Не проходит ping от клиентов в сеть за OpenVPN-сервером ((при подключении по PPTP проходит))

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 24.12.2016 22:32

Устройство сети:
Центральный офис выходит в интернет через Zyxel Keenetic, к которому подключён D-link DES-1100-16, к которому уже подключён OpenVPN-сервер на Ubuntu 14.04.
Сеть, в которой находится сервер — 192.168.1.0/24, сеть OpenVPN — 10.8.0.0/24.

Конфигурация сервера /etc/openvpn/server.conf:

Код: Выделить всё

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
push "dhcp-option WINS 192.168.1.34"
push "dhcp-option NBT 4"
keepalive 10 120
tls-auth easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
verb 6
mute 5


А также дополнительный конфиг для клиента в /etc/openvpn/ccd/pc:

Код: Выделить всё

ifconfig-push 10.8.0.9 10.8.0.10
iroute 192.168.0.0 255.255.255.0


Удалённый клиент, Windows 7, находится в сети 192.168.0.0/24 и после подключения к OpenVPN-серверу может пинговать только сервер (192.168.1.34); другие же хосты локальной сети севера или, например, роутер, клиент пинговать не может. Пинг с сервера на клиент и обратно идёт без проблем.

Конфигурация клиента:

Код: Выделить всё

dev tun
proto udp
port 1194
remote 11.22.33.44
tls-client
remote-cert-tls server
route-method exe
route-delay 10
pull
ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\keys\\pc.crt"
key "C:\\Program Files\\OpenVPN\\keys\\pc.key"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 1
cipher AES-128-CBC
comp-lzo
keepalive 5 60
verb 6
status "C:\\Program Files\\OpenVPN\\log\\openvupn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"


Причём при подключении с этого же клиента к этому же серверу по PPTP (использовалось ранее вместо OpenVPN) все хосты сети центрального офиса пингуются без проблем.

В чём может быть проблема?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13494
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение Bizdelnick » 24.12.2016 22:45

А эти хосты, которые Вы пытаетесь пинговать, знают, куда слать ответ? Маршрут 10.8.0.0/24 via 192.168.1.34 на них прописан?
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 24.12.2016 22:59

Bizdelnick, поясните, пжста — такой маршрут нужно прописывать на каждом хосте, к которому нужно иметь доступ клиентам VPN?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13494
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение Bizdelnick » 24.12.2016 23:12

Или на каждом, или на шлюзе по умолчанию (то есть на Keenetic, если я правильно понимаю).
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
ieleja
Сообщения: 298
ОС: Debian 9, macOS, Windows

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение ieleja » 25.12.2016 00:22

Код: Выделить всё

route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.34
ad infinitum
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 25.12.2016 02:38

Bizdelnick, стыдно за вопрос, но какой шлюз у клиента VPN в моей конфигурации?

Если я правильно понял, то 192.168.1.34, то есть VPN-сервер:

Код: Выделить всё

C:\Windows\system32>route PRINT
===========================================================================
Список интерфейсов
 14...00 ff 5f 27 f7 0f ......TAP-Windows Adapter V9
 12...14 cc 20 12 87 d8 ......TP-LINK Wireless USB Adapter
 11...48 5b 39 ae 4e a0 ......Сетевая карта Realtek RTL8102E/RTL8103E Family PCI
-E Fast Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     25
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.9    276
         10.8.0.0    255.255.255.0     192.168.1.34         10.8.0.9     21
         10.8.0.1  255.255.255.255        10.8.0.10         10.8.0.9     21
         10.8.0.8  255.255.255.252         On-link          10.8.0.9    276
         10.8.0.9  255.255.255.255         On-link          10.8.0.9    276
        10.8.0.11  255.255.255.255         On-link          10.8.0.9    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.104    281
    192.168.0.104  255.255.255.255         On-link     192.168.0.104    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.104    281
      192.168.1.0    255.255.255.0        10.8.0.10         10.8.0.9     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.104    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.9    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.104    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.9    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0         10.8.0.5  По умолчанию
         10.8.0.0    255.255.255.0     192.168.1.34       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 12    281 fe80::/64                On-link
 12    281 fe80::2dca:6d8c:ea53:eb67/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует


Попробовал включить перенаправление трафика с 10.8.0.0 на 192.168.1.34 на Zyxel Keenetic — без изменений.


ieleja, благодарю,

Код: Выделить всё

route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.34

помог.

Но всё же хотелось бы решить проблему на стороне OpenVPN-сервера/шлюза. Буду очень благодарен, если подскажете, как.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13494
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение Bizdelnick » 25.12.2016 03:10

vkapas писал(а):
25.12.2016 02:38
Попробовал включить перенаправление трафика с 10.8.0.0 на 192.168.1.34 на Zyxel Keenetic — без изменений.

Вам нужно не перенаправление трафика, а маршрут прописать. Машина получает ICMP echo-запрос и шлёт ответ либо по известному ей маршруту, либо, если такового нет, на шлюз по умолчанию (кинетик). Кинетик пересылает пакет точно так же, но для него шлюзом по умолчанию будет уже, видимо, провайдерский, который точно ничего про Ваш VPN не знает. Значит либо маршрут должен быть прописан на всех машинах локалки (например через DHCP, чтобы вручную этого не делать), либо на отдельно взятом кинетике (в таком случае путь пакета удлинится на один хоп, но если кинетик не перегружен — вряд ли это критично).
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 25.12.2016 17:52

Спасибо, что уделили время на разжёвывание, вчера даже написал и уже собирался отправлять сообщение, что всё ок (добавление маршрута 10.8.0.0/24 via 192.168.1.34 на роутере решило проблему, да), но уже через пару часов, ВНЕЗАПНО, сначала перестал пинговаться нужный мне хост в сети центрального офиса, а затем и сервер с клиентом перестали видеть друг друга.

За эти пару часов я немного правил конфиг openvpn и роутера, т.к. пинг на хост шёл с секундным обрывом («превышено время ожидания») чётко каждые ~20 секунд. Сейчас я вернул все конфиги в тот вид, в котором они были на момент, когда всё заработало, но — ни с клиента на сервер, ни с сервера на клиент, ни вообще в любую сторону через VPN — пинг теперь не проходит.

Не подскажете, куда копать, как диагностировать проблему?

Сам грешил на Йоту, через которую приходит интернет в центральном офисе (порой бывают лаги), но уже несколько раз перезагружал её модем вместе с роутером — результата нет. Что ещё могло повлиять на доставку пинга, даже и не представляю.
Спасибо сказали:

Аватара пользователя
ieleja
Сообщения: 298
ОС: Debian 9, macOS, Windows

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение ieleja » 25.12.2016 18:31

иногда видел, что Windows GUI клиент со временем начал работать с ошибками - перезапуск сервиса (или Windows) помогает
какие то адреса не поменялись?
в Windows менять 'route' может только администраторы

клиент делает 'connect' успешно и

ping 192.168.1.34
ping 10.8.0.1

непроходит?

как выглядит

ifconfig/ipconfig /all

route/route print
ad infinitum
Спасибо сказали:

Аватара пользователя
s.xbatob
Сообщения: 467
ОС: RfRemix

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение s.xbatob » 25.12.2016 21:11

NAT с UDP не дружит. Попробуйте переехать на транспорт TCP. Нам это помогло.

Ещё не экспортируйте на клиенты, работающие под windows, маршруты в их собственные локальные сети - они от этого дуреют.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13494
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение Bizdelnick » 25.12.2016 21:58

s.xbatob писал(а):
25.12.2016 21:11
NAT с UDP не дружит.

Вы сегодня прям жжоте. Не, я верю, что Вы могли сталкиваться с какой-то кривой реализацией NAT, но такой глобальный вывод совершенно напрасен.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 26.12.2016 00:05

ieleja писал(а):
25.12.2016 18:31
иногда видел, что Windows GUI клиент со временем начал работать с ошибками - перезапуск сервиса (или Windows) помогает
какие то адреса не поменялись?


Да, и VPN переподключал и Windows уже перезагружал. Да и службу openvpn перезапускал уже не раз.
Адреса, нет, в конфигах нигде не менял.

ieleja писал(а):
25.12.2016 18:31
клиент делает 'connect' успешно и

ping 192.168.1.34
ping 10.8.0.1

непроходит?


С клиента, да, ни 10.8.0.1 ни 192.168.1.34 не пингуются (а также ни роутер ни остальные хосты за VPN-сервером). То есть когда я написал первое сообщение в этой теме, пинговался хотя бы VPN-сервер, а со вчерашней ночи не пингуется даже он.

И со стороны роутера уже удалял/пересоздавал маршрут и разрешение на внутрисетевой ICMP-трафик — всё тщетно. Если что, сейчас настройки Zyxel Keenetic выглядят так:
Изображение
Изображение

ieleja писал(а):
25.12.2016 18:31
как выглядит

ifconfig/ipconfig /all

route/route print


На клиенте:

Код: Выделить всё

C:\Users\user>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : PC
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Смешанный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Trend:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-5F-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.8.0.9(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 25 декабря 2016 г. 23:34:16
   Срок аренды истекает. . . . . . . . . . : 25 декабря 2017 г. 23:34:15
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.8.0.10
   Основной WINS-сервер. . . . . . . : 192.168.1.34
   NetBios через TCP/IP. . . . . . . . : Включен

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TP-LINK Wireless USB Adapter
   Физический адрес. . . . . . . . . : 14-CC-20-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::2dca:6d8c:ea53:....%12(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.104(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 25 декабря 2016 г. 23:34:11
   Срок аренды истекает. . . . . . . . . . : 26 декабря 2016 г. 23:34:10
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DHCP-сервер. . . . . . . . . . . : 192.168.0.1
   IAID DHCPv6 . . . . . . . . . . . : 303352864
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1F-60-92-26-48-5B-39-AE-4E-A

   DNS-серверы. . . . . . . . . . . : 192.168.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8102E/RTL8103E
amily PCI-E Fast Ethernet NIC (NDIS 6.20)
   Физический адрес. . . . . . . . . : 48-5B-39-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{033AF977-D3F7-4600-8398-091E760A4B2B}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{5F27F70F-23EA-491E-B22C-433656F7102E}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да


Код: Выделить всё

C:\Users\user>route print
===========================================================================
Список интерфейсов
 14...00 ff 5f .. .. .. ......TAP-Windows Adapter V9
 12...14 cc 20 .. .. .. ......TP-LINK Wireless USB Adapter
 11...48 5b 39 .. .. .. ......Сетевая карта Realtek RTL8102E/RTL8103E Family PCI
-E Fast Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     25
         10.8.0.1  255.255.255.255        10.8.0.10         10.8.0.9     21
         10.8.0.8  255.255.255.252         On-link          10.8.0.9    276
         10.8.0.9  255.255.255.255         On-link          10.8.0.9    276
        10.8.0.11  255.255.255.255         On-link          10.8.0.9    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.104    281
    192.168.0.104  255.255.255.255         On-link     192.168.0.104    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.104    281
      192.168.1.0    255.255.255.0        10.8.0.10         10.8.0.9     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.9    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.104    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.9    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.104    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 12    281 fe80::/64                On-link
 12    281 fe80::2dca:6d8c:ea53:..../128
                                    On-link
  1    306 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует


На сервере:

Код: Выделить всё

user@server:~$ ifconfig
lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:163446655 errors:0 dropped:0 overruns:0 frame:0
          TX packets:163446655 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:12387117998 (12.3 GB)  TX bytes:12387117998 (12.3 GB)

p17p1     Link encap:Ethernet  HWaddr bc:5f:f4:..:..:..
          inet addr:192.168.1.34  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::be5f:f4ff:fefd:..../64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:33607224 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40977615 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:16795945361 (16.7 GB)  TX bytes:40766418036 (40.7 GB)
          Interrupt:16

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:129 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:11016 (11.0 KB)  TX bytes:0 (0.0 B)

zt0       Link encap:Ethernet  HWaddr fe:68:aa:..:..:..
          inet addr:192.168.192.2  Bcast:192.168.192.255  Mask:255.255.255.0
          inet6 addr: fe80::fc68:aaff:fec2:..../64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:2800  Metric:1
          RX packets:124917 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31573 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:17500672 (17.5 MB)  TX bytes:42434313 (42.4 MB)


Код: Выделить всё

user@server:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         server          0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        server          255.255.255.0   UG    0      0        0 p17p1
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     server          255.255.255.0   UG    0      0        0 p17p1
192.168.1.0     *               255.255.255.0   U     0      0        0 p17p1
192.168.192.0   *               255.255.255.0   U     0      0        0 zt0
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13494
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение Bizdelnick » 26.12.2016 00:41

Как Вы могли заметить, пинги — такая штука, которая может теряться в любом месте и на прямом, и на обратном пути. Так что берите в руки сниффер и смотрите, докуда они реально доходят.

P. S. почему ifconfig/route не подходят для диагностики в gnu/linux?
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
ieleja
Сообщения: 298
ОС: Debian 9, macOS, Windows

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение ieleja » 26.12.2016 00:56

а что с 'IP forwarding' на 192.168.1.34?

https://linuxconfig.org/how-to-turn-on-off-...arding-in-linux
ad infinitum
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 26.12.2016 01:01

s.xbatob, спасибо за совет. К сожалению, TCP-протокол ничего не изменил. Хосты также не видят друг друга.
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 26.12.2016 01:08

ieleja писал(а):
26.12.2016 00:56
а что с 'IP forwarding' на 192.168.1.34?

Везде единички.
Включил его в /etc/sysctl.conf ещё при первой настройке OpenVPN.
Спасибо сказали:

vkapas
Сообщения: 185
ОС: Ubuntu 14.04, 16.04

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение vkapas » 26.12.2016 02:13

В общем. Перезагрузил я VPN-сервер и вот что увидел.

До перезагрузки:

Код: Выделить всё

0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        192.168.1.1     255.255.255.0   UG    0      0        0 p17p1
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     192.168.1.1     255.255.255.0   UG    0      0        0 p17p1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 p17p1
192.168.192.0   0.0.0.0         255.255.255.0   U     0      0        0 zt0


После:

Код: Выделить всё

0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 p17p1
192.168.0.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 p17p1
192.168.192.0   0.0.0.0         255.255.255.0   U     0      0        0 zt0


Нетрудно заметить, что после ребута маршруты
10.8.0.0/24 via 192.168.1.1 и 192.168.0.0/24 via 192.168.1.1 поменялись на
10.8.0.0/24 via 10.8.0.2 и 192.168.0.0/24 via 10.8.0.2, соответственно.
Самое главное — после этого пинг в обе стороны заработал без проблем.

Не буду делать вид, что я понял,
  • почему маршруты поменялись только после перезагрузки (=перезапуска сетевых интерфейсов. Перезагрузка роутера ничего не могла изменить? Или нужно было также ребутить коммутатор, который между VPN-сервером и роутером?),
  • почему поменялись интерфейсы (?) маршрутов,
  • а также почему шлюз 0.2, а не 0.1.

Поэтому буду отдельно благодарен за ссылки по теме или краткий ликбез.
Спасибо сказали:

Аватара пользователя
s.xbatob
Сообщения: 467
ОС: RfRemix

Re: Не проходит ping от клиентов в сеть за OpenVPN-сервером

Сообщение s.xbatob » 26.12.2016 09:22

Bizdelnick писал(а):
25.12.2016 21:58
s.xbatob писал(а):
25.12.2016 21:11
NAT с UDP не дружит.

Вы сегодня прям жжоте. Не, я верю, что Вы могли сталкиваться с какой-то кривой реализацией NAT, но такой глобальный вывод совершенно напрасен.

Это не кривая реализация, а особенность трекинга соединений udp, которых на самом деле нет, и компоненте приходится их угадывать. А ещё и вычищать по неактивности.
Спасибо сказали:

Вернуться в «Администрирование для начинающих»