LINUX.ORG.RU
решено ФорумAdmin

OpenVPN

 ,


0

1

Доброго дня. Существует ovpn-server на mikrotike. Там все настроено без нареканий, сидят другие клиенты. Поставлена задача избавится от одной машины-клиента и перенести все на другую. Настраиваю клиента по аналогии, вроде все идентично, но убунту(клиент) подключается, видит сеть за микротиком, а хосты за убунту не могут попаcть, что-то мешает. Уже все перебрал, перенастроил по несколько раз, все никак, не хватает опыта в этом.

Маршруты на убунту

route

  • Kernel IP routing table
  • Destination Gateway Genmask Flags Metric Ref Use Iface
  • default 10.69.0.1 0.0.0.0 UG 0 0 0 enp4s0
  • 10.0.0.0 10.0.253.1 255.0.0.0 UG 0 0 0 tun0
  • 10.0.253.0 * 255.255.255.0 U 0 0 0 tun0
  • 10.69.0.0 * 255.255.255.0 U 0 0 0 enp4s0
  • 172.17.0.0 * 255.255.0.0 U 0 0 0 docker0
  • 172.31.0.0 10.0.253.1 255.255.0.0 UG 0 0 0 tun0

iptables

  • root@ubnt16:~# iptables -S
  • -P INPUT ACCEPT
  • -P FORWARD ACCEPT
  • -P OUTPUT ACCEPT
  • -N DOCKER
  • -N DOCKER-ISOLATION
  • -A FORWARD -j DOCKER-ISOLATION
  • -A FORWARD -o docker0 -j DOCKER
  • -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  • -A FORWARD -i docker0 ! -o docker0 -j ACCEPT
  • -A FORWARD -i docker0 -o docker0 -j ACCEPT
  • -A FORWARD -i enp4s0 -o tun0 -j ACCEPT
  • -A FORWARD -i tun0 -o enp4s0 -j ACCEPT
  • -A DOCKER-ISOLATION -j RETURN

net.ipv4.ip_forward=1



Последнее исправление: vadim_p (всего исправлений: 1)
Ответ на: комментарий от darkenshvein

Убунту то подключается, связь есть, но она , как я понимаю, не дает машинам из сети пойти дальше. Вот в этом и вопрос

vadim_p
() автор топика

Может все-таки чуть больше подробностей дадите, кто не может поспать...

anc ★★★★★
()
Ответ на: комментарий от anc

попасть* Опечатка

Вот схема https://drive.google.com/file/d/1kL3JNnQN5k9ol9nU6s-7X8H_ZccJaaVh/view?usp=sh...

Микрот и убунту видят друг друга, но хосты из 10.69.0.0/24 доходят до Убунту(10.69.0.200), а дальше нет

$ mtr 10.0.0.1 Host 1. _gateway 2. 10.69.0.200 3. ???

vadim_p
() автор топика
Ответ на: комментарий от ukr_unix_user

1500 стоит На прошлой тачке работало норм

vadim_p
() автор топика
Ответ на: комментарий от vadim_p

1. Прописан на роутере? он отдает редирект? Или все-таки по dhcp раздаем маршруты?
2. Получает ли его клиент «за убунту»? Ну например эфемерный 10.69.0.100 ?
3. Чуть больше золота tcpdump хотя бы в виде пинга от клиента 10.69.0.100. С убунту, и параллельно с микротика.
ЗЫ Хоть вы и написали что «раньше работало в точно такой же конфигурации». Но сильно смущает возможное пересечение сетей. Вы правда-правда все-все-все перенесли и IP тот же остался? Или все-таки были какие-то изменения?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от darkenshvein

Что вы к «забору» ключам прикопались? ТС в топике написал, тунель поднимается. И по таблице роутинга видно что да.

anc ★★★★★
()

Начнём с того, что у тебя нет NAT на ubuntu, а значит, чтобы ответный пакет дошёл до компа, у роутера должен быть маршрут до сети, которая находится за ubuntu

Black_Shadow ★★★★★
()
Ответ на: комментарий от Black_Shadow

У роутера есть маршрут до сети , которая находится за ubuntu

vadim_p
() автор топика
Ответ на: комментарий от anc

1.

  • # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
  • 2 A S 10.0.0.0/8 10.69.0.200 1

2. да

3. позже скину, но с микрота не могу, не мой

... Единственное изменение между машинами на новом адресс 0.200, и не думаю что влияет, стоит самба

vadim_p
() автор топика
Ответ на: комментарий от vadim_p

... Единственное изменение между машинами на новом адрес 0.200

А на старом? Только полный адрес с маской плиз, а то может вы и подсеть поменяли.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от vadim_p

А сеть за «не вашим микротиком» знает ли о вашей сети? Вполне возможно что Black_Shadow и прав и ранее на 10.69.0.62 использовался NAT. Что конечно не фэншуйно, но всякое бывает.
Но все-таки начнем с tcpdump хотя бы на 10.69.0.200

anc ★★★★★
()
Ответ на: комментарий от anc

РЕШЕНО!

Всем спасибо, да, мысль о NAT у меня тоже, и сделал так:

*iptables-rules

  • *nat
  • :PREROUTING ACCEPT [41:2680]
  • :INPUT ACCEPT [10:810]
  • :OUTPUT ACCEPT [1:260]
  • :POSTROUTING ACCEPT [15:1156]
  • -A PREROUTING -i tun0 -p tcp -m tcp --dport 631 -j DNAT --to-destination 192.168.0.200
  • -A POSTROUTING -o tun0 -j MASQUERADE
  • COMMIT
  • ......

и в /etc/network/interfaces добавил

  • post-up iptables-restore < /etc/iptables.rules

    Всем спасибо

vadim_p
() автор топика
Ответ на: комментарий от ukr_unix_user

вангану mtu на клиенте нужно уменьшить

Плюсую вангование. Как раз на днях долго не мог понять, почему munin к ноде на внутреннем VPN цепляется, соединение есть, но ничего не идёт и отваливается по таймауту :)

KRoN73 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.