LINUX.ORG.RU
ФорумAdmin

Пинг на несуществующие адреса

 , ,


0

2

Д.д. коллеги, появилась необъяснимая проблема. Есть два сервера на Centos, между собой связаны через OpenVPN. Сервер OpenVPN 192.168.1.6, клиент OpenVPN 192.168.16.1. И из локальной сети, где установлен сервер OpenVPN пингуются несуществующие адреса, принадлежащие локальной сети клиента OpenVPN, например 192.168.16.25 (нет такой тачки). Пинги с серверов, где установлен OpenVPN закономерно отсутствуют. ARP-таблица на обоих серваках этих адресов не видит. С дампами вообще какая то ерунда, дамп на локальном и туннельном интерфейсе клиента OpenVPN показывают погоду. Дамп icmp на клиенте видит трафик.

Пинг с локалки

C:\Users******>ping 192.168.16.25

Обмен пакетами с 192.168.16.25 по с 32 байтами данных:

Ответ от 192.168.16.25: число байт=32 время=18мс TTL=63

Ответ от 192.168.16.25: число байт=32 время=15мс TTL=63

Ответ от 192.168.16.25: число байт=32 время=15мс TTL=63

Ответ от 192.168.16.25: число байт=32 время=15мс TTL=63
………………………………………………………

Пинг с сервера OpenVPN [root@** ~]# ping 192.168.16.25

PING 192.168.16.25 (192.168.16.25) 56(84) bytes of data.

From 192.168.16.1 icmp_seq=1 Destination Host Unreachable

From 192.168.16.1 icmp_seq=2 Destination Host Unreachable

From 192.168.16.1 icmp_seq=3 Destination Host Unreachable

From 192.168.16.1 icmp_seq=4 Destination Host Unreachable

^C — 192.168.16.25 ping statistics —

7 packets transmitted, 0 received, +4 errors, 100% packet loss, time 6000ms

pipe 4

………………………………………..

Пинг с клиента OpenVPN

[root@localhost ~]# ping 192.168.16.25

PING 192.168.16.25 (192.168.16.25) 56(84) bytes of data.

From 192.168.16.1 icmp_seq=1 Destination Host Unreachable

From 192.168.16.1 icmp_seq=2 Destination Host Unreachable

From 192.168.16.1 icmp_seq=3 Destination Host Unreachable

From 192.168.16.1 icmp_seq=4 Destination Host Unreachable

^C — 192.168.16.25 ping statistics —

6 packets transmitted, 0 received, +4 errors, 100% packet loss, time 5000ms pipe 4 ……………………………………………………

ARP-таблица на клиенте OpenVPN

[root@localhost ~]# arp -a 192.168.16.25

? (192.168.16.25) at on enp4s1

…………………..

Дампы

[root@localhost ~]# tcpdump -i enp4s1 -p icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp4s1, link-type EN10MB (Ethernet), capture size 262144 bytes

06:49:42.680612 IP 192.168.1.6 > 192.168.16.10: ICMP host 192.168.1.95 unreachable, length 114

06:49:44.252550 IP 192.168.1.6 > 192.168.16.5: ICMP host 192.168.1.11 unreachable, length 114

06:49:44.252614 IP 192.168.1.6 > 192.168.16.5: ICMP host 192.168.1.11 unreachable, length 114

06:49:44.252679 IP 192.168.1.6 > 192.168.16.5: ICMP host 192.168.1.113 unreachable, length 114

06:49:44.252724 IP 192.168.1.6 > 192.168.16.5: ICMP host 192.168.1.118 unreachable, length 114

06:49:44.556403 IP 192.168.1.6 > 192.168.16.24: ICMP host 192.168.1.252 unreachable, length 56

06:49:44.556445 IP 192.168.1.6 > 192.168.16.22: ICMP host 192.168.1.252 unreachable, length 56

………………………………………………

[root@localhost ~]# tcpdump -i tun0 -p icmp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes

06:51:48.222637 IP 192.168.1.6 > 192.168.100.6: ICMP host 192.168.1.95 unreachable, length 115

06:51:48.274603 IP 192.168.1.5 > 192.168.16.25: ICMP echo request, id 1, seq 2277, length 40

06:51:48.274639 IP 192.168.16.25 > 192.168.1.5: ICMP echo reply, id 1, seq 2277, length 40

06:51:49.216576 IP 192.168.1.6 > 192.168.100.6: ICMP host 192.168.1.11 unreachable, length 114

06:51:49.216668 IP 192.168.1.6 > 192.168.100.6: ICMP host 192.168.1.11 unreachable, length 114

06:51:49.216724 IP 192.168.1.6 > 192.168.100.6: ICMP host 192.168.1.11 unreachable, length 114

…………………………………………………

[root@localhost ~]# tcpdump -p icmp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes

06:45:30.270249 IP 192.168.1.5 > 192.168.16.25: ICMP echo request, id 1, seq 1899, length 40

06:45:30.270297 IP 192.168.16.25 > 192.168.1.5: ICMP echo reply, id 1, seq 1899, length 40

…………………………………………………….

Есть идеи?



Последнее исправление: gmzym (всего исправлений: 1)

Что, куда, откуда — ничего не понятно.

Полагаю, вы неправильно настроили маршрутизацию, и на деле сети в 192.168.0.0/16 — не ваши, а пакеты уходят в провайдерускую сеть.

У вас еще и 192.168.100.6 некий есть.

MAC-адресов в ARP-таблице не должно быть видно — вы используете tun-интерфейс, он оперирует на уровне L3 (только IP). Возможно, вы пытаетесь добавить в таблицу маршрутизациии записи о маршрутизации таких-то диапазонов через конкретные IP-адреса внутри TUN? Так не сработает, все пакеты маршрутизируются через OpenVPN-сервер, а не через какого-либо клиента, подключённого к ним (на уровне L2).

Либо вам нужен L2-туннель (tap), либо настройте маршрутизацию на самом сервере корректно в tun. Для маршрутизации подсети в клиента OpenVPN существует опция iroute.

ValdikSS ★★★★★
()

Если на клиенте (.16.1) в arp-таблице mac-адрес несуществующего но пингуемого хоста совпадает с мас-адресом ovpn-сервера, то это значит, что используется proxy arp.

Фича интересная, но требует понимание работы протокола ip и arp.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от ValdikSS

192.168.100.5 и 192.168.100.6 виртуальные адреса OpenVPN сети. В настройках клиента указано iroute 192.168.16.0 255.255.255.192. И пинги вне этой маски не идут, я отсюда сделаю вывод что маршрутизация работает. Вопрос прежний -кто может отвечать на несуществующем адресе.

gmzym
() автор топика
Ответ на: комментарий от anc

C:\Users****>tracert -d 192.168.16.25

Трассировка маршрута к 192.168.16.25 с максимальным числом прыжков 30

1 4 ms 2 ms 2 ms 192.168.1.6 2 16 ms 15 ms 15 ms 192.168.16.25

Трассировка завершена.

Указывает на локальный адрес сервера OpenVPN

gmzym
() автор топика

Д.д. коллеги

Офф, вы не со сбера?

alex_sim ★★★★
()

iptables -j REDIRECT на клиенте openvpn.

Да, и с сервера, вы пинговали с другим ip-адресом, явно с openvpn-адресом, а не из сети с виндозной тачкой.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.