OpenVPN не пингуются сети за тунелем

[lone_wolf]

Доброго времени суток, понадобилось настроить vpn site to site, собственно настроил openvpn туннель поднимается, концы туннеля пингуются.
Но вот хосты из локальной сети сервера и клиента не пингуются между собой.
Собственно вот так выглядит сеть:


На OpenVPN Server и OpenVPN Client разрешён форвардинг между интерфейсами:

Shell

[root@vpn ~]# cat /etc/sysctl.conf
net.ipv4.ip_forward = 1

На Шлюзе настроен проброс порта на OpenVPN Server.

OpenVPN Server Config:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/ovpns.crt
key keys/ovpns.key
dh keys/dh.pem
tls-auth keys/ta.key 0

server 172.16.10.0 255.255.255.0
route 192.168.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
client-config-dir /etc/openvpn/ccd

keepalive 10 120

comp-lzo
cipher AES-256-GCM

tun-mtu 1500
mssfix 1450

persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

[root@ovpns ~]# cat /etc/openvpn/ccd/client
iroute 192.168.10.0 255.255.255.0

Таблица маршрутизации openvpn server

[root@ovpns ~]

OpenVPN Client Config:

dev tun
proto udp
remote 1.2.3.4 1194
client
resolv-retry infinite

ca keys/ca.crt
cert keys/client.crt
key keys/client.key
dh keys/dh.pem
tls-client
tls-auth keys/ta.key 1

persist-key
persist-tun

comp-lzo
cipher AES-256-GCM

tun-mtu 1500
mssfix 1450

keepalive 10 120
verb 3
status /var/log/openvpn/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn/openvpn-client.log

Таблица маршрутизации openvpn client

Пинг работает с локального ip openvpn client (192.168.10.254) на ip openvpn server (192.168.1.25) и наоборот.
Ну и конечно же по ip туннеля пингуется, в обе стороны.
А вот если с 192.168.10.0/24 попробовать пропинговать 192.168.1.0/24 и наоборот то пинг не проходит.
Подскажите пожалуйста как решить данную проблему.

[Bizdelnick]

Как маршрутизируются пакеты от машин 192.168.1.0/24 к 192.168.10.0/24? Или на каждой должен быть прописан маршрут через openvpn server, или на шлюзе.

[lone_wolf]

Как маршрутизируются пакеты от машин 192.168.1.0/24 к 192.168.1.0/24? Или на каждой должен быть прописан маршрут через openvpn server, или на шлюзе.

Если мне не изменяет склероз, то между хостами в одной сети, шлюз не используется же.

[Bizdelnick]

между хостами в одной сети, шлюз не используется же.

Очепятался, 0 пропустил. От 192.168.1.0/24 к 192.168.10.0/24.

[s.xbatob]

Если мне не изменяет склероз, то между хостами в одной сети, шлюз не используется же.

Но у вас их три! А если виртуальные машины в собственной сети, то вообще 4

[lone_wolf]

Если мне не изменяет склероз, то между хостами в одной сети, шлюз не используется же.

Но у вас их три! А если виртуальные машины в собственной сети, то вообще 4

Виртуалки и openvpn client в одной сети. Да подсетей несколько, и да я упираюсь получается в Шлюз и на нем всё обрывается.
В общем я понял, я накосячил с маршрутами. Ну как доберусь физически до железа, поковыряюсь с маршрутами, и тогда отпишусь получилось у меня решить вопрос или нет.
Спасибо

[lone_wolf]

между хостами в одной сети, шлюз не используется же.

Очепятался, 0 пропустил. От 192.168.1.0/24 к 192.168.10.0/24.

Да там через получается 2 железки идет маршрут, и на второй обрывается ибо не понимает как попасть в 10 сеть. Буду физически возле железок подправлю.

[lone_wolf]

В общем добрался до железки, поковырялся удалось добиться следующего:
С локальной сети за vpn сервером, локальная сеть за vpn клиентом пингуется.
А вот обратно с локальной сети vpn клиента в локальную сеть за сервером пинги не приходят. Хотя локальный ip сервера с локалки клиента пингуется.
Пробовал tracerout-ом посмотреть где останавливается, вижу туннельный ip сервера, и всё дальше ответа нет.

З.ы. С локальной сети клиента я пингую хосты которые находятся в той же сети что и сервер, который отвечает на пинг своим локальным ip

[Bizdelnick]

С локальной сети за vpn сервером, локальная сеть за vpn клиентом пингуется.
А вот обратно с локальной сети vpn клиента в локальную сеть за сервером пинги не приходят.

Так не бывает, если только где-то файрвол не режет входящие ICMP echo запросы.

[lone_wolf]

Так не бывает, если только где-то файрвол не режет входящие ICMP echo запросы.

Согласен, в том то и загадка, так как на самом сервере vpn, файрвол отключен. И если пинговать с самого сервера vpn хосты, которые я пытаюсь пингануть с сети vpn клиента, то пинги ходят.

[lone_wolf]

Разобрался, надо было просто маскарадинг включить

[Bizdelnick]

Зачем там маскарадинг-то? И без него должно работать.

[lone_wolf]

Зачем там маскарадинг-то? И без него должно работать.

Вот ради интереса отключал маскарадинг, и пинги переставали ходить (как и доступ к виндовой smb шаре). Возвращаю и всё ОК становится. Смотрел несколько манов в сети, и практически все настраивают маскарадинг.

[Bizdelnick]

Вот ради интереса отключал маскарадинг, и пинги переставали ходить (как и доступ к виндовой smb шаре).

Это значит, что где-то недонастроены маршруты.

Смотрел несколько манов в сети, и практически все настраивают маскарадинг.

А я совсем перестал понимать, чего Вы пытались добиться. Хотели, чтобы пинги в обе стороны работали, но с маскарадингом они по определению только в одну могут.

[lone_wolf]

А я совсем перестал понимать, чего Вы пытались добиться. Хотели, чтобы пинги в обе стороны работали, но с маскарадингом они по определению только в одну могут.

Маскарадинг настраивается с обоих концов. Я хотел чтоб был доступ с одной сети в другую и обратно. Что я и получил в итоге.
Если убрать маскарадинг то пинги ходят только с локалки сервера в локалку клиента, а вот с локалки клиента локалка сервера не пингуется.
Ну вот я уже и не знаю какой есче нужен маршрут когда я с сети клиента пингую сеть сервера и пакет приходит на тунельный ip сервера и всё останавливается, при условии что локальный ip сервера пингуется, а я и пытаюсь пингануть хост из этой же сети.
Что было понятней, допустим::
192.168.1.0/24 -это локальная сеть со стороны сервера (ip сервера 192.168.1.1)
192.168.2.0/24 -это локальная сеть со стороны клиента (ip клиента 192.168.2.1)
172.16.100.0/24 - это сеть для туннеля. (ip со стороны сервера 172.16.100.1 ip со стороны клиента 172,16.100.2)
192.168.1.254 - это шлюз в серверной сети
192.168.2.254 - это шлюз в клиетнской сети
Так вот вот так пинги без маскарадинга ходят:
192.168.1.10 --> 192.168.2.5
А вот так нет:
192.168.2.5 --> 192.168.1.10

При попытке traceroute послать запрос на 192.168.1.10 всё заканчивается на 172.16.100.1
Запрос уходит на шлюз 192.168.2.254 оттуда уходит в туннель и приходит на 172.16.100.1 и всё.