Проблемы с Роутингом.

0

2

Может кто подскажет, а то я уже всю голову сломал. Есть вот такая схема http://www.imagebam.com/image/2fb536554440613

Есть микротик, на нем поднят туннель к VPN серверу на базе OpenVPN. Если подключится с помощью OpenVPN напрямую, или сделать в микротикет default route, инет есть, все отлично бегает через впн. На микротике прописаны статичные роуты, на 95.213.11.181 и другие сети, на клиентском ПК, по трассе на впн сервер все уходит,

C:\Users\unknown>tracert -d 95.213.11.181

Трассировка маршрута к 95.213.11.181 с максимальным числом прыжков 30

  1     1 ms    <1 мс    <1 мс  192.168.1.1
  2    56 ms    56 ms    55 ms  10.10.200.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5  ^C
C:\Users\unknown>

Но достучатся до 95.213.11.181, через туннель не могу. NAT для сети 192.168.1.0/24 присутствует. форвардинг включен. ВПН сервер без проблем видит 192.168.1.0/24 сеть, и клиентов в ней.

NAT на VPN сервере выглядит вот так

[root@vpn ~]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.10.200.0/24       anywhere
MASQUERADE  all  --  192.168.1.0/24       anywhere
[root@vpn ~]#

что не так? в какую сторону копать ?

Ссылка

←	Расширить root раздел с помощью gparted

Bash

→

← 1 2 →

на микротике покажите

/ip firewall nat print 
/ip route print

и на VPN сервере

ip ro
cat /proc/sys/net/ipv4/ip_forward

или сделать в микротикет default route

те, если вы поднимаете впн с микротика и прописываете его как default, то все сразу работает?

samson ★★
(02.07.17 18:07:03 MSK)
Последнее исправление: samson 02.07.17 18:08:48 MSK (всего исправлений: 1)

Ответ на: комментарий от samson 02.07.17 18:07:03 MSK

MTK

[admin@unknown_router] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=UPLINK log=no log-prefix="" 

 1    chain=srcnat action=masquerade out-interface=ovpn-out1 log=no 

 2    ;;; ASTERISK
      chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=5050 protocol=udp in-interface=UPLINK dst-port=5050 log=no 

 3    ;;; ASTERISK
      chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=10000-20000 protocol=udp in-interface=UPLINK dst-port=10000-20000 log=no 

[admin@unknown_router] >

[admin@unknown_router] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0          10.10.200.8     ovpn-out1                 1
 1 A S  0.0.0.0/0          10.10.200.8     ovpn-out1                 1
 2 A S  0.0.0.0/0          10.10.200.8     ovpn-out1                 1
 3 ADS  0.0.0.0/0                          141.XX.XX.1             1
 4 ADC  10.10.200.1/32     10.10.200.8     ovpn-out1                 0
 5 ADC  141.XX.XX.0/24   141.XX.XX.XX UPLINK                    0
 6 ADC  192.168.1.0/24     192.168.1.1     bridge                    0
[admin@unknown_router] >

Server (VPN)

[root@vpn~]# ip ro
default via 104.XX.XX.1 dev eth0  proto static
10.10.200.0/24 dev tun0  proto kernel  scope link  src 10.10.200.1
104.XX.XX.0/23 dev eth0  proto kernel  scope link  src 104.XX.XX.XX
192.168.1.0/24 via 10.10.200.8 dev tun0
[root@vpn~]#

[root@vpn ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@vpn ~]#

rwerwe
(02.07.17 18:15:54 MSK) автор топика

Ссылка

Ответ на: комментарий от samson 02.07.17 18:07:03 MSK

те, если вы поднимаете впн с микротика и прописываете его как default, то все сразу работает?

да, сразу все работает. а если заруливаю туда трафик статик роутами именно те направления которые мне нужны, то не работает.

rwerwe
(02.07.17 18:16:59 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 18:16:59 MSK

У меня вот стойкое ощущение что не отрабатывает NAT что ли на VPN сервере, к нему же доходит трафик, а что блин не так дальше не понятно.

rwerwe
(02.07.17 18:19:10 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 18:16:59 MSK

а если заруливаю туда трафик статик роутами именно те направления которые мне нужны, то не работает

а где они эти роуты в вашем выводе [admin@unknown_router] > ip route pr [\inline]??? Это вывод, когда не работает?

samson ★★
(02.07.17 18:25:21 MSK)

Ответ на: комментарий от rwerwe 02.07.17 18:19:10 MSK

нат на впн похоже работает, раз если вы туда подключаетесь другим клиентом и все ок. логично же.

samson ★★
(02.07.17 18:26:13 MSK)

Ссылка

Ответ на: комментарий от samson 02.07.17 18:25:21 MSK

Ну там же таблицы, со списками IP адресов, адреса забиты в IP>Firewall>Address_Lists Затем они промаркированы, в IP>Firewall>Mangle, ну а в роутах указано что трафик маркированный как это, отправлять туда.

Сам роутинг же выполняется, об этом и трейсроут свидетельствует.

C:\Users\unknown>tracert -d 95.213.11.181

Трассировка маршрута к 95.213.11.181 с максимальным числом прыжков 30

  1     2 ms    <1 мс     1 ms  192.168.1.1
  2    56 ms    59 ms    57 ms  10.10.200.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4  ^C
C:\Users\unknown>

Мне кажется что проблема на VPN сервере, но не могу понять какая. форвардинг включен, NAT есть для обеих сетей. а что не так ;(

rwerwe
(02.07.17 18:35:33 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 18:35:33 MSK

Просто если NAT работает то как объяснить это?

rwerwe
(02.07.17 18:36:08 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 18:36:08 MSK

а если на впн -o OUT_INTERFACE -j MASQUERADE без src-ip сделать?

но не думаю, что это что то поменяет.

Раз что то меняете на микротике, и работает, потом меняете обратно - перестает, то копать надо туда...

samson ★★
(02.07.17 19:07:55 MSK)

Ответ на: комментарий от samson 02.07.17 19:07:55 MSK

Типа вот так ? iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

rwerwe
(02.07.17 19:14:36 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:14:36 MSK

да

samson ★★
(02.07.17 19:18:29 MSK)

Ответ на: комментарий от samson 02.07.17 19:18:29 MSK

Тоже, не работает, и вот так тоже ( iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE iptables -A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW -j ACCEPT

Вроде как все видит друг друга достучатся может, а почему дальше в мир не уходит вот реально не пойму.

rwerwe
(02.07.17 19:19:20 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:19:20 MSK

-o tun0 - это не надо. У вас нат должен только в 2х местах работать.

1. на впн сервере, когда уходит наружу

2. на микротике, когда уходит наружу через UPLINK.

По идее, больше натить не надо, все остальное должно маршрутизироваться.

samson ★★
(02.07.17 19:26:04 MSK)

Ответ на: комментарий от samson 02.07.17 19:26:04 MSK

Ну это я понимаю, так и должно быть. просто в чем затык не понятно вот, на ВПН сервере же не должно быть дополнительного роутинга ? ну например 192.168.1.0/24 to 0.0.0.0 ?

rwerwe
(02.07.17 19:27:26 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:27:26 MSK

маршрут до 192.168.1.0/24 на впн должен быть. Только через тунел, а не " to 0.0.0.0"

samson ★★
(02.07.17 19:29:25 MSK)

Ссылка

Ответ на: комментарий от rwerwe 02.07.17 19:27:26 MSK

давайте вывод

/ip firewall export compact
/ip route export compact

samson ★★
(02.07.17 19:30:30 MSK)

Ответ на: комментарий от samson 02.07.17 19:30:30 MSK

Сделал кстати tcpdump на впнсервере. Может по нему понятно что то будет.

[root@vpn ~]# tcpdump -vvvv -i tun0 dst 95.213.11.181
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
16:30:59.579849 IP (tos 0x0, ttl 127, id 15811, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > srv181-11-213-95.vk.com: ICMP echo request, id 1, seq 12977, length 40
16:31:04.238032 IP (tos 0x0, ttl 127, id 15812, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > srv181-11-213-95.vk.com: ICMP echo request, id 1, seq 12978, length 40
16:31:09.254149 IP (tos 0x0, ttl 127, id 15813, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > srv181-11-213-95.vk.com: ICMP echo request, id 1, seq 12979, length 40
16:31:14.253886 IP (tos 0x0, ttl 127, id 15814, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > srv181-11-213-95.vk.com: ICMP echo request, id 1, seq 12980, length 40
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel
[root@vpn ~]#

rwerwe
(02.07.17 19:32:59 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:32:59 MSK

-n ключик к tcpdump еще

samson ★★
(02.07.17 19:34:11 MSK)

Ответ на: комментарий от samson 02.07.17 19:34:11 MSK

Да, сори забыл, вот.

[root@vpn ~]# tcpdump -vvvv -n -i tun0 dst 95.213.11.181
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
16:35:12.785394 IP (tos 0x0, ttl 127, id 15816, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 12981, length 40
16:35:17.756849 IP (tos 0x0, ttl 127, id 15817, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 12982, length 40
16:35:22.749658 IP (tos 0x0, ttl 127, id 15818, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 12983, length 40
16:35:27.756305 IP (tos 0x0, ttl 127, id 15819, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 12984, length 40
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel
[root@vpn ~]#

rwerwe
(02.07.17 19:36:12 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:36:12 MSK

Ну как бы все приходит на него нормально, единственное я не очень понимаю тут вывод tcpdump флаги, может вам понятней куда смотреть тут.

Да, ну и пинг с соурсом не работает, но в принципе и логично адреса из 192 сети же нет на сервере.

rwerwe
(02.07.17 19:39:04 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:39:04 MSK

На сеть 10.10.200.0/24 все работает как и должно.

[root@vpn ~]# ping -I 10.10.200.1 95.213.11.181
PING 95.213.11.181 (95.213.11.181) from 10.10.200.1 : 56(84) bytes of data.
64 bytes from 95.213.11.181: icmp_seq=1 ttl=58 time=46.1 ms
64 bytes from 95.213.11.181: icmp_seq=2 ttl=58 time=46.6 ms
64 bytes from 95.213.11.181: icmp_seq=3 ttl=58 time=46.9 ms
64 bytes from 95.213.11.181: icmp_seq=4 ttl=58 time=46.2 ms
^C
--- 95.213.11.181 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 46.146/46.508/46.998/0.363 ms
[root@vpn ~]#

rwerwe
(02.07.17 19:41:24 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:41:24 MSK

Кстати а вот на микротике, пинг с соурсом не работает..

rwerwe
(02.07.17 19:43:23 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 19:43:23 MSK

[admin@unknown_router] > tool traceroute count=5 interface=ovpn-out1 address=95.213.11.181 
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                                                                                                                                
 1 10.10.200.1                        0%    2  54.9ms    62.8    54.9    70.6     7.9                                                                                                                                       
 2                                  100%    2 timeout                                                                                                                                                                       
 3                                  100%    2 timeout                                                                                                                                                                       
 4                                  100%    2 timeout                                                                                                                                                                       
 5                                  100%    2 timeout                                                                                                                                                                       
 6                                  100%    2 timeout

rwerwe
(02.07.17 19:46:42 MSK) автор топика

Ссылка

Ответ на: комментарий от rwerwe 02.07.17 19:43:23 MSK

итак, у вас сейчас на впн

#маршруты
10.10.200.0/24 dev tun0  proto kernel  scope link  src 10.10.200.1
192.168.1.0/24 via 10.10.200.8 dev tun0

#nat, только это одно правило
-o eth0 -j MASQUERADE

так?

с микротика покажите /ip firewall export /ip route export

samson ★★
(02.07.17 19:49:55 MSK)

кстати, по идее, даже это правило не нужно на микротике:

chain=srcnat action=masquerade out-interface=ovpn-out1 log=no

samson ★★
(02.07.17 19:50:15 MSK)

Ответ на: комментарий от samson 02.07.17 19:49:55 MSK

Маршруты да. NAT, я переделал на более точный вариант вот так

iptables -t nat -A POSTROUTING -s 10.10.200.0/24 -j SNAT --to-source 104.xx.xx.xx
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 104.xx.xx.xx

Вывод с микротика.

[admin@unknown_router] > ip route export compact 
# jul/02/2017 20:01:16 by RouterOS 6.39.2
# software id = WH4Y-A7B7
#
/ip route
add distance=1 gateway=ovpn-out1 pref-src=10.10.200.8 routing-mark=vk
[admin@unknown_router] >

[admin@unknown_router] > ip firewall export compact 
# jul/02/2017 20:02:42 by RouterOS 6.39.2
# software id = WH4Y-A7B7
#
/ip firewall address-list
add address=95.213.0.0/18 list=vk
/ip firewall filter
add action=drop chain=input in-interface=UPLINK protocol=tcp src-port=80
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vk new-routing-mark=vk passthrough=yes src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=UPLINK
add action=masquerade chain=srcnat disabled=yes out-interface=ovpn-out1 src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment=ASTERISK dst-port=5050 in-interface=UPLINK protocol=udp to-addresses=192.168.1.3 to-ports=5050
add action=dst-nat chain=dstnat comment=ASTERISK dst-port=10000-20000 in-interface=UPLINK protocol=udp to-addresses=192.168.1.3 to-ports=10000-20000
[admin@unknown_router] >

rwerwe
(02.07.17 19:55:47 MSK) автор топика

Ответ на: комментарий от samson 02.07.17 19:50:15 MSK

оно не активно, то я эксперементировал, и пробовал завернуть в NAT 192 сеть, чтобы сервер ее видел как 10.10.200.8 всех клиентов и они уходили туда так, но не вышло.

rwerwe
(02.07.17 19:57:04 MSK) автор топика

Ссылка

Ответ на: комментарий от rwerwe 02.07.17 19:55:47 MSK

до впн разве не надо статику прописать, или он динамически поднимается?

add dst-address=VPN_SERVER_IP(104.xx.xx.xx) gateway=UPLINK

и на всякий случай -o eth0 на впн добавьте

и покажите tcpdump -vvvv -n -i tun0 host 95.213.11.181 когда пингуете клиентом из 192.168.1.0/24, ответ то приходит?

но вроде как все правильно...

samson ★★
(02.07.17 20:14:45 MSK)
Последнее исправление: samson 02.07.17 20:19:26 MSK (всего исправлений: 1)

Ответ на: комментарий от samson 02.07.17 20:14:45 MSK

до впн разве не надо статику прописать, или он динамически поднимается?

Он динамически поднимается, и там всегда статичный адресс выдает клиенту.

Исправил на iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

tcpdump

[root@rsup ~]# tcpdump -vvvv -n -i tun0 host 95.213.11.181
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
17:19:29.577634 IP (tos 0x0, ttl 127, id 16063, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 13227, length 40
17:19:29.624411 IP (tos 0x0, ttl 57, id 55128, offset 0, flags [none], proto ICMP (1), length 60)
    95.213.11.181 > 192.168.1.10: ICMP echo reply, id 1, seq 13227, length 40
17:19:34.310199 IP (tos 0x0, ttl 127, id 16064, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 13228, length 40
17:19:34.356387 IP (tos 0x0, ttl 57, id 55747, offset 0, flags [none], proto ICMP (1), length 60)
    95.213.11.181 > 192.168.1.10: ICMP echo reply, id 1, seq 13228, length 40
17:19:39.320426 IP (tos 0x0, ttl 127, id 16065, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 13229, length 40
17:19:39.367053 IP (tos 0x0, ttl 57, id 56584, offset 0, flags [none], proto ICMP (1), length 60)
    95.213.11.181 > 192.168.1.10: ICMP echo reply, id 1, seq 13229, length 40
17:19:44.313170 IP (tos 0x0, ttl 127, id 16066, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.1.10 > 95.213.11.181: ICMP echo request, id 1, seq 13230, length 40
17:19:44.359326 IP (tos 0x0, ttl 57, id 57028, offset 0, flags [none], proto ICMP (1), length 60)
    95.213.11.181 > 192.168.1.10: ICMP echo reply, id 1, seq 13230, length 40
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
[root@rsup ~]#

На клиенте ответа нет

C:\Users\unknown>ping 95.213.11.181

Обмен пакетами с 95.213.11.181 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 95.213.11.181:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

C:\Users\unknown>

rwerwe
(02.07.17 20:20:42 MSK) автор топика

Ссылка

Ответ на: комментарий от samson 02.07.17 20:14:45 MSK

но вроде как все правильно...

так и я о чем, все верно все друг друга видит а пинга нет. магия...

rwerwe
(02.07.17 20:21:50 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 20:21:50 MSK

может на Linux сервере нужно какое нибудь правило прероутинга? или что нибудь еще. + я не понимаю почему микротик с соурс адресом 10.10.200.8 не пингует 95.213.11.181, хотя должен же. но с роутингом точно все верно как мне кажется.

rwerwe
(02.07.17 20:27:41 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 20:27:41 MSK

а из сети 192.168.1.0/24 пинг до 10.10.200.8 идет?

и с впн до хостов 192.168.1.0/24 тоже?

samson ★★
(02.07.17 20:29:30 MSK)

Ответ на: комментарий от rwerwe 02.07.17 20:27:41 MSK

При этом смотрите вот запустил пинг с микротика. А вот tcpdump на сервере в этот момент.

[root@rsup ~]# tcpdump -vvvv -n -i tun0 host 95.213.11.181
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
17:28:55.312368 IP (tos 0x0, ttl 255, id 34351, offset 0, flags [none], proto ICMP (1), length 50)
    10.10.200.8 > 95.213.11.181: ICMP echo request, id 1425, seq 19, length 30
17:28:55.358808 IP (tos 0x0, ttl 57, id 49518, offset 0, flags [none], proto ICMP (1), length 50)
    95.213.11.181 > 10.10.200.8: ICMP echo reply, id 1425, seq 19, length 30
17:28:56.335403 IP (tos 0x0, ttl 255, id 34352, offset 0, flags [none], proto ICMP (1), length 50)
    10.10.200.8 > 95.213.11.181: ICMP echo request, id 1425, seq 20, length 30
17:28:56.381561 IP (tos 0x0, ttl 57, id 49707, offset 0, flags [none], proto ICMP (1), length 50)
    95.213.11.181 > 10.10.200.8: ICMP echo reply, id 1425, seq 20, length 30
17:28:57.353849 IP (tos 0x0, ttl 255, id 34353, offset 0, flags [none], proto ICMP (1), length 50)
    10.10.200.8 > 95.213.11.181: ICMP echo request, id 1425, seq 21, length 30
17:28:57.400028 IP (tos 0x0, ttl 57, id 49837, offset 0, flags [none], proto ICMP (1), length 50)
    95.213.11.181 > 10.10.200.8: ICMP echo reply, id 1425, seq 21, length 30
17:28:58.399272 IP (tos 0x0, ttl 255, id 34354, offset 0, flags [none], proto ICMP (1), length 50)
    10.10.200.8 > 95.213.11.181: ICMP echo request, id 1425, seq 22, length 30
17:28:58.445534 IP (tos 0x0, ttl 57, id 50054, offset 0, flags [none], proto ICMP (1), length 50)
    95.213.11.181 > 10.10.200.8: ICMP echo reply, id 1425, seq 22, length 30
17:28:59.414705 IP (tos 0x0, ttl 255, id 34355, offset 0, flags [none], proto ICMP (1), length 50)
    10.10.200.8 > 95.213.11.181: ICMP echo request, id 1425, seq 23, length 30
17:28:59.460894 IP (tos 0x0, ttl 57, id 50255, offset 0, flags [none], proto ICMP (1), length 50)
    95.213.11.181 > 10.10.200.8: ICMP echo reply, id 1425, seq 23, length 30
17:29:00.428570 IP (tos 0x0, ttl 255, id 34356, offset 0, flags [none], proto ICMP (1), length 50)
    10.10.200.8 > 95.213.11.181: ICMP echo request, id 1425, seq 24, length 30
17:29:00.474853 IP (tos 0x0, ttl 57, id 50443, offset 0, flags [none], proto ICMP (1), length 50)
    95.213.11.181 > 10.10.200.8: ICMP echo reply, id 1425, seq 24, length 30
^C
12 packets captured
12 packets received by filter
0 packets dropped by kernel
[root@rsup ~]#

И микротик также не пингует 95.213.11.181 100% packet lose.

rwerwe
(02.07.17 20:30:39 MSK) автор топика

Ссылка

Ответ на: комментарий от samson 02.07.17 20:29:30 MSK

а из сети 192.168.1.0/24 пинг до 10.10.200.8 идет?

Да.

Пинг из 192.168.1.10 к 10.10.200.8

C:\Users\unknown>ping 10.10.200.8

Обмен пакетами с 10.10.200.8 по с 32 байтами данных:
Ответ от 10.10.200.8: число байт=32 время=1мс TTL=64
Ответ от 10.10.200.8: число байт=32 время=1мс TTL=64

Статистика Ping для 10.10.200.8:
    Пакетов: отправлено = 2, получено = 2, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 1 мсек, Среднее = 1 мсек
Control-C
^C
C:\Users\unknown>

Пинг с 192.168.1.10 к 10.10.200.1

C:\Users\unknown>ping 10.10.200.1

Обмен пакетами с 10.10.200.1 по с 32 байтами данных:
Ответ от 10.10.200.1: число байт=32 время=61мс TTL=63
Ответ от 10.10.200.1: число байт=32 время=68мс TTL=63
Ответ от 10.10.200.1: число байт=32 время=63мс TTL=63
Ответ от 10.10.200.1: число байт=32 время=58мс TTL=63

Статистика Ping для 10.10.200.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 58мсек, Максимальное = 68 мсек, Среднее = 62 мсек

C:\Users\unknown>

Пинг с 10.10.200.1 к 192.168.1.10

[root@rsup ~]# ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data.
64 bytes from 192.168.1.10: icmp_seq=1 ttl=127 time=57.4 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=127 time=58.0 ms
^C
--- 192.168.1.10 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 57.494/57.787/58.080/0.293 ms
[root@rsup ~]#

Ну все между собой видится без проблем.

rwerwe
(02.07.17 20:33:40 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 20:33:40 MSK

192.168.1.1 также все видно, без проблем. и с 10.10.200.8 видно также 192.168.1.10 все друг друга точно видят.

rwerwe
(02.07.17 20:35:38 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 20:35:38 MSK

а если на клиенте из сети 192.168.1.0/24 прописать маршрут

95.213.0.0/18 gw 10.10.200.1

samson ★★
(02.07.17 20:39:07 MSK)

Ответ на: комментарий от samson 02.07.17 20:39:07 MSK

Так а смысл ? он и так знает и бежит туда. трасса же есть.

C:\Users\unknown>tracrt -d 95.213.11.181
"tracrt" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

C:\Users\unknown>tracert -d 95.213.11.181

Трассировка маршрута к 95.213.11.181 с максимальным числом прыжков 30

  1     1 ms    <1 мс    <1 мс  192.168.1.1
  2    56 ms    57 ms    57 ms  10.10.200.1
  3     *     ^C
C:\Users\unknown>

Он же и так знает что туда бежать нужно, и даже бежит туда. Вопрос в том почему ответы не приходят, и ничего не работает.

по tcpdump все в норме вроде ?

rwerwe
(02.07.17 20:45:06 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 20:35:38 MSK

еще настройки openvpn на мкротике покажите и конфиг на впн сервере

samson ★★
(02.07.17 20:45:06 MSK)

Ответ на: комментарий от rwerwe 02.07.17 20:45:06 MSK

согласен

samson ★★
(02.07.17 20:45:57 MSK)

Ссылка

Ответ на: комментарий от samson 02.07.17 20:45:06 MSK

server.conf

user openvpn
group openvpn
local 104.XX.XX.XX
port 143
proto tcp
dev tun
cipher AES-128-CBC
client-config-dir /etc/openvpn/ccd
topology subnet
client-to-client
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.10.200.0 255.255.255.0
route 10.10.200.0 255.255.255.0
push "dhcp-option DNS 10.10.200.1"
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
keepalive 10 900
persist-key
persist-tun
status /var/log/openvpn-status.log

Конфиг ccd для подключения микротика.

ifconfig-push 10.10.200.8 255.255.255.0
iroute 192.168.1.0 255.255.255.0

Конфиг с микротика

[admin@unknown_router] > interface ovpn-client print  
Flags: X - disabled, R - running 
 0  R name="ovpn-out1" mac-address=02:99:07:15:38:CF max-mtu=1460 connect-to=104.XX.XX.XX port=143 mode=ip user="none" password="none" profile=default-encryption certificate=mkt.crt_0 auth=sha1 cipher=aes128 
      add-default-route=no 
[admin@unknown_router] >

rwerwe
(02.07.17 20:49:35 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 20:49:35 MSK

При этом если сделать add-default-route=yes в конфиге микротика, то все работает, но тогда весь трафик бегает через тунель, а мне это не нужно ;(

rwerwe
(02.07.17 20:59:21 MSK) автор топика

Ссылка

а когда клиентом (192.168.1.X) пингуем vk не пробовали смотреть пакеты микротике?

до впн доходит, ответ приходит, а вот на сам микротик ответ приходит?

samson ★★
(02.07.17 21:01:09 MSK)

Ответ на: комментарий от samson 02.07.17 21:01:09 MSK

а когда клиентом (192.168.1.X) пингуем vk не пробовали смотреть пакеты микротике?

через torch ?

rwerwe
(02.07.17 21:02:14 MSK) автор топика

Ссылка

Ответ на: комментарий от samson 02.07.17 21:01:09 MSK

Вот результат работы torch https://youtu.be/SPn3i9O5cpQ

rwerwe
(02.07.17 21:08:50 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 21:08:50 MSK

У кого нибудь есть еще идеи?

rwerwe
(02.07.17 22:05:30 MSK) автор топика

Ссылка

Ответ на: комментарий от rwerwe 02.07.17 21:08:50 MSK

получается, что ответ виден и на микротике? не пойму че там на видике в винбоксе

там с консоли можно запустить

/tool torch interface=pppoeOut-Renet src-address=ADDR

samson ★★
(02.07.17 22:18:56 MSK)
Последнее исправление: samson 02.07.17 22:19:26 MSK (всего исправлений: 1)

Ответ на: комментарий от samson 02.07.17 22:18:56 MSK

Нет, так в torch не видно трафика. интерфейс само собой заменил на свой.

rwerwe
(02.07.17 23:10:00 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 23:10:00 MSK

Видно просто вот так в консоли.

[admin@unknown_router] > tool torch interface=ovpn-out1 ip-protocol=icmp
MAC-PROTOCOL    IP-PROTOCOL         TX         RX TX-PACKETS RX-PACKETS
                icmp            672bps     672bps          1          1
                                672bps     672bps          1          1

[admin@unknown_router] >

А через веб нормально показывает.

rwerwe
(02.07.17 23:13:08 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 23:13:08 MSK

лучше так interface=ovpn-out1 ip-protocol=icmp src-addess=95.213.11.181

так только ответы увидим.

Но вроде как на видике ответ приходит.

и покажите еще /ip firewall filter pr (касательно forward) там случайно не режется

samson ★★
(02.07.17 23:21:15 MSK)
Последнее исправление: samson 02.07.17 23:21:39 MSK (всего исправлений: 1)

Ответ на: комментарий от samson 02.07.17 23:21:15 MSK

Без проблем, новое видео https://youtu.be/mMH9zAH-dGc Как бы отвечает.

Вывод

[admin@unknown_router] > ip firewall filter pr
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=drop protocol=tcp in-interface=UPLINK src-port=80 log=no log-prefix="" 
[admin@unknown_router] >

rwerwe
(02.07.17 23:25:16 MSK) автор топика

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Расширить root раздел с помощью gparted

General

Bash

→

Похожие темы