Проблемы с Роутингом.

0

2

Может кто подскажет, а то я уже всю голову сломал. Есть вот такая схема http://www.imagebam.com/image/2fb536554440613

Есть микротик, на нем поднят туннель к VPN серверу на базе OpenVPN. Если подключится с помощью OpenVPN напрямую, или сделать в микротикет default route, инет есть, все отлично бегает через впн. На микротике прописаны статичные роуты, на 95.213.11.181 и другие сети, на клиентском ПК, по трассе на впн сервер все уходит,

C:\Users\unknown>tracert -d 95.213.11.181

Трассировка маршрута к 95.213.11.181 с максимальным числом прыжков 30

  1     1 ms    <1 мс    <1 мс  192.168.1.1
  2    56 ms    56 ms    55 ms  10.10.200.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5  ^C
C:\Users\unknown>

Но достучатся до 95.213.11.181, через туннель не могу. NAT для сети 192.168.1.0/24 присутствует. форвардинг включен. ВПН сервер без проблем видит 192.168.1.0/24 сеть, и клиентов в ней.

NAT на VPN сервере выглядит вот так

[root@vpn ~]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.10.200.0/24       anywhere
MASQUERADE  all  --  192.168.1.0/24       anywhere
[root@vpn ~]#

что не так? в какую сторону копать ?

Ссылка

←	Расширить root раздел с помощью gparted

Bash

→

← 1 2 →

Ответ на: комментарий от rwerwe 02.07.17 23:25:16 MSK

Я не пойму почему с микротика не идет.

[admin@unknown_router] > ping interface=ovpn-out1 vk.com
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                        
    0 95.213.11.181                                           timeout                                                                                                       
    1 95.213.11.181                                           timeout                                                                                                       
    2 95.213.11.181                                           timeout                                                                                                       
    sent=3 received=0 packet-loss=100% 

[admin@unknown_router] >

Хотя NAT точно есть и работает. на VPN сервере тот же пинг с сорсом работает, и если подключится с сертификатом микротика то все работает, и если на микротике выставить дефаулгейтвей через впн то все работает.

rwerwe
(02.07.17 23:29:00 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 23:29:00 MSK

Даже с применением routing-table

[admin@unknown_router] > ping interface=ovpn-out1 routing-table=vk 95.213.11.181
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                        
    0 95.213.11.181                                           timeout                                                                                                       
    1 95.213.11.181                                           timeout                                                                                                       
    2 95.213.11.181                                           timeout                                                                                                       
    3 95.213.11.181                                           timeout                                                                                                       
    sent=4 received=0 packet-loss=100% 

[admin@unknown_router] >

Но стоит на интерфейсе ovpn-out1 отметить default-route то все работает.

rwerwe
(02.07.17 23:36:47 MSK) автор топика

Ответ на: комментарий от rwerwe 02.07.17 23:36:47 MSK

а если прописать так

/ip route add disabled=no distance=1 dst-address=95.213.0.0/18 gateway=ovpn-out1

samson ★★
(03.07.17 00:11:05 MSK)

Ответ на: комментарий от samson 03.07.17 00:11:05 MSK

О а так работает.

rwerwe
(03.07.17 00:13:38 MSK) автор топика

Ответ на: комментарий от rwerwe 03.07.17 00:13:38 MSK

тогда точно надо изучать вот эти правила:

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vk new-routing-mark=vk passthrough=yes src-address=192.168.1.0/24

/ip route
add distance=1 gateway=ovpn-out1 pref-src=10.10.200.8 routing-mark=vk

они не отрабатывают)

samson ★★
(03.07.17 00:14:37 MSK)
Последнее исправление: samson 03.07.17 00:15:14 MSK (всего исправлений: 3)

Ответ на: комментарий от samson 03.07.17 00:14:37 MSK

Ну попробую, спасибо, только же по идее, все тоже самое, просто берет адреса из таблицы.

rwerwe
(03.07.17 00:18:04 MSK) автор топика

Ответ на: комментарий от rwerwe 03.07.17 00:18:04 MSK

pref-src=10.10.200.8 может убрать?

samson ★★
(03.07.17 00:25:19 MSK)

Ответ на: комментарий от samson 03.07.17 00:25:19 MSK

нее, это пробовал, не помогает.

rwerwe
(03.07.17 00:27:59 MSK) автор топика

Ответ на: комментарий от rwerwe 03.07.17 00:27:59 MSK

Пакеты он точно маркирует, это я проверял. тем более если бы не маркировал не было бы таблицы. может быть что то по другому делать нужно когда у тебя таблицы а не просто один адресс ?

rwerwe
(03.07.17 00:29:07 MSK) автор топика

Ответ на: комментарий от rwerwe 03.07.17 00:29:07 MSK

Там есть route rules может там что то указать ?

rwerwe
(03.07.17 00:29:38 MSK) автор топика

Ответ на: комментарий от rwerwe 03.07.17 00:29:38 MSK

не надо ничего. вроде все правильно делаете. Еще по хорошему надо connection-mark делать для входящих соединений - но это пока к делу не относится.

На всякий случай покажите /system resource pr Какая версия ros у вас?

samson ★★
(03.07.17 09:09:37 MSK)

Ответ на: комментарий от samson 03.07.17 09:09:37 MSK

Ну делать connection mark не думаю что есть смысл, это при балансировке каналов итд, а тут же жестко заворачиваем то что нужно в 1 туннель.

[admin@unknown_router] > system resource pr
                   uptime: 6d11h53m25s
                  version: 6.39.2 (stable)
               build-time: Jun/06/2017 08:01:04
         factory-software: 6.34.2
              free-memory: 5.2MiB
             total-memory: 32.0MiB
                      cpu: MIPS 24Kc V7.4
                cpu-count: 1
            cpu-frequency: 650MHz
                 cpu-load: 89%
           free-hdd-space: 7.7MiB
          total-hdd-space: 16.0MiB
  write-sect-since-reboot: 7155
         write-sect-total: 50832
               bad-blocks: 0%
        architecture-name: smips
               board-name: hAP lite
                 platform: MikroTik
[admin@unknown_router] >

rwerwe
(03.07.17 10:34:17 MSK) автор топика

Ответ на: комментарий от rwerwe 03.07.17 10:34:17 MSK

проблема так и не решилась?

samson ★★
(10.07.17 01:34:16 MSK)

Ответ на: комментарий от samson 10.07.17 01:34:16 MSK

Добрый день, неа что то так и не могу домучать роутинг (( так и не пойму в чем дело вроде все верно, перепробовал уже множество вариантов но что то все никак.

rwerwe
(10.07.17 15:36:12 MSK) автор топика

Ответ на: комментарий от rwerwe 10.07.17 15:36:12 MSK

Кто то еще может подсказать что то по финальному варианту? что то так осилить и не могу.

rwerwe
(20.07.17 12:42:45 MSK) автор топика

Ответ на: комментарий от rwerwe 20.07.17 12:42:45 MSK

Ну тут однозначно, если с

/ip route add disabled=no distance=1 dst-address=95.213.0.0/18 gateway=ovpn-out1

работает, то надо разбираться почему либо routing mark не работает, либо почему роутер не заворачивает меченые пакеты по нужному маршруту.

Больше то ничего и быть не может.

Если бы даже где фаервол зарезал транзитные пакеты, то он резал бы в обоих случаях.

samson ★★
(20.07.17 23:08:47 MSK)
Последнее исправление: samson 20.07.17 23:12:26 MSK (всего исправлений: 2)

Ответ на: комментарий от samson 20.07.17 23:08:47 MSK

Сегодня снова перепробовал различные варианты и с таблицами, и перегуглил все что можно, чо то никак :( При этом все пишут все тоже самое что и у меня. Добавить в adress list, сделать мангл на пометку new-routing-mark, и добавить просто роуты с маркировкой. У меня все один в один ;(

Может быть проблема в том что у меня нет никаких правил форвардинга? какой нибудь fasstrack или еще что нибудь ?

rwerwe
(30.07.17 22:35:14 MSK) автор топика

Ответ на: комментарий от rwerwe 30.07.17 22:35:14 MSK

Даже вот нашел, https://14bytes.ru/perenapravlenie-trafika-cherez-vpn-mikrotik-s-pomoshhju-ma... Все как у меня, что ему нужно это микротику, не понятно ;(

rwerwe
(30.07.17 23:04:08 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Расширить root раздел с помощью gparted

General

Bash

→

Похожие темы