OpenVPN и маршрутизация

0

1

Добрый день господа!
Итак, дано:
Схема сети: https://yadi.sk/i/TRPePergeBcfP
Задача: заставить станцию ADMIN ходить на станции CLIENT% причем что бы CLIENT% «не видели» друг-друга

Что сделано и чего удалось достичь:
-установлен shorewall описаны зоны и правила, проброшены порты
-CLIENT и ADMIN разделены в разные подсети
-созданы разные конфиги openvpn для CLIENT и ADMIN
-пользователи ADMIN пингуют оба интерфейса tun0 и tun1

Ссылка

←	php-fpm+socket

Не могу залогинитлься по ssh в CentOS 6.5

→

IFCONFIG

eth0      Link encap:Ethernet  HWaddr 00:15:5d:00:01:00  
          inet addr:192.168.0.200  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::215:5dff:fe00:100/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:194352 errors:0 dropped:0 overruns:0 frame:0
          TX packets:248507 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:30692363 (29.2 MiB)  TX bytes:182931064 (174.4 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:40 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:2400 (2.3 KiB)  TX bytes:2400 (2.3 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.100.100.1  P-t-P:10.100.100.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:170 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:1002 (1002.0 B)  TX bytes:14136 (13.8 KiB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:838 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:70312 (68.6 KiB)  TX bytes:1264 (1.2 KiB)

ROMANOFF174
(23.01.15 13:49:56 MSK) автор топика

Ссылка

route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         ip-192-168-0-11 0.0.0.0         UG    0      0        0 eth0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun1
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun1
10.100.100.0    10.100.100.2    255.255.255.0   UG    0      0        0 tun0
10.100.100.2    *               255.255.255.255 UH    0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

ROMANOFF174
(23.01.15 13:50:37 MSK) автор топика

Ссылка

man openvpn,

http://cs310830.vk.me/v310830285/7cf3/Ghzmjv48tAs.jpg

windofchange ★
(23.01.15 13:54:32 MSK)
Последнее исправление: windofchange 23.01.15 13:54:49 MSK (всего исправлений: 1)

Ссылка

С такой формулировкой - только в Job

dhameoelin ★★★★★
(23.01.15 15:46:24 MSK)

Ссылка

Я как бы согласен с предыдущими ораторами. Вопрос что вы хотите - если хотите чтобы все сделали за вас, то надо платить. А если нет - то пытайтесь сами и пишите, что именно не получается.

~~zgen~~ ★★★★★
(23.01.15 19:56:01 MSK)

На ADMIN и на CLIENT прописаны маршруты друг до друга через openvpn или предпочитается SNAT-правило для пакетов от ADMIN к CLIENT?

Запускате на ADMIN постоянный ping CLIENT'а и смотрите tcpdump'ом на каких интерфейсах сервера видны его icmp-пакеты.

mky ★★★★★
(24.01.15 03:41:36 MSK)

Ответ на: комментарий от zgen 23.01.15 19:56:01 MSK

Sorry

Искрене прошу прощения за мои формулировки, очень постараюсь исправиться

ROMANOFF174
(24.01.15 13:00:58 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 24.01.15 03:41:36 MSK

....

запустил ping с ADMIN (10.0.0.6) на CLIENT (10.100.100.38) - пинг не идет, при этом на вывод комнады tcpdump на сервере: P.S. если честно, я уже люто запутался в этом всем, что куда идет и т.п.

tcpdump -i tun0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
15:04:01.932991 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 13, length 64
15:04:02.936273 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 14, length 64
15:04:03.937888 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 15, length 64

tcpdump -i tun1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun1, link-type RAW (Raw IP), capture size 65535 bytes
15:04:43.050287 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 54, length 64
15:04:44.080120 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 55, length 64
15:04:44.989611 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 56, length 64
15:04:45.993385 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 57, length 64
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

rout c CLIENT

tcpdump -i tun1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun1, link-type RAW (Raw IP), capture size 65535 bytes
15:04:43.050287 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 54, length 64
15:04:44.080120 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 55, length 64
15:04:44.989611 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 56, length 64
15:04:45.993385 IP 10.0.0.6 > 10.100.100.38: ICMP echo request, id 22534, seq 57, length 64
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

rout c ADMIN

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGSc           43        0     en1
10/24              10.0.0.5           UGSc            0       88   utun1
10.0.0.5           10.0.0.6           UH              2        0   utun1
10.100.100/24      10.0.0.5           UGSc            1      337   utun1
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              9  3703271     lo0
169.254            link#6             UCS             0        0     en1
192.168.1          link#6             UCS             4        0     en1
192.168.1.1        bc:ee:7b:ee:f3:80  UHLWIir        44      158     en1   1152
192.168.1.34       14:5a:5:e8:a8:a3   UHLWIi         19      527     en1    686
192.168.1.59       localhost          UHS             0        0     lo0
192.168.1.82       8:0:27:bf:55:c3    UHLWIi          1      102     en1   1136
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        1     en1

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UHL             lo0
fd11:1491:2a24:e6d fe80::653a:132:b0e Uc            utun0
fd11:1491:2a24:e6d link#10            UHL             lo0
fe80::%lo0         localhost          UcI             lo0
localhost          link#1             UHLI            lo0
fe80::%en1         link#6             UCI             en1
fe80::4cd:d8fa:98f link#6             UHLWIi          en1
fe80::4e3:58b7:763 link#6             UHLWIi          en1
fe80::c58:84da:3d4 link#6             UHLWIi          en1
macintosh.local    5c:96:9d:7c:b0:51  UHLI            lo0
fe80::9a4b:e1ff:fe link#6             UHLWI           en1
fe80::%utun0       fe80::653a:132:b0e UcI           utun0
fe80::653a:132:b0e link#10            UHLI            lo0
ff01::%lo0         localhost          UmCI            lo0
ff01::%en1         link#6             UmCI            en1
ff01::%utun0       fe80::653a:132:b0e UmCI          utun0
ff02::%lo0         localhost          UmCI            lo0
ff02::%en1         link#6             UmCI            en1
ff02::%utun0       fe80::653a:132:b0e UmCI          utun0

ROMANOFF174
(24.01.15 13:13:59 MSK) автор топика

Ответ на: .... от ROMANOFF174 24.01.15 13:13:59 MSK

...

Сорри, вставил не тот код в ROUT CLIENT


Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.82       20
     10.100.100.0    255.255.255.0    10.100.100.37   10.100.100.38       1
    10.100.100.36  255.255.255.252    10.100.100.38   10.100.100.38       30
    10.100.100.38  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255    10.100.100.38   10.100.100.38       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0     192.168.1.82    192.168.1.82       20
     192.168.1.82  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255     192.168.1.82    192.168.1.82       20
        224.0.0.0        240.0.0.0    10.100.100.38   10.100.100.38       30
        224.0.0.0        240.0.0.0     192.168.1.82    192.168.1.82       20
  255.255.255.255  255.255.255.255    10.100.100.38   10.100.100.38       1
  255.255.255.255  255.255.255.255     192.168.1.82    192.168.1.82       1
Основной шлюз:         192.168.1.1
===========================================================================
Постоянные маршруты:
  Отсутствует

ROMANOFF174
(24.01.15 13:15:54 MSK) автор топика

Ответ на: ... от ROMANOFF174 24.01.15 13:15:54 MSK

На CLIENT нет маршрута до 10.0.0.0/255.255.255.0, поэтому ответы на ping'и (да и на другие пакеты) от ADMIN уходят не в тунель, а по маршруту по умолчанию и не доходят куда надо.

Либо прописывате на CLIENT маршрут до 10.0.0.0/255.255.255.0 через тунель (в конфиге openvpn-сервера), либо на openvpn-сервер в iptables делайте SNAT-правило (на адрес 10.100.100.2) для исходящих в tun0 интерфейс пакетов.

mky ★★★★★
(24.01.15 13:25:36 MSK)

Ответ на: комментарий от mky 24.01.15 13:25:36 MSK

СПАСИБО!

Спасибо тебе мил человек, сделал все как ты сказал (толкнул маршрут в клиентский конфиг) и все взлетело. Благодарю!

ROMANOFF174
(24.01.15 13:32:19 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	php-fpm+socket

Admin