Rating@Mail.ru
IPB
Etersoft - from Windows to Linux
Etersoft
решения для перехода
с Windows на Linux
Дружественные сайты: alv.me и Rus-Linux.net

Здравствуйте, гость ( Вход | Регистрация ) Поиск · 

 
Reply to this topic Start new topic
> Не проходит ping от клиентов в сеть за OpenVPN-сервером, (при подключении по PPTP проходит)
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 24 2016, в 22:32
Сообщение #1


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
Устройство сети:
Центральный офис выходит в интернет через Zyxel Keenetic, к которому подключён D-link DES-1100-16, к которому уже подключён OpenVPN-сервер на Ubuntu 14.04.
Сеть, в которой находится сервер — 192.168.1.0/24, сеть OpenVPN — 10.8.0.0/24.

Конфигурация сервера /etc/openvpn/server.conf:
Код
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
push "dhcp-option WINS 192.168.1.34"
push "dhcp-option NBT 4"
keepalive 10 120
tls-auth easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
verb 6
mute 5


А также дополнительный конфиг для клиента в /etc/openvpn/ccd/pc:
Код
ifconfig-push 10.8.0.9 10.8.0.10
iroute 192.168.0.0 255.255.255.0


Удалённый клиент, Windows 7, находится в сети 192.168.0.0/24 и после подключения к OpenVPN-серверу может пинговать только сервер (192.168.1.34); другие же хосты локальной сети севера или, например, роутер, клиент пинговать не может. Пинг с сервера на клиент и обратно идёт без проблем.

Конфигурация клиента:
Код
dev tun
proto udp
port 1194
remote 11.22.33.44
tls-client
remote-cert-tls server
route-method exe
route-delay 10
pull
ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\keys\\pc.crt"
key "C:\\Program Files\\OpenVPN\\keys\\pc.key"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 1
cipher AES-128-CBC
comp-lzo
keepalive 5 60
verb 6
status "C:\\Program Files\\OpenVPN\\log\\openvupn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"


Причём при подключении с этого же клиента к этому же серверу по PPTP (использовалось ранее вместо OpenVPN) все хосты сети центрального офиса пингуются без проблем.

В чём может быть проблема?
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 24 2016, в 22:45
Сообщение #2


grammatikführer
Иконка группы

Сообщений: 12071

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

А эти хосты, которые Вы пытаетесь пинговать, знают, куда слать ответ? Маршрут 10.8.0.0/24 via 192.168.1.34 на них прописан?


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 24 2016, в 22:59
Сообщение #3


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
Bizdelnick, поясните, пжста — такой маршрут нужно прописывать на каждом хосте, к которому нужно иметь доступ клиентам VPN?
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 24 2016, в 23:12
Сообщение #4


grammatikführer
Иконка группы

Сообщений: 12071

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Или на каждом, или на шлюзе по умолчанию (то есть на Keenetic, если я правильно понимаю).


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик


Спасибо сказали:
Go to the top of the page
 
+Quote Post
ieleja
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 00:22
Сообщение #5


Постоялец
Иконка группы

Сообщений: 150

Вставить имя   :   Цитата

ОС: macOS, Linux, Windows
Город: Рига

Группа: Участники

Код
route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.34


--------------------
ad infinitum


Спасибо сказали:
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 02:38
Сообщение #6


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
Bizdelnick, стыдно за вопрос, но какой шлюз у клиента VPN в моей конфигурации?

Если я правильно понял, то 192.168.1.34, то есть VPN-сервер:
Код
C:\Windows\system32>route PRINT
===========================================================================
Список интерфейсов
14...00 ff 5f 27 f7 0f ......TAP-Windows Adapter V9
12...14 cc 20 12 87 d8 ......TP-LINK Wireless USB Adapter
11...48 5b 39 ae 4e a0 ......Сетевая карта Realtek RTL8102E/RTL8103E Family PCI
-E Fast Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     25
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.9    276
         10.8.0.0    255.255.255.0     192.168.1.34         10.8.0.9     21
         10.8.0.1  255.255.255.255        10.8.0.10         10.8.0.9     21
         10.8.0.8  255.255.255.252         On-link          10.8.0.9    276
         10.8.0.9  255.255.255.255         On-link          10.8.0.9    276
        10.8.0.11  255.255.255.255         On-link          10.8.0.9    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.104    281
    192.168.0.104  255.255.255.255         On-link     192.168.0.104    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.104    281
      192.168.1.0    255.255.255.0        10.8.0.10         10.8.0.9     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.104    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.9    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.104    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.9    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0         10.8.0.5  По умолчанию
         10.8.0.0    255.255.255.0     192.168.1.34       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
12    281 fe80::/64                On-link
12    281 fe80::2dca:6d8c:ea53:eb67/128
                                    On-link
  1    306 ff00::/8                 On-link
12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует


Попробовал включить перенаправление трафика с 10.8.0.0 на 192.168.1.34 на Zyxel Keenetic — без изменений.


ieleja, благодарю,
Код
route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.34

помог.

Но всё же хотелось бы решить проблему на стороне OpenVPN-сервера/шлюза. Буду очень благодарен, если подскажете, как.
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 03:10
Сообщение #7


grammatikführer
Иконка группы

Сообщений: 12071

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Цитата(vkapas @ 25th December 2016 - в 02:38) *
Попробовал включить перенаправление трафика с 10.8.0.0 на 192.168.1.34 на Zyxel Keenetic — без изменений.

Вам нужно не перенаправление трафика, а маршрут прописать. Машина получает ICMP echo-запрос и шлёт ответ либо по известному ей маршруту, либо, если такового нет, на шлюз по умолчанию (кинетик). Кинетик пересылает пакет точно так же, но для него шлюзом по умолчанию будет уже, видимо, провайдерский, который точно ничего про Ваш VPN не знает. Значит либо маршрут должен быть прописан на всех машинах локалки (например через DHCP, чтобы вручную этого не делать), либо на отдельно взятом кинетике (в таком случае путь пакета удлинится на один хоп, но если кинетик не перегружен — вряд ли это критично).


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик


Спасибо сказали:
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 17:52
Сообщение #8


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
Спасибо, что уделили время на разжёвывание, вчера даже написал и уже собирался отправлять сообщение, что всё ок (добавление маршрута 10.8.0.0/24 via 192.168.1.34 на роутере решило проблему, да), но уже через пару часов, ВНЕЗАПНО, сначала перестал пинговаться нужный мне хост в сети центрального офиса, а затем и сервер с клиентом перестали видеть друг друга.

За эти пару часов я немного правил конфиг openvpn и роутера, т.к. пинг на хост шёл с секундным обрывом («превышено время ожидания») чётко каждые ~20 секунд. Сейчас я вернул все конфиги в тот вид, в котором они были на момент, когда всё заработало, но — ни с клиента на сервер, ни с сервера на клиент, ни вообще в любую сторону через VPN — пинг теперь не проходит.

Не подскажете, куда копать, как диагностировать проблему?

Сам грешил на Йоту, через которую приходит интернет в центральном офисе (порой бывают лаги), но уже несколько раз перезагружал её модем вместе с роутером — результата нет. Что ещё могло повлиять на доставку пинга, даже и не представляю.
Go to the top of the page
 
+Quote Post
ieleja
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 18:31
Сообщение #9


Постоялец
Иконка группы

Сообщений: 150

Вставить имя   :   Цитата

ОС: macOS, Linux, Windows
Город: Рига

Группа: Участники

иногда видел, что Windows GUI клиент со временем начал работать с ошибками - перезапуск сервиса (или Windows) помогает
какие то адреса не поменялись?
в Windows менять 'route' может только администраторы

клиент делает 'connect' успешно и

ping 192.168.1.34
ping 10.8.0.1

непроходит?

как выглядит

ifconfig/ipconfig /all

route/route print


--------------------
ad infinitum
Go to the top of the page
 
+Quote Post
s.xbatob
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 21:11
Сообщение #10


Бывалый
Иконка группы

Сообщений: 337

Вставить имя   :   Цитата

ОС: RfRemix
Город: Санкт-Петербург

Группа: Участники

NAT с UDP не дружит. Попробуйте переехать на транспорт TCP. Нам это помогло.

Ещё не экспортируйте на клиенты, работающие под windows, маршруты в их собственные локальные сети - они от этого дуреют.
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 25 2016, в 21:58
Сообщение #11


grammatikführer
Иконка группы

Сообщений: 12071

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Цитата(s.xbatob @ 25th December 2016 - в 21:11) *
NAT с UDP не дружит.

Вы сегодня прям жжоте. Не, я верю, что Вы могли сталкиваться с какой-то кривой реализацией NAT, но такой глобальный вывод совершенно напрасен.


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 00:05
Сообщение #12


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
Цитата(ieleja @ Dec 25 2016, в 18:31) *
иногда видел, что Windows GUI клиент со временем начал работать с ошибками - перезапуск сервиса (или Windows) помогает
какие то адреса не поменялись?


Да, и VPN переподключал и Windows уже перезагружал. Да и службу openvpn перезапускал уже не раз.
Адреса, нет, в конфигах нигде не менял.

Цитата(ieleja @ Dec 25 2016, в 18:31) *
клиент делает 'connect' успешно и

ping 192.168.1.34
ping 10.8.0.1

непроходит?


С клиента, да, ни 10.8.0.1 ни 192.168.1.34 не пингуются (а также ни роутер ни остальные хосты за VPN-сервером). То есть когда я написал первое сообщение в этой теме, пинговался хотя бы VPN-сервер, а со вчерашней ночи не пингуется даже он.

И со стороны роутера уже удалял/пересоздавал маршрут и разрешение на внутрисетевой ICMP-трафик — всё тщетно. Если что, сейчас настройки Zyxel Keenetic выглядят так:



Цитата(ieleja @ Dec 25 2016, в 18:31) *
как выглядит

ifconfig/ipconfig /all

route/route print


На клиенте:

Код
C:\Users\user>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : PC
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Смешанный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Trend:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-5F-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.8.0.9(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 25 декабря 2016 г. 23:34:16
   Срок аренды истекает. . . . . . . . . . : 25 декабря 2017 г. 23:34:15
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.8.0.10
   Основной WINS-сервер. . . . . . . : 192.168.1.34
   NetBios через TCP/IP. . . . . . . . : Включен

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TP-LINK Wireless USB Adapter
   Физический адрес. . . . . . . . . : 14-CC-20-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::2dca:6d8c:ea53:....%12(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.104(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 25 декабря 2016 г. 23:34:11
   Срок аренды истекает. . . . . . . . . . : 26 декабря 2016 г. 23:34:10
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DHCP-сервер. . . . . . . . . . . : 192.168.0.1
   IAID DHCPv6 . . . . . . . . . . . : 303352864
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1F-60-92-26-48-5B-39-AE-4E-A

   DNS-серверы. . . . . . . . . . . : 192.168.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8102E/RTL8103E
amily PCI-E Fast Ethernet NIC (NDIS 6.20)
   Физический адрес. . . . . . . . . : 48-5B-39-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{033AF977-D3F7-4600-8398-091E760A4B2B}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{5F27F70F-23EA-491E-B22C-433656F7102E}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да


Код
C:\Users\user>route print
===========================================================================
Список интерфейсов
14...00 ff 5f .. .. .. ......TAP-Windows Adapter V9
12...14 cc 20 .. .. .. ......TP-LINK Wireless USB Adapter
11...48 5b 39 .. .. .. ......Сетевая карта Realtek RTL8102E/RTL8103E Family PCI
-E Fast Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     25
         10.8.0.1  255.255.255.255        10.8.0.10         10.8.0.9     21
         10.8.0.8  255.255.255.252         On-link          10.8.0.9    276
         10.8.0.9  255.255.255.255         On-link          10.8.0.9    276
        10.8.0.11  255.255.255.255         On-link          10.8.0.9    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.104    281
    192.168.0.104  255.255.255.255         On-link     192.168.0.104    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.104    281
      192.168.1.0    255.255.255.0        10.8.0.10         10.8.0.9     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.9    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.104    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.9    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.104    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
12    281 fe80::/64                On-link
12    281 fe80::2dca:6d8c:ea53:..../128
                                    On-link
  1    306 ff00::/8                 On-link
12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует


На сервере:

Код
user@server:~$ ifconfig
lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:163446655 errors:0 dropped:0 overruns:0 frame:0
          TX packets:163446655 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:12387117998 (12.3 GB)  TX bytes:12387117998 (12.3 GB)

p17p1     Link encap:Ethernet  HWaddr bc:5f:f4:..:..:..  
          inet addr:192.168.1.34  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::be5f:f4ff:fefd:..../64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:33607224 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40977615 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:16795945361 (16.7 GB)  TX bytes:40766418036 (40.7 GB)
          Interrupt:16

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:129 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:11016 (11.0 KB)  TX bytes:0 (0.0 B)

zt0       Link encap:Ethernet  HWaddr fe:68:aa:..:..:..  
          inet addr:192.168.192.2  Bcast:192.168.192.255  Mask:255.255.255.0
          inet6 addr: fe80::fc68:aaff:fec2:..../64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:2800  Metric:1
          RX packets:124917 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31573 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:17500672 (17.5 MB)  TX bytes:42434313 (42.4 MB)


Код
user@server:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         server          0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        server          255.255.255.0   UG    0      0        0 p17p1
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     server          255.255.255.0   UG    0      0        0 p17p1
192.168.1.0     *               255.255.255.0   U     0      0        0 p17p1
192.168.192.0   *               255.255.255.0   U     0      0        0 zt0
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 00:41
Сообщение #13


grammatikführer
Иконка группы

Сообщений: 12071

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Как Вы могли заметить, пинги — такая штука, которая может теряться в любом месте и на прямом, и на обратном пути. Так что берите в руки сниффер и смотрите, докуда они реально доходят.

P. S. почему ifconfig/route не подходят для диагностики в gnu/linux?


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик
Go to the top of the page
 
+Quote Post
ieleja
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 00:56
Сообщение #14


Постоялец
Иконка группы

Сообщений: 150

Вставить имя   :   Цитата

ОС: macOS, Linux, Windows
Город: Рига

Группа: Участники

а что с 'IP forwarding' на 192.168.1.34?

https://linuxconfig.org/how-to-turn-on-off-...arding-in-linux


--------------------
ad infinitum


Спасибо сказали:
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 01:01
Сообщение #15


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
s.xbatob, спасибо за совет. К сожалению, TCP-протокол ничего не изменил. Хосты также не видят друг друга.
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 01:08
Сообщение #16


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
Цитата(ieleja @ Dec 26 2016, в 00:56) *
а что с 'IP forwarding' на 192.168.1.34?

Везде единички.
Включил его в /etc/sysctl.conf ещё при первой настройке OpenVPN.
Go to the top of the page
 
+Quote Post
vkapas
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 02:13
Сообщение #17


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: Ubuntu 14.04
Город: СПб

Группа: Участники

Автор темы
В общем. Перезагрузил я VPN-сервер и вот что увидел.

До перезагрузки:
Код
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        192.168.1.1     255.255.255.0   UG    0      0        0 p17p1
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     192.168.1.1     255.255.255.0   UG    0      0        0 p17p1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 p17p1
192.168.192.0   0.0.0.0         255.255.255.0   U     0      0        0 zt0


После:
Код
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 p17p1
192.168.192.0   0.0.0.0         255.255.255.0   U     0      0        0 zt0


Нетрудно заметить, что после ребута маршруты
10.8.0.0/24 via 192.168.1.1 и 192.168.0.0/24 via 192.168.1.1 поменялись на
10.8.0.0/24 via 10.8.0.2 и 192.168.0.0/24 via 10.8.0.2, соответственно.
Самое главное — после этого пинг в обе стороны заработал без проблем.

Не буду делать вид, что я понял,
  • почему маршруты поменялись только после перезагрузки (=перезапуска сетевых интерфейсов. Перезагрузка роутера ничего не могла изменить? Или нужно было также ребутить коммутатор, который между VPN-сервером и роутером?),
  • почему поменялись интерфейсы (?) маршрутов,
  • а также почему шлюз 0.2, а не 0.1.

Поэтому буду отдельно благодарен за ссылки по теме или краткий ликбез.
Go to the top of the page
 
+Quote Post
s.xbatob
bookmark
gyfbbdvkffmrljmmmwd
Dec 26 2016, в 09:22
Сообщение #18


Бывалый
Иконка группы

Сообщений: 337

Вставить имя   :   Цитата

ОС: RfRemix
Город: Санкт-Петербург

Группа: Участники

Цитата(Bizdelnick @ Dec 25 2016, в 21:58) *
Цитата(s.xbatob @ 25th December 2016 - в 21:11) *
NAT с UDP не дружит.

Вы сегодня прям жжоте. Не, я верю, что Вы могли сталкиваться с какой-то кривой реализацией NAT, но такой глобальный вывод совершенно напрасен.

Это не кривая реализация, а особенность трекинга соединений udp, которых на самом деле нет, и компоненте приходится их угадывать. А ещё и вычищать по неактивности.
Go to the top of the page
 
+Quote Post

 Reply to this topic Start new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 21st January 2017 - в 20:25




Rating@Mail.ru