе все идет как надо на локальные ip адреса, а при трейсе с микроика-клиента, трейсроут упирается в ip WG интерфейса роутера в офисе, так же не должно быть

Доступ по вг есть к внутренним ресурсам, которые находятся непосредственно под роутером в офисе, а доступ к локальным ресурсам, которые находятся в других подсетях в сети нет. То есть, наш роутер подключен к вышестоящему роутеру, остальные ресурсы идут от него и по вг не получается выйти на них

Lantsevrot
() автор топика
Последнее исправление: Lantsevrot (всего исправлений: 1)
Ответ на: комментарий от Lantsevrot

трейсроут упирается в ip WG интерфейса роутера в офисе, так же не должно быть

ну как бы не должно, но это может не иметь отношения к делу, если где-то режется icmp траффик типа time-exceeded. это именно то, что использует traceroute.

То есть, наш роутер подключен к вышестоящему роутеру, остальные ресурсы идут от него и по вг не получается выйти на них

если я правильно понимаю, от вышестоящего роутера нет маршрутов до локальных ресурсов

flant ★★★
()
Ответ на: комментарий от Lantsevrot

ранее упоминалось, что маршрутизация со стороны клиента рабоает ок, значит роутер пушит маршрут клиентам правильно. но сам он также должен статический маршрут из офисной сети в сеть впн.

flant ★★★
()
Ответ на: комментарий от flant

И еще одна проблема. Я изначально немного сжато написал цепочку. Выглядит она так. Микротик в офисе подключен к облачному микротику с РФ ip, а уже к нему клиенты. Т.е микротик в офисе тоже клиент. Нужно сделать так, чтобы с определенной подсети(WIFI) 0.0.0.0/0 ходил через облачный микротик. Все настроил, все работает, ip определяется как ip сервера. Но, часть сайтов работает, часть нет. Такое чувство, что сайты по ip просто блочат, но это очень странно, т.к даже яндекс не работает. С чем это может быть еще связано?

Lantsevrot
() автор топика
Ответ на: комментарий от Lantsevrot

да, действительно странно. может есть какой-то конфликт dns или dhcp, и хост использует то маршрут от главного роутера, то маршрут от микротика?

тут нужно глубже покопать и найти закономерность какую-то. одни и те же сайты блочатся или нет? с одних и тех же хостов или нет? посмотреть таблицы маршрутизации, arp таблицы, посравнивать.

flant ★★★
()
Последнее исправление: flant (всего исправлений: 1)
General