Очередная тема про роутинг

0

1

Привет.
Надеюсь, моя последняя тема про роутинг.
Есть впс на ДО в сети 192.168.200.0/24 с адресом 200.1, на ней поднят опенвпн сервер.
Есть домашняя сеть 192.168.201.0/24 и машина в ней с адресом 201.2, которая подключается по впн к серверу и получает адрес 200.4
Машина 200.4 так же подключена к рабочему впну с сетями 10.30/16 и 10.99/24.
Хочу сделать так, чтобы с впс(200.1) можно было стучаться на работу.
Роуты на 200.4:

sudo route -n
\Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.201.1   0.0.0.0         UG    200    0        0 br0
10.30.0.0       10.30.201.13    255.255.0.0     UG    0      0        0 tun0
10.30.201.0     10.30.201.13    255.255.255.0   UG    0      0        0 tun0
10.30.201.13    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.99.0.0       10.30.201.13    255.255.0.0     UG    0      0        0 tun0
178.62.18.222   192.168.201.1   255.255.255.255 UGH   0      0        0 br0
192.168.200.0   0.0.0.0         255.255.255.0   U     0      0        0 tun1
192.168.201.0   0.0.0.0         255.255.255.0   U     0      0        0 br0

Iptables на 200.4:

# Generated by iptables-save v1.4.14 on Tue Oct 27 12:42:26 2015
*filter
:INPUT ACCEPT [4988686:766868450]
:FORWARD ACCEPT [326533:141098423]
:OUTPUT ACCEPT [5911370:7591829180]
COMMIT
# Completed on Tue Oct 27 12:42:26 2015
# Generated by iptables-save v1.4.14 on Tue Oct 27 12:42:26 2015
*nat
:PREROUTING ACCEPT [313201:37425480]
:INPUT ACCEPT [298400:35943215]
:OUTPUT ACCEPT [135700:13049606]
:POSTROUTING ACCEPT [148489:14331958]
-A POSTROUTING -s 192.168.201.0/24 -d 10.99.0.0/16 -o tun0 -j MASQUERADE
-A POSTROUTING -s 192.168.201.0/24 -d 10.30.0.0/16 -o tun0 -j MASQUERADE
-A POSTROUTING -s 192.168.200.0/24 -d 10.99.0.0/16 -o tun0 -j MASQUERADE
-A POSTROUTING -s 192.168.200.0/24 -d 10.30.0.0/16 -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Oct 27 12:42:26 2015

Роуты на 200.1:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         178.62.0.1      0.0.0.0         UG    0      0        0 eth0
10.30.15.20     192.168.200.4   255.255.255.255 UGH   0      0        0 tun0
10.131.0.0      *               255.255.0.0     U     0      0        0 eth1
178.62.0.0      *               255.255.192.0   U     0      0        0 eth0
192.168.200.0   *               255.255.255.0   U     0      0        0 tun0
192.168.201.0   192.168.200.4   255.255.255.0   UG    0      0        0 tun0

Iptables на 200.1:

# Generated by iptables-save v1.4.21 on Tue Oct 27 05:42:57 2015
*nat
:PREROUTING ACCEPT [571596:48623670]
:INPUT ACCEPT [50185:3100569]
:OUTPUT ACCEPT [4780:288197]
:POSTROUTING ACCEPT [5725:350598]
-A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.201.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Oct 27 05:42:57 2015
# Generated by iptables-save v1.4.21 on Tue Oct 27 05:42:57 2015
*filter
:INPUT ACCEPT [16064809:4246182662]
:FORWARD ACCEPT [11111746:14450866917]
:OUTPUT ACCEPT [19158207:16070390095]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
COMMIT
# Completed on Tue Oct 27 05:42:57 2015

В чем проблема:
Как видно на 200.1 прописан роут для 10.30.15.20 через 192.168.200.4. Пробую его трейсить:

traceroute 10.30.15.20
traceroute to 10.30.15.20 (10.30.15.20), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  *^C

Пробую пинговать:

ping 10.30.15.20
PING 10.30.15.20 (10.30.15.20) 56(84) bytes of data.
^C
--- 10.30.15.20 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

Если смотреть через tcpdump, то на 200.1 ицмп запросы на 10.30.15.20 уходят, а на 200.4 ничего не приходит.
Подскажите, пожалуйста, в какую сторону копать. Cast

mky,

vel

Ссылка

←	Vsftpd не слушает порт.

systemd и уровни выполения

→

iroute на openvpn сервере?

cyclon ★★★★★
(27.10.15 12:51:07 MSK)
Последнее исправление: cyclon 27.10.15 12:51:31 MSK (всего исправлений: 1)

Ответ на: комментарий от cyclon 27.10.15 12:51:07 MSK

Можно чуть подробнее мысль раскрыть?
Iroute на опенвпн сервере есть для клиента 200.4:
Конфиг сервера:

port 1194
proto udp
topology subnet
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/cerera.crt
key /etc/openvpn/server/cerera.key  # This file should be kept secret
dh /etc/openvpn/server/dh2048.pem
server 192.168.200.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 192.168.201.0 255.255.255.0 192.168.200.4
push "route-gateway 192.168.200.1"
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Ццд конфиг для 200.4:

ifconfig-push 192.168.200.4 255.255.255.0
iroute 192.168.201.0 255.255.255.0

Конфиг клиента 200.4:

client
dev tun
proto udp
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/hellheim.crt
key /etc/openvpn/client/hellheim.key
ns-cert-type server
comp-lzo
verb 3

Deleted
(27.10.15 12:57:06 MSK)

Ответ на: комментарий от Deleted 27.10.15 12:57:06 MSK

на сервере, в ццд для 201.2 прописать iroute для 10-х сетей

cyclon ★★★★★
(27.10.15 13:08:28 MSK)

Ответ на: комментарий от cyclon 27.10.15 13:08:28 MSK

Внезапно помогло, спасибо!

Deleted
(27.10.15 13:13:01 MSK)

Ответ на: комментарий от Deleted 27.10.15 13:13:01 MSK

тут главное эффект внезапности) и то, что openvpn должен знать какие адреса ему нужно заворачивать в тунель

cyclon ★★★★★
(27.10.15 13:14:46 MSK)

Ответ на: комментарий от cyclon 27.10.15 13:14:46 MSK

что внезапность, что знать. .

.. у него ж изначально речь шла о четырёх, а вывод на два меньше- [* * * *], если у него не что-то типа гугл-вейв сайтов/?

anonymous
(27.10.15 18:46:45 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Vsftpd не слушает порт.

Admin

systemd и уровни выполения

→

что внезапность, что знать. .

Похожие темы