Маршрутизация OpenVPN не проходит в одну сторону

0

1

Добрый день! Прошу помощи в вопросе маршрутизации VPN и LAN =( Дано: GateWay0 (Имеет белый IP) LAN: 192.168.0.254 сеть за ним 0.0/24 VPN: 10.10.1.1 микротик (имеет белый IP) и 2 атски: 0.221, 0.222, 0.223 соответственно

GateWay1 LAN: 192.168.35.254 сеть за ним 35.0/24 VPN: 10.10.1.20

Настроил OpenVPN между гейтами и столкнулся с ситуацией: Если машинам указать соответствующие шлюзы изподсетей - станции за гейтами друг-друга прекрасно видят. Но у микротика шлюз по умолчанию провайдерский, а у атсок - шлюз микротик. Соответственно указать шлюзом гейт 0.254 не удается. Отсюда получается такая ситуация, что микротик и атски видят шлюз 35.254 и станции за ним, а вот обратный маршрут не работает! Так же если в качестве шлюза любой станции из 0.0/24 подсети указать любой другой, кроме 0.254 и прописать на станции жесткий маршрут, чтобы для 35.0/24 подсети шли через 0.254 так же в одну сторону маршрут проходит, в обратную нет.

traceroute 192.168.0.221 со шлюза 192.168.35.254 сообщает, что хоп проходит только до тунельного адреса 0.254 шлюза (10.10.1.1), далее теряется.

Как построить грамотный маршрут?

пробовал: route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.254 маршрут добавляется, но пинг с 35.254 на 0.221 не идет.

Таблицы маршрутизации:

GW0

0.0.0.0 white IP UG 0 0 0 eth0

10.10.1.0 10.10.1.2 255.255.255.0 UG 0 0 0 tun0

10.10.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

192.168.35.0 10.10.1.2 255.255.255.0 UG 0 0 0 tun0

whitw IP 0.0.0.0 255.255.255.248 U 0 0 0 eth0

------------------------------------------------------

GW1

0.0.0.0 white IP 0.0.0.0 UG 0 0 0 eth0

10.10.1.0 10.10.1.21 255.255.255.0 UG 0 0 0 tun0

10.10.1.21 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

white IP 0.0.0.0 255.255.255.252 U 0 0 0 eth0

192.168.0.0 192.168.0.254 255.255.255.0 UG 0 0 0 tun0

192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0

192.168.0.0 10.10.1.21 255.255.255.0 UG 0 0 0 tun0

192.168.0.202 192.168.35.254 255.255.255.255 UGH 0 0 0 eth1

192.168.35.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Общая структура: https://cloud.mail.ru/public/Kg2m/5GMSppkDc

Ссылка

←	LXC создать конейнер из снапшота в tar.gz

Postfix письма застревают в очереди, trace service failed

→

Вот честно, ничего не понял. Хоть бы сообщение как-то понятнее оформили, вот например микротик он кто и где вообще?

anc ★★★★★
(04.03.16 14:03:34 MSK)

Ответ на: комментарий от anc 04.03.16 14:03:34 MSK

Хотел картинку со структурой прикрепить: https://cloud.mail.ru/public/Kg2m/5GMSppkDc

Микротик - доп. шлюз с внешним IP для атскок. Имеет локальный адрес 192.168.0.221 Вот этот микротик может пинговать сеть за шлюзом 192.168.35.254 а вот хосты сети 192.168.35.0/24 не могут достучаться до микротика.

AndrewK990
(04.03.16 14:32:36 MSK) автор топика

Ответ на: комментарий от AndrewK990 04.03.16 14:32:36 MSK

Вот этот микротик может пинговать сеть за шлюзом 192.168.35.254 а вот хосты сети 192.168.35.0/24 не могут достучаться до микротика.

А вот это странно.

Одно из решений, на микротике прописать маршрут до 35.0 через 0.254

anc ★★★★★
(04.03.16 14:50:46 MSK)

Ответ на: комментарий от anc 04.03.16 14:50:46 MSK

Такой маршрут на микротике уже есть. =( Вообще когда настраивал впн, где то вычитал, чтобы хосты шлюза 1 видели хост шлюза 2 им нужно прописать соответствующие шлюзы их подсети. Так если хостам 192.168.0.254 жестко прописать шлюз 192.168.0.254 то хосты из 35.0/24 подсети их видят, если хостам 0.0/24 не указывать шлюз, или указать другой (у нас их 2 (192.168.0.1, 192.168.0.254)), то 35.0/24 подсеть их теряет...

AndrewK990
(04.03.16 15:24:58 MSK) автор топика

Ответ на: комментарий от AndrewK990 04.03.16 15:24:58 MSK

Я правильно понял, с другими хостами проблем нет. Т.е. из 0.0 пингует 35.0 и наоборот нормально (я именно про клиентские компы) ?

anc ★★★★★
(04.03.16 15:42:16 MSK)

Ответ на: комментарий от anc 04.03.16 15:42:16 MSK

если у хостов указан шлюз 192.168.0.254 - проблем нет =) если указать что-то другое - та же петрушка. Они видят 35.0 подсеть, а подсеть 35.0 их не видит.

AndrewK990
(04.03.16 16:00:21 MSK) автор топика

Ответ на: комментарий от AndrewK990 04.03.16 16:00:21 MSK

Все-таки еще раз посмотрите прописан ли на клиентах отдельно статик роут на сетку 35.0 через шлюз 0.254. И еще что-то мне подсказывает что возможно где-то на шлюзах маскарадятся адреса, поэтому такой эффект.

anc ★★★★★
(04.03.16 16:52:48 MSK)