LINUX.ORG.RU
ФорумAdmin

VPN сервер не пингует клиента

 , ,


0

1

Всем доброго времени! Настраиваю свой первый vpn да и вообще можно сказать первый раз общаюсь с Линуксом. Задача была соединить 3g-роутер Moxa WDR и ноут с windows 10 с целью удаленного доступа к устройствам за WDR. В качестве vpn сервера vps с Centos 6 + strongswan. VPN соединение вроде устанавливается с обоих сторон. По крайне мере WDR пишет в логах что соединился, а если с ноута зайти на http://myip.ru/ то получаю ip vps'а. Но ноут не видит wdr, а wdr не видит ноут (с сервера ping не доходит не до ноута не до wdr). WDR выходит инет через sim-ку Теле2, Ноут за домашним wifi-роутером. Пробовал на сервере добавить маршрут route add -host 172.17.32.1 gw 194.58.102.11 - где 172.17.32.1 ip роутера, 194.58.102.11 - публичный ip vps; но не работает да и выглядит как бред...

Подскажите как найти где затык, а то уже несколько дней бьюсь... Конфиги и другую инфу скину если надо, пока решил не засорять.

PS Понимаю, что тема избитая, находил подобные топики но все без результатно.



Последнее исправление: DmitryR (всего исправлений: 2)

Решил добавить немного инфы, может что прояснит

Команда ifconfig на сервере выдает:

eth0      Link encap:Ethernet  HWaddr 00:16:3E:88:2A:49
          inet addr:194.58.102.11  Bcast:194.58.102.255  Mask:255.255.255.0
          inet6 addr: fe80::216:3eff:fe88:2a49/64 Scope:Link
          inet6 addr: 2a00:f940:2:1:2::8fb/65 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1891977 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1943039 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:568652695 (542.3 MiB)  TX bytes:574270045 (547.6 MiB)
          Interrupt:8

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:61 errors:0 dropped:0 overruns:0 frame:0
          TX packets:61 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4555 (4.4 KiB)  TX bytes:4555 (4.4 KiB)

Команда ipconfig /all на Ноуте:

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : dr
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Адаптер беспроводной локальной сети Подключение по локальной сети* 2:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Физический адрес. . . . . . . . . : 10-02-B5-F3-38-D9
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Адаптер PPP VPN:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : VPN
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 172.17.32.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBios через TCP/IP. . . . . . . . : Включен

Адаптер беспроводной локальной сети Беспроводная сеть:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 7265
   Физический адрес. . . . . . . . . : 10-02-B5-F3-38-D8
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::4c37:94e7:d104:43a6%22(Основной)
   IPv4-адрес. . . . . . . . . . . . : 172.17.31.101(Основной)
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Аренда получена. . . . . . . . . . : 21 декабря 2016 г. 12:12:05
   Срок аренды истекает. . . . . . . . . . : 29 декабря 2016 г. 11:52:56
   Основной шлюз. . . . . . . . . : 172.17.31.1
   DHCP-сервер. . . . . . . . . . . : 172.17.31.1
   IAID DHCPv6 . . . . . . . . . . . : 319816373
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1F-CB-CA-DA-10-02-B5-F3-38-D8
   DNS-серверы. . . . . . . . . . . : 172.17.31.1
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{F9821C15-DBF3-4C04-936F-36718FCE8728}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 12:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{CB8D01E7-5CAC-4AD2-86D4-84EDFCE4E287}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #4
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
DmitryR
() автор топика

Ну хоть кто-нибудь что-нибудь напишите, у меня уже депрессия скоро начнется... Очень надо разобраться

Вот iptables

# Generated by iptables-save v1.4.7 on Wed Dec 21 09:09:54 2016
*filter
:INPUT ACCEPT [561:45360]
:FORWARD ACCEPT [435:76638]
:OUTPUT ACCEPT [620:92548]
-A INPUT -p tcp -m tcp --dport 1701 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1701 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p udp -m udp --dport 1723 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A FORWARD -s 172.17.32.0/24 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-$
-A FORWARD -i ppp+ -j ACCEPT
COMMIT
# Completed on Wed Dec 21 09:09:54 2016
# Generated by iptables-save v1.4.7 on Wed Dec 21 09:09:54 2016
*nat
:PREROUTING ACCEPT [184:31974]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [15:1065]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o eth+ -j SNAT --to-source 194.58.102.11
COMMIT
# Completed on Wed Dec 21 09:09:54 2016

DmitryR
() автор топика

Сколько не читал, так и не распарсил (точнее могу ошибаться), для начала схемку с адресацией устройств нарисуйте. Меня вот как минимум смущает «Ноут за домашним wifi-роутером» на котором может быть нат.

anc ★★★★★
()

Провайдер в РУ выдает вам серый IP. Поэтому вы хотите использовать VPN для удаленного доступа к ноутбуку? В качестве клиента strongswan vpn выступает роутер wdr. В локальной беспроводной сети ваш маршрутизатор и ноутбук, правильно? Спрашиваю потому что из вашей писанины ничего не понятно.

ving2
()
Ответ на: комментарий от ving2

Да, действительно не очень понятно получилось... вот картинка того, что задумывалось: https://drive.google.com/open?id=0B-ydVSlYEgbjUExheDdDV2JwNWs

Суть в том, чтобы получить удаленный доступ к Контроллерам (около 50шт). На настоящий момент, vpn-соединение от wdr и ноутбука устанавливается, но не тот не другой с vpn-сервера не пингуются...

DmitryR
() автор топика
Ответ на: комментарий от DmitryR

На настоящий момент, vpn-соединение от wdr и ноутбука устанавливается, но не тот не другой с vpn-сервера не пингуются...

А наоборот? с вын или wdr пингануть сервак? Это я к тому, что хз что там в fw в винде, и что в wdr твориться.

anc ★★★★★
()
Ответ на: комментарий от anc

Если пинговать публичный ip (194.58.102.11) сервака, то пингуется и с wdr и с ноутбука, но он и без VPN-соединения пингуется. Я так понимаю у сервака должен быть какой-то локальный ip в той самой vpn-сети (или я ошибаюсь?), но какой он и как его задать я без понятия... Если это параметр leftsubnet из конфига ipsec.conf, то если я его ставлю отличным от 0.0.0.0/0, то соединение отваливается через 60 сек после подключения.

DmitryR
() автор топика
Ответ на: комментарий от anc

Я бы начал с простого, вместо вын10 поднять какой-нибудь linux (без всяких fw) и посмотреть что будет.
Еще, соединение точно устанавливается? На сервере ipsec status что говорит? И ip xfrm policy? Еще можно посмотреть выхлоп ip xfrm monitor при пингах.

anc ★★★★★
()
Ответ на: комментарий от anc

status:

Security Associations (1 up, 0 connecting):
        win7[1]: ESTABLISHED 2 minutes ago, 194.58.102.11[C=NL, O=Logiry, CN=vps             .logiry.com]...77.222.108.63[192.168.0.50]
        win7{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cdcc39b9_i ef5cf9             c4_o
        win7{1}:   0.0.0.0/0 === 172.17.32.3/32

ip xfrm policy:

src 172.17.32.3/32 dst 0.0.0.0/0
        dir fwd priority 2947 ptype main
        tmpl src 77.222.108.63 dst 194.58.102.11
                proto esp reqid 1 mode tunnel
src 172.17.32.3/32 dst 0.0.0.0/0
        dir in priority 2947 ptype main
        tmpl src 77.222.108.63 dst 194.58.102.11
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 172.17.32.3/32
        dir out priority 2947 ptype main
        tmpl src 194.58.102.11 dst 77.222.108.63
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0 ptype main
src ::/0 dst ::/0
        dir 3 priority 0 ptype main
src ::/0 dst ::/0
        dir 4 priority 0 ptype main
src ::/0 dst ::/0
        dir 3 priority 0 ptype main
src ::/0 dst ::/0
        dir 4 priority 0 ptype main

ip xfrm monitor в процессе выполнения ping 172.17.32.3 и без команды выдает на мой взгляд одно и тоже:

Async event  (0x10)  replay update
        src 77.222.108.63 dst 194.58.102.11  reqid 0x1 protocol esp  SPI 0xcdcc39b9
Async event  (0x10)  replay update
        src 77.222.108.63 dst 194.58.102.11  reqid 0x1 protocol esp  SPI 0xcdcc39b9
Async event  (0x10)  replay update
        src 194.58.102.11 dst 77.222.108.63  reqid 0x1 protocol esp  SPI 0xef5cf9c4
Async event  (0x10)  replay update
        src 77.222.108.63 dst 194.58.102.11  reqid 0x1 protocol esp  SPI 0xcdcc39b9

DmitryR
() автор топика
Ответ на: комментарий от anc

еще вот на всякий случай взгляните пожалуйста на таблицу маршрутов:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
194.58.102.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
172.17.32.0     194.58.102.11   255.255.255.0   UG    0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
0.0.0.0         194.58.102.11   0.0.0.0         UG    0      0        0 eth0
я добавил туда подсеть 172.17.32.0, но почему то команад traceroute выдает следующее:
traceroute to 172.17.32.1 (172.17.32.1), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
Я так понимаю он же должен к ip 194.58.102.11 обращаться, который для данной подсети в качестве шлюза указан, а почему там звездочки не пойму...

DmitryR
() автор топика
Ответ на: комментарий от DmitryR

Визуально не вижу проблем кроме как на клиенте, попробуйте все-таки в кач-ве теста как я писал выше вместо ноута на linux поднять.

anc ★★★★★
()
Ответ на: комментарий от DmitryR

Вот это 172.17.32.0 194.58.102.11 255.255.255.0 UG 0 0 0 eth0 точно нафиг убирайте.
Для случая ipsec который в ведре работает, о таблице роутинга забудьте. Для этого как раз и есть ip xfrm policy

anc ★★★★★
()
Ответ на: комментарий от anc

Что бы было понятно, для примера: Вот есть у меня мобила, я ее пингануть не могу, она блокирует входящие. И есть mac book который я могу пингануть, подключиться к нему (разные сервисы) и т.д. и т.п.
Так вот у вас в наличии вын10 которая скорее всего блокирует входящие соединения, и Moxa WDR (не работал с ним только слышал о существовании) который возможно по дефолту делает тоже самое.

anc ★★★★★
()
Ответ на: комментарий от DmitryR

но не тот не другой с vpn-сервера не пингуются...

а что именно говорит пинг до куда оно доходит. Может действительно фаерволом рубятся или на роутере или на винде.

ving2
()
Ответ на: комментарий от anc

Визуально не вижу проблем кроме как на клиенте, попробуйте все-таки в кач-ве теста как я писал выше вместо ноута на linux поднять.

Спасибо, наверное придется попробовать, сейчас пока возможности нет, некуда поставить Linux... И всетаки меня мучает вопрос, почему traceroute мне выдает какие то звездочки? это вообще какому какому маршруту он значит ломится?

DmitryR
() автор топика
Ответ на: комментарий от ving2

Пинг говорит такое:

--- 172.17.32.3 ping statistics ---
11 packets transmitted, 0 received, 100% packet loss, time 10155ms

Маршрут 172.17.32.0 194.58.102.11 255.255.255.0 UG 0 0 0 eth0 я убрал, но ничего не изменилось, результат с traceroute и ping такой же. На винде пробовал отключать брандмауэр и подключать напрямую сетевой кабель от провайдера в ноут, чтоб мимо роутера - результат неизменен.

DmitryR
() автор топика
Ответ на: комментарий от DmitryR

И всетаки меня мучает вопрос, почему traceroute мне выдает какие то звездочки?

По логике должен через ipsec т.е. через тунель, но ему никто не отвечает.

anc ★★★★★
()
Ответ на: комментарий от DmitryR

Спасибо, наверное придется попробовать, сейчас пока возможности нет, некуда поставить Linux...

Варианты:
1. Внешний hdd
2. live дистры с сохранением на флэшку
3. Может даже в виртуалке заработает если ее бриджем поднять (такого не пробовал).

anc ★★★★★
()
Ответ на: комментарий от DmitryR

Маршрут 172.17.32.0 194.58.102.11 255.255.255.0 UG 0 0 0 eth0 я убрал, но ничего не изменилось, результат с traceroute и ping такой же. На винде пробовал отключать брандмауэр и подключать напрямую сетевой кабель от провайдера в ноут, чтоб мимо роутера - результат неизменен.

Итог моего мнения (которое может быть неверным) :), по всем параметрам (всему выше описанному в топике) пакетики улетают в тунель, но не возвращаются. Это похоже на fw, т.к. вы пишите что соединения от клиентов работают а если с ноута зайти на http://myip.ru/ то получаю ip vps'а.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.