Debian stable. OpenVPN и iptables. Странности.

0

2

Ситуация: есть головной офис и филлиал, соединены между собой по OpenVPN. Маршруты проброшены, на компах всё работает, не работают IP телефоны в филлиале: не видят станцию в головном офисе.
Например с телефонной станции (172.16.0.250) пингую телефон 192.168.170.226 через шлюз головного офиса (172.16.0.253), соединенный по OpenVPN с шлюзом филлиала (192.168.170.250). Вид со стороны станции (172.16.0.250)

1) пинг
#ping 192.168.170.226
PING 192.168.170.226 (192.168.170.226): 56 data bytes
^C
--- 192.168.170.226 ping statistics ---
81 packets transmitted, 0 packets received, 100.0% packet loss

2) трассировка
# traceroute 192.168.170.226
traceroute to 192.168.170.226 (192.168.170.226), 64 hops max, 40 byte packets
 1  172.16.0.253 (172.16.0.253)  0.485 ms  0.240 ms  0.393 ms
 2  10.0.2.56 (10.0.2.56)  4.071 ms  4.221 ms  4.264 ms
 3  * * *
 4  * * *
 5  * * *
^C

Вид на шлюзе головного офиса (172.16.0.253):

1) пинг
#tcpdump -n -i tun1 | grep 172.16.0.250
listening on tun1, link-type RAW (Raw IP), capture size 65535 bytes
12:52:32.654769 IP 172.16.0.250 > 192.168.170.226: ICMP echo request, id 21627, seq 53, length 64
12:52:33.664494 IP 172.16.0.250 > 192.168.170.226: ICMP echo request, id 21627, seq 54, length 64
12:52:34.674144 IP 172.16.0.250 > 192.168.170.226: ICMP echo request, id 21627, seq 55, length 64
...

2) трассировка
# tcpdump -n -i tun1 | grep 172.16.0.250
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun1, link-type RAW (Raw IP), capture size 65535 bytes
14:39:19.088402 IP 172.16.0.250.39731 > 192.168.170.226.33438: UDP, length 12
14:39:19.092221 IP 10.0.2.56 > 172.16.0.250: ICMP time exceeded in-transit, length 48
14:39:19.193979 IP 172.16.0.250.39731 > 192.168.170.226.33439: UDP, length 12
14:39:19.197819 IP 10.0.2.56 > 172.16.0.250: ICMP time exceeded in-transit, length 48
14:39:19.198336 IP 172.16.0.250.39731 > 192.168.170.226.33440: UDP, length 12
14:39:19.202099 IP 10.0.2.56 > 172.16.0.250: ICMP time exceeded in-transit, length 48
14:39:19.202586 IP 172.16.0.250.39731 > 192.168.170.226.33441: UDP, length 12
14:39:24.218813 IP 172.16.0.250.39731 > 192.168.170.226.33442: UDP, length 12
14:39:29.227224 IP 172.16.0.250.39731 > 192.168.170.226.33443: UDP, length 12
14:39:34.235858 IP 172.16.0.250.39731 > 192.168.170.226.33444: UDP, length 12
14:39:39.249780 IP 172.16.0.250.39731 > 192.168.170.226.33445: UDP, length 12
14:39:44.258362 IP 172.16.0.250.39731 > 192.168.170.226.33446: UDP, length 12
14:39:49.266899 IP 172.16.0.250.39731 > 192.168.170.226.33447: UDP, length 12
14:39:54.276259 IP 172.16.0.250.39731 > 192.168.170.226.33448: UDP, length 12
14:39:59.284356 IP 172.16.0.250.39731 > 192.168.170.226.33449: UDP, length 12
14:40:04.293039 IP 172.16.0.250.39731 > 192.168.170.226.33450: UDP, length 12

Вид на шлюзе филлиала (192.168.170.250):

1) Пинг
#tcpdump  | grep 172.16.0.250
12:52:32.659531 IP 172.16.0.250 > 192.168.170.226: ICMP echo request, id 21627, seq 53, length 64
12:52:32.659899 IP 192.168.170.226 > 172.16.0.250: ICMP echo reply, id 21627, seq 53, length 64
12:52:33.669513 IP 172.16.0.250 > 192.168.170.226: ICMP echo request, id 21627, seq 54, length 64
12:52:33.669878 IP 192.168.170.226 > 172.16.0.250: ICMP echo reply, id 21627, seq 54, length 64
12:52:34.679000 IP 172.16.0.250 > 192.168.170.226: ICMP echo request, id 21627, seq 55, length 64
12:52:34.679367 IP 192.168.170.226 > 172.16.0.250: ICMP echo reply, id 21627, seq 55, length 64
...

2) Трассировка
# tcpdump  | grep 172.16.0.250
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:39:19.213393 IP 172.16.0.250.39731 > 192.168.170.226.33441: UDP, length 12
14:39:19.213759 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33441 unreachable, length 48
14:39:24.229546 IP 172.16.0.250.39731 > 192.168.170.226.33442: UDP, length 12
14:39:24.229916 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33442 unreachable, length 48
14:39:29.237954 IP 172.16.0.250.39731 > 192.168.170.226.33443: UDP, length 12
14:39:29.238339 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33443 unreachable, length 48
14:39:34.246625 IP 172.16.0.250.39731 > 192.168.170.226.33444: UDP, length 12
14:39:34.247031 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33444 unreachable, length 48
14:39:39.260536 IP 172.16.0.250.39731 > 192.168.170.226.33445: UDP, length 12
14:39:39.260903 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33445 unreachable, length 48
14:39:44.269294 IP 172.16.0.250.39731 > 192.168.170.226.33446: UDP, length 12
14:39:44.269663 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33446 unreachable, length 48
14:39:49.277696 IP 172.16.0.250.39731 > 192.168.170.226.33447: UDP, length 12
14:39:49.278087 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33447 unreachable, length 48
14:39:54.286966 IP 172.16.0.250.39731 > 192.168.170.226.33448: UDP, length 12
14:39:54.287360 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33448 unreachable, length 48
14:39:59.296265 IP 172.16.0.250.39731 > 192.168.170.226.33449: UDP, length 12
14:39:59.296827 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33449 unreachable, length 48
14:40:04.304005 IP 172.16.0.250.39731 > 192.168.170.226.33450: UDP, length 12
14:40:04.306797 IP 192.168.170.226 > 172.16.0.250: ICMP 192.168.170.226 udp port 33450 unreachable, length 48

Т.е видно, что ответ от телефона приходит а дальше где то теряется... Все правила iptables решил не постить, указанные правила установлены выше всего остального

Головной офис:

# uname -a
Linux name 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64 GNU/Linux

# cat /etc/debian_version
7.4

#iptables -L -v -n
Chain INPUT (policy ACCEPT 1868 packets, 227K bytes)
pkts bytes target     prot opt in     out     source               destination
44218  425M ACCEPT     all  —  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  —  tun0   *       0.0.0.0/0            0.0.0.0/0
  664  339K ACCEPT     all  —  tun1   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 41 packets, 3462 bytes)
pkts bytes target     prot opt in     out     source               destination
  355 29820 ACCEPT     all  —  *      *       172.16.0.250         192.168.170.226
    0     0 ACCEPT     all  —  *      *       192.168.170.226      172.16.0.250
Chain OUTPUT (policy ACCEPT 462K packets, 1050M bytes)

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         <внешний шлюз>  0.0.0.0         UG        0 0          0 eth1
5.5.0.0         0.0.0.0         255.255.252.0   U         0 0          0 as0t0
5.5.4.0         0.0.0.0         255.255.252.0   U         0 0          0 as0t1
5.5.8.0         0.0.0.0         255.255.252.0   U         0 0          0 as0t2
5.5.12.0        0.0.0.0         255.255.252.0   U         0 0          0 as0t3
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 tun1
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 tun0
10.13.10.0      0.0.0.0         255.255.255.0   U         0 0          0 tun0
<внешняя сеть>  0.0.0.0         255.255.255.248 U         0 0          0 eth1
172.16.0.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.170.0   10.0.2.1        255.255.255.0   UG        0 0          0 tun1

# openvpn --version
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 18 2013
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>

  $ ./configure --build=x86_64-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/openvpn --disable-maintainer-mode --disable-dependency-tracking CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security CPPFLAGS=-D_FORTIFY_SOURCE=2 CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security FFLAGS=-g -O2 LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now --enable-password-save --host=x86_64-linux-gnu --build=x86_64-linux-gnu --prefix=/usr --mandir=${prefix}/share/man --with-ifconfig-path=/sbin/ifconfig --with-route-path=/sbin/route

Compile time defines:  ENABLE_CLIENT_SERVER ENABLE_DEBUG ENABLE_EUREPHIA ENABLE_FRAGMENT ENABLE_HTTP_PROXY ENABLE_MANAGEMENT ENABLE_MULTIHOME ENABLE_PASSWORD_SAVE ENABLE_PORT_SHARE ENABLE_SOCKS USE_CRYPTO USE_LIBDL USE_LZO USE_PF_INET6 USE_PKCS11 USE_SSL

Филлиал:

# uname -a
Linux name2 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux

# cat /etc/debian_version
7.4

# iptables -L -v -n
Chain INPUT (policy ACCEPT 23 packets, 1902 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  —  lo     *       0.0.0.0/0            0.0.0.0/0
    1    84 ACCEPT     all  —  tun0   *       0.0.0.0/0            0.0.0.0/0
  592 94678 ACCEPT     all  —  eth0   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   75  6300 ACCEPT     all  —  *      *       172.16.0.250         192.168.170.226
   75  6300 ACCEPT     all  —  *      *       192.168.170.226      172.16.0.250
 2398  374K ACCEPT     all  —  eth0   *       0.0.0.0/0            0.0.0.0/0
 2424  835K ACCEPT     all  —  tun0   *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 158K packets, 39M bytes)

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         <внешний шлюз>  0.0.0.0         UG        0 0          0 eth1
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
172.16.0.0      10.0.2.1        255.255.255.0   UG        0 0          0 tun0
192.168.170.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
<внешняя сеть>  0.0.0.0         255.255.255.248 U         0 0          0 eth1

# iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 29 packets, 5886 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 4 packets, 1341 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1 packets, 76 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 24 packets, 4202 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    76 MASQUERADE  all  —  *      eth1    0.0.0.0/0            0.0.0.0/0

# openvpn --version
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 18 2013
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>

  $ ./configure --build=x86_64-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/openvpn --disable-maintainer-mode --disable-dependency-tracking CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security CPPFLAGS=-D_FORTIFY_SOURCE=2 CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security FFLAGS=-g -O2 LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now --enable-password-save --host=x86_64-linux-gnu --build=x86_64-linux-gnu --prefix=/usr --mandir=${prefix}/share/man --with-ifconfig-path=/sbin/ifconfig --with-route-path=/sbin/route

Compile time defines:  ENABLE_CLIENT_SERVER ENABLE_DEBUG ENABLE_EUREPHIA ENABLE_FRAGMENT ENABLE_HTTP_PROXY ENABLE_MANAGEMENT ENABLE_MULTIHOME ENABLE_PASSWORD_SAVE ENABLE_PORT_SHARE ENABLE_SOCKS USE_CRYPTO USE_LIBDL USE_LZO USE_PF_INET6 USE_PKCS11 USE_SSL

Видно, что пакеты с филлиала вроде как идут (счетчик сработавшего правила увеличивается, но они почему то не доходят до головного офиса. Раньше в этом филлиале стояла другая система - FreeBSD 8.2 версии, на которой все работало но она благополучно скончалась.
Прошу подсказать как можно посмотреть, почему пакеты не доходят или хотя бы с чем это может быть связано, уже всю голову сломал думать...

Ссылка

←	Сборка lustre на debian wheezy

apt и apt-cacher-ng непонятные рандомные зависания

→

Какие внутренние адреса у шлюзов в openvpn-туннеле?

anonymous
(26.02.14 15:23:21 MSK)

Ссылка

lsmod покажите

на тех машинах, которые участвуют в туннеле

pianolender ★★★
(26.02.14 15:39:45 MSK)
Последнее исправление: pianolender 26.02.14 15:40:36 MSK (всего исправлений: 1)

Ответ на: комментарий от pianolender 26.02.14 15:39:45 MSK

Филлиал 10.0.2.56, головной офис 10.0.2.1
Головной офис:

#ifconfig -a
as0t0     Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:5.5.0.1  P-t-P:5.5.0.1  Mask:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:200
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

as0t1     Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:5.5.4.1  P-t-P:5.5.4.1  Mask:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:200
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

as0t2     Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:5.5.8.1  P-t-P:5.5.8.1  Mask:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:200
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

as0t3     Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:5.5.12.1  P-t-P:5.5.12.1  Mask:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:200
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth0      Link encap:Ethernet  HWaddr 00:50:56:88:00:ff
          inet addr:172.16.0.253  Bcast:172.16.0.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fe88:ff/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:418499317 errors:0 dropped:325831 overruns:0 frame:0
          TX packets:591785038 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:258080063577 (240.3 GiB)  TX bytes:608048725845 (566.2 GiB)

eth1      Link encap:Ethernet  HWaddr 00:50:56:88:30:ac
          inet addr:<внешний инет>  Bcast:<внешний инет>  Mask:255.255.255.248
          inet6 addr: fe80::250:56ff:fe88:30ac/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:631540056 errors:0 dropped:324902 overruns:0 frame:0
          TX packets:812995511 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:316366934293 (294.6 GiB)  TX bytes:902096984179 (840.1 GiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:20109165 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20109165 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:65509827901 (61.0 GiB)  TX bytes:65509827901 (61.0 GiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:1.1.1.1  P-t-P:1.1.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING  MTU:1462  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:30 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:3930 (3.8 KiB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.2.1  P-t-P:10.0.2.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2324270 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2460248 errors:0 dropped:35 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:450071718 (429.2 MiB)  TX bytes:773764233 (737.9 MiB)

Филлиал:

# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 8c:89:a5:15:5b:36
          inet addr:192.168.170.250  Bcast:192.168.170.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:623222 errors:1 dropped:0 overruns:0 frame:1
          TX packets:638948 errors:0 dropped:0 overruns:0 carrier:9
          collisions:0 txqueuelen:1000
          RX bytes:150061960 (143.1 MiB)  TX bytes:218676880 (208.5 MiB)
          Interrupt:45

eth1      Link encap:Ethernet  HWaddr 00:0d:88:f6:cd:78
          inet addr:<внешний инет>  Bcast:<внешний инет>  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:657198 errors:0 dropped:0 overruns:0 frame:0
          TX packets:630009 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:244528799 (233.2 MiB)  TX bytes:187941357 (179.2 MiB)
          Interrupt:16 Base address:0xe800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:56 errors:0 dropped:0 overruns:0 frame:0
          TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:6272 (6.1 KiB)  TX bytes:6272 (6.1 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.2.56  P-t-P:10.0.2.56  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:598136 errors:0 dropped:0 overruns:0 frame:0
          TX packets:571138 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:180233851 (171.8 MiB)  TX bytes:100320312 (95.6 MiB)

swazd
(26.02.14 15:58:32 MSK) автор топика

Ответ на: комментарий от pianolender 26.02.14 15:39:45 MSK

Головной офис:

# lsmod
Module                  Size  Used by
nfnetlink_log          17212  0
nfnetlink              12906  1 nfnetlink_log
fuse                   62020  0
btrfs                 505636  0
libcrc32c              12426  1 btrfs
ufs                    58774  0
qnx4                   13184  0
hfsplus                71616  0
hfs                    45877  0
minix                  27623  0
ntfs                  163882  0
vfat                   17316  0
msdos                  17077  0
fat                    45642  2 msdos,vfat
jfs                   137196  0
xfs                   590943  0
reiserfs              192132  0
ext3                  162072  0
jbd                    56902  1 ext3
ext2                   59231  0
efivars                17916  0
xt_mark                12453  0
bridge                 70564  0
stp                    12437  1 bridge
vmsync                 12721  0
vsock                  42822  0
tun                    18337  12
xt_policy              12506  0
xt_recent              13188  5
xt_state               12503  7
xt_multiport           12548  4
iptable_filter         12536  1
ipt_MASQUERADE         12594  1
xt_tcpudp              12570  17
iptable_nat            12928  1
nf_nat                 18242  2 iptable_nat,ipt_MASQUERADE
nf_conntrack_ipv4      14078  10 nf_nat,iptable_nat
nf_defrag_ipv4         12483  1 nf_conntrack_ipv4
nf_conntrack           52720  5 nf_conntrack_ipv4,nf_nat,iptable_nat,ipt_MASQUERADE,xt_state
iptable_mangle         12536  1
ip_tables              22042  3 iptable_mangle,iptable_nat,iptable_filter
x_tables               19118  11 ip_tables,iptable_mangle,iptable_nat,xt_tcpudp,ipt_MASQUERADE,iptable_filter,xt_multiport,xt_state,xt_recent,xt_policy,xt_mark
deflate                12551  0
zlib_deflate           25638  2 deflate,btrfs
twofish_generic        16569  0
ctr                    12979  0
twofish_x86_64_3way    25167  0
twofish_x86_64         12541  1 twofish_x86_64_3way
twofish_common         20544  3 twofish_x86_64,twofish_x86_64_3way,twofish_generic
camellia               29068  0
serpent                29015  0
blowfish_generic       12464  0
blowfish_x86_64        21201  0
blowfish_common        16487  2 blowfish_x86_64,blowfish_generic
cast5                  24829  0
cbc                    12754  0
xcbc                   12709  0
rmd160                 16640  0
sha512_generic         12625  0
sha256_generic         16797  0
sha1_ssse3             16983  0
sha1_generic           12582  1 sha1_ssse3
crypto_null            12732  0
af_key                 31759  0
nfsd                  216170  2
nfs                   308313  0
nfs_acl                12511  2 nfs,nfsd
auth_rpcgss            37143  2 nfs,nfsd
lockd                  67306  2 nfs,nfsd
sunrpc                173730  6 lockd,auth_rpcgss,nfs_acl,nfs,nfsd
des_generic            20851  0
ecb                    12737  0
md4                    12529  0
hmac                   12835  1
nls_utf8               12456  1
cifs                  243028  2
fscache                36739  2 cifs,nfs
loop                   22641  0
snd_pcm                68083  0
snd_page_alloc         13003  1 snd_pcm
parport_pc             22364  0
parport                31858  1 parport_pc
vmci                   64947  1 vsock
i2c_piix4              12536  0
vmwgfx                 99436  0
ttm                    53664  1 vmwgfx
processor              28157  0
ac                     12624  0
drm                   183952  2 ttm,vmwgfx
psmouse                69265  0
snd_timer              22917  1 snd_pcm
snd                    52889  2 snd_timer,snd_pcm
soundcore              13065  1 snd
serio_raw              12931  0
i2c_core               23876  2 drm,i2c_piix4
pcspkr                 12579  0
thermal_sys            18040  1 processor
vmw_balloon            12606  0
evdev                  17562  2
coretemp               12898  0
shpchp                 31293  0
power_supply           13475  1 ac
crc32c_intel           12747  1
ghash_clmulni_intel    13173  0
container              12581  0
aesni_intel            50667  0
aes_x86_64             16843  1 aesni_intel
aes_generic            33026  2 aes_x86_64,aesni_intel
cryptd                 14517  2 aesni_intel,ghash_clmulni_intel
button                 12937  0
ext4                  350763  2
crc16                  12343  1 ext4
jbd2                   62115  1 ext4
mbcache                13114  3 ext4,ext2,ext3
dm_mod                 63645  3
vmxnet                 22252  0
vmw_pvscsi             17507  0
vmxnet3                36318  0
sd_mod                 36136  5
crc_t10dif             12348  1 sd_mod
sg                     25874  0
sr_mod                 21899  0
cdrom                  35401  1 sr_mod
mptspi                 18065  3
ata_generic            12479  0
scsi_transport_spi     23870  1 mptspi
floppy                 53087  0
mptscsih               22710  1 mptspi
mptbase                56773  2 mptscsih,mptspi
ata_piix               29535  0
libata                140630  2 ata_piix,ata_generic
e1000                  86156  0
scsi_mod              162269  8 libata,mptscsih,scsi_transport_spi,mptspi,sr_mod,sg,sd_mod,vmw_pvscsi

swazd
(26.02.14 16:01:42 MSK) автор топика

Ссылка

Ответ на: комментарий от pianolender 26.02.14 15:39:45 MSK

Филлиал:

# lsmod
Module                  Size  Used by
nfnetlink_log          17212  0
nfnetlink              12906  1 nfnetlink_log
tun                    18337  2
xt_recent              13188  9
xt_state               12503  11
xt_multiport           12548  1
iptable_filter         12536  1
ipt_MASQUERADE         12594  1
xt_tcpudp              12570  51
iptable_nat            12928  1
nf_nat                 18242  2 iptable_nat,ipt_MASQUERADE
nf_conntrack_ipv4      14078  14 nf_nat,iptable_nat
nf_defrag_ipv4         12483  1 nf_conntrack_ipv4
nf_conntrack           52720  5 nf_conntrack_ipv4,nf_nat,iptable_nat,ipt_MASQUERADE,xt_state
iptable_mangle         12536  0
ip_tables              22042  3 iptable_mangle,iptable_nat,iptable_filter
x_tables               19118  9 ip_tables,iptable_mangle,iptable_nat,xt_tcpudp,ipt_MASQUERADE,iptable_filter,xt_multiport,xt_state,xt_recent
nfsd                  216170  2
nfs                   308313  0
nfs_acl                12511  2 nfs,nfsd
auth_rpcgss            37143  2 nfs,nfsd
fscache                36739  1 nfs
lockd                  67306  2 nfs,nfsd
sunrpc                173730  6 lockd,auth_rpcgss,nfs_acl,nfs,nfsd
loop                   22641  0
i915                  378445  1
iTCO_wdt               17081  0
iTCO_vendor_support    12704  1 iTCO_wdt
video                  17683  1 i915
drm_kms_helper         31370  1 i915
rng_core               12652  0
drm                   183952  2 drm_kms_helper,i915
snd_hda_codec_via      41160  1
parport_pc             22364  0
parport                31858  1 parport_pc
coretemp               12898  0
i2c_algo_bit           12841  1 i915
psmouse                69265  0
snd_hda_intel          26259  0
snd_hda_codec          78031  2 snd_hda_intel,snd_hda_codec_via
snd_hwdep              13186  1 snd_hda_codec
snd_pcm                68083  2 snd_hda_codec,snd_hda_intel
snd_page_alloc         13003  2 snd_pcm,snd_hda_intel
acpi_cpufreq           12935  0
evdev                  17562  2
mperf                  12453  1 acpi_cpufreq
button                 12937  1 i915
i2c_i801               16870  0
processor              28157  1 acpi_cpufreq
i2c_core               23876  5 i2c_i801,i2c_algo_bit,drm,drm_kms_helper,i915
pcspkr                 12579  0
serio_raw              12931  0
snd_timer              22917  1 snd_pcm
snd                    52889  6 snd_timer,snd_pcm,snd_hda_codec,snd_hwdep,snd_hda_intel,snd_hda_codec_via
soundcore              13065  1 snd
thermal_sys            18040  2 processor,video
ext4                  350763  1
crc16                  12343  1 ext4
jbd2                   62115  1 ext4
mbcache                13114  1 ext4
sg                     25874  0
sd_mod                 36136  3
crc_t10dif             12348  1 sd_mod
ata_generic            12479  0
via_rhine              22760  0
mii                    12675  1 via_rhine
ata_piix               29535  2
uhci_hcd               26865  0
libata                140630  2 ata_piix,ata_generic
ehci_hcd               40215  0
scsi_mod              162269  3 libata,sd_mod,sg
atl1c                  32217  0
usbcore               128741  3 ehci_hcd,uhci_hcd
usb_common             12354  1 usbcore

swazd
(26.02.14 16:02:54 MSK) автор топика

сделай рестарт openvpn

uspen ★★★★★
(26.02.14 16:41:14 MSK)

Ответ на: комментарий от swazd 26.02.14 15:58:32 MSK

Почему? 1 - У Вас на tun0 «белый IP» ? 2 - Почему для tun0 addr:1.1.1.1 P-t-P:1.1.1.1 И соответственно для tun1 10.0.2.1 P-t-P:10.0.2.1

anonymous
(26.02.14 16:44:04 MSK)

Ответ на: комментарий от uspen 26.02.14 16:41:14 MSK

после рестарта ровно тоже самое.

swazd
(26.02.14 16:53:20 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 26.02.14 16:44:04 MSK

1) Я хз откуда взялся tun0. В конфиге ничего о нем не сказано, более того, если полностью выключить openvpn (killall), он все равно останется, а tun1 уйдет. 2) Соответственно я не знаю почему tun0 ему присвоился такой адрес.

Буду признателен, если направите откуда он берется и как его убрать.

# cat /etc/openvpn/server.conf
# интерфейс openvpn
dev               tun

#какой адрес и порт слушать
local             <внешний адрес>
port              1194

#по какому протоколу будем работать
proto             udp

# server - задает подсеть для подключенных клиентов.
server            10.0.2.0 255.255.255.0

topology subnet

ifconfig-pool-persist /etc/openvpn/ipp.txt

# какие маршруты пропишем на подсоединившемся клиенте
push              «route 172.16.0.0 255.255.255.0»
push              «topology subnet»

#маршруты, добавляемые на стороне сервера
route             192.168.170.0 255.255.255.0

# указываем, где лежат файлы настройки клиентов
client-config-dir ccd

#разрешаем клиентам видеть друг-друга.
client-to-client

#включение поддержки TLS
tls-server

remote-cert-tls client

# указываем расположение файлов
ca                /etc/openvpn/keys/ca.crt
cert              /etc/openvpn/keys/server.crt
key               /etc/openvpn/keys/server.key

# файл Диффи-Хелмана.
dh                /etc/openvpn/keys/dh1024.pem

# crl-verify        /etc/openvpn/crl/crl.pem
# параметры TLS авторизации
tls-auth          /etc/openvpn/ta.key 0
tls-timeout 120

# шифрование Blowfish
cipher              BF-CBC

#использование LZO-компрессии трафика
comp-lzo

# максимум клиентов
max-clients 100

keepalive         10 120

#параметры передачи данных по тоннелю
tun-mtu           1500
mssfix            1450

#не закрывать / открывать по-новой tun-устройство
persist-key
persist-tun

# под кем работать
user              nobody
group             nogroup
status            /var/log/openvpn-status.log
log               /var/log/openvpn.log
#задаем уровень детализации журналирования
verb              3

swazd
(26.02.14 17:04:02 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 26.02.14 16:44:04 MSK

Разобрался почему tun0 такой, в свое время пытались настроить l2tp, но что то не срослось, это было к нему, выключил нафиг, перезапустил openvpn. Проблема осталась.

# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:50:56:88:00:ff
          inet addr:172.16.0.253  Bcast:172.16.0.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fe88:ff/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:421239549 errors:0 dropped:326898 overruns:0 frame:0
          TX packets:595128566 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:259471935185 (241.6 GiB)  TX bytes:611310277466 (569.3 GiB)

eth1      Link encap:Ethernet  HWaddr 00:50:56:88:30:ac
          inet addr:<внешений инет>  Bcast:<внешений инет>  Mask:255.255.255.248
          inet6 addr: fe80::250:56ff:fe88:30ac/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:635537863 errors:0 dropped:325969 overruns:0 frame:0
          TX packets:817495227 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:319284880991 (297.3 GiB)  TX bytes:906308502580 (844.0 GiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:20285538 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20285538 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:66362924849 (61.8 GiB)  TX bytes:66362924849 (61.8 GiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.2.1  P-t-P:10.0.2.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1003 errors:0 dropped:0 overruns:0 frame:0
          TX packets:965 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:117024 (114.2 KiB)  TX bytes:371071 (362.3 KiB)

swazd
(26.02.14 17:19:56 MSK) автор топика

Ответ на: комментарий от swazd 26.02.14 17:19:56 MSK

Выпиливай все лишнее всякие ipsec`и. Проверь включен ли форфард в ведре в филиале. И пофикси правила в iptables там же. Еще советую использовать в конфиге openvpn не tun а конкретно, например, tun0. А в iptables tun+ вместо tun0 или tun1. Все это нужно под ситуацию. Это не универсальный совет.

uspen ★★★★★
(26.02.14 17:32:55 MSK)

Ответ на: комментарий от uspen 26.02.14 17:32:55 MSK

Выпилил ipsec и все, что относилось к l2tp.
форвард включен (в /proc/sys/net/ipv4/ip_forward 1) и он работает для компьютеров в филлиале. Почему то проблема только с телефонами. Так же форвард включен в головном офисе (и есть связь с компами в филлиале).

tun0 вместо tun и tun+ обязательно укажу вечером, но по идее оно не должно вызывать такую ситуацию

swazd
(26.02.14 17:48:11 MSK) автор топика

Ссылка

Ответ на: комментарий от swazd 26.02.14 16:02:54 MSK

Попробуйте на обоих концах туннеля загрузить модули nf_conntrack_h323 и nf_nat_h323

Также можно попробовать модули nf_nat_sip и nf_conntrack_sip, но точную картину того, как все работает, я обрисовать не берусь. Можно сравнить разницу, может быть, что-то прояснится.

pianolender ★★★
(26.02.14 18:57:52 MSK)

Ссылка

Чота с маршрутами у тебя.
Покаж таблички на клиентах и шлюзах.

tazhate ★★★★★
(26.02.14 19:00:00 MSK)

Ответ на: комментарий от tazhate 26.02.14 19:00:00 MSK

Маршруты головной офис: Станция:

# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            172.16.0.253       UGS       454 3348131554  em0
127.0.0.1          link#4             UH          0   102413    lo0
172.16.0.0/24      link#1             U          46 28131164    em0
172.16.0.250       link#1             UHS         0   210012    lo0

Шлюз:

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0      <внешний шлюз>     0.0.0.0         UG        0 0          0 eth1
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
<внешняя сеть>  0.0.0.0         255.255.255.248 U         0 0          0 eth1
172.16.0.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.170.0   10.0.2.1        255.255.255.0   UG        0 0          0 tun0

Филлиал, шлюз

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         <внешний шлюз>  0.0.0.0         UG        0 0          0 eth1
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
172.16.0.0      10.0.2.1        255.255.255.0   UG        0 0          0 tun0
192.168.170.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
<внешняя сеть>  0.0.0.0         255.255.255.248 U         0 0          0 eth1

На телефонах шлюз прописан 192.168.170.250 (tcpdump показывает, что на шлюз пакеты реально доходят)
nf_nat_sip - по идее у меня без ната сип ходить должен, простой форвард
nf_conntrack_sip - я так понимаю это для определения сип трафика и точной подгонки правил, у меня правила - грубее не придумаешь - разрешить все. Я даже попробовал полностью очистить все правила в iptables на обоих шлюзах и оставить только политику по умолчанию ACCEPT (с установленным форвардом). Та же шняга. С маршрутами я тоже не вижу проблем =( Уже даже не знаю куда копать...

swazd
(26.02.14 20:17:57 MSK) автор топика

Ответ на: комментарий от swazd 26.02.14 20:17:57 MSK

похоже не хватает директивы client-config-dir в конфиге сервера с прописанными там iroute для сети филлиала

BOOBLIK ★★★
(27.02.14 10:10:27 MSK)

Ответ на: комментарий от BOOBLIK 27.02.14 10:10:27 MSK

вот только директива есть. И там прописан iroute для филлиала. В общем проблему решил нетрадиционным способом - поднял простой второй (промежуточный) шлюзик на фряхе. По странному стечению обстоятельств, оно работает.
Не знаю, как (и можно ли) загружать сюда картинки, поэтому выложил картинку по адресу:
http://s020.radikal.ru/i713/1402/f1/caf4217a98a0.png
В общем в такой конфигурации работает. Если на телефонах шлюз прописать 192.168.170.250 (красная пунктирная стрелка), то не работает, если прописать 192.168.170.251, то работает. Видимо какой то внутренний глюк дебиан ядра/iptables/openvpn. Может телефон генерирует какой-нибудь не совсем стандартный пакет и на дебиане он тупо отбрасывается, а после пересылки с фряхи норм работает... В общем понятно, что ничего не понятно. У кого есть идеи, что можно еще посмотреть, с удовольствием посмотрю.
Использование второго шлюза выглядит джамшутингом, а чисто фряху оставлять не хочется.

swazd
(27.02.14 16:11:16 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сборка lustre на debian wheezy

Admin

apt и apt-cacher-ng непонятные рандомные зависания

→

Похожие темы