LINUX.ORG.RU
решено ФорумAdmin

ping есть, ssh подключения нет - через OpenVPN


0

1

Имеется сеть: Office: 192.168.21.0/24 Remote Hosts: 10.77.77.0/24

Между офисом и удаленной сетью постороен VPN туннель посредством OpenVPN: 10.10.30.0/24

Пинги с офисной сети 192.168.21.0/24 ходят до удаленных машин в сети 10.77.77.0/24

Могу подключиться по SSH только с OpenVPN клиента.

При попытке подключиться по SSH с одного их хостов из сети 192.168.21.0/24 - не получается.

Подскажите где затык?

на подключаемой машине 10.77.77.13 присутствует это правило:

   37  2676 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

это правило должно разрешать все входящие подключения к 22 порту по tcp

Ilianapro
() автор топика

При попытке подключиться с одного их хостов из сети 192.168.21.0/24 по SSH не получается.

что такое «не получается»?

emulek
()
Ответ на: комментарий от emulek

моя машина в сети офиса 192.168.21.0/24 при попытке подключится через Putty на сервер CentOS 6.5 (10.77.77.13) не получается - просто тишина, таймаут.

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

это правило должно разрешать все входящие подключения к 22 порту по tcp

этого мало. Сервер ещё и ответить должен. Т.е. даже если пакет придёт на сервер, даже если сервер ответит, то дойдёт-ли ответ до клиента?

Обращаю ваше внимание, что TCP протокол — совсем другое, чем ICMP, по которому ходят пинги.

emulek
()
Ответ на: комментарий от emulek

emulek подскажи что надо делать?

если нужна доп.инфа я выложу - только скажи что выложить :)

Ilianapro
() автор топика
Ответ на: комментарий от fjfalcon

masquerade на сервере с openvpn сделали?

нет - маскарадинг не делал - использовал форвардинг.

в файрволе прописаны следующие правила:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   12   700 ACCEPT     all  --  eth0   tun1    0.0.0.0/0            0.0.0.0/0
   39  1996 ACCEPT     all  --  tun1   eth0    0.0.0.0/0            0.0.0.0/0
Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

Этого не достаточно. Если интересно - можете понаблюдать картинку через tcpdump при попытке соединения по ssh... и увидите какие адреса назначения используются..

fjfalcon ★★★
()
Ответ на: комментарий от fjfalcon

Этого не достаточно. Если интересно - можете понаблюдать картинку через tcpdump при попытке соединения по ssh... и увидите какие адреса назначения используются..

ведь у меня пинги ходят между 192.168.21.0/24 и 10.77.77.0/24

только не получается подключиться по ssh из 192.168.21.0/24 на одну из машин например: 10.77.77.13

Ilianapro
() автор топика
Ответ на: комментарий от fjfalcon

не могу пока понять каким образом сформировать команду по tcpdump для ssh.

Пока что выкладываю то что я наблюдаю используя icmp:

Пингую со своей машины: 192.168.21.55 другую машину 10.77.77.13

результат tcpdump c машины: 10.77.77.13

# tcpdump -i eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:12:10.321174 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38464, length 40
14:12:10.321234 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38464, length 40
14:12:11.322640 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38465, length 40
14:12:11.322659 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38465, length 40
14:12:12.323811 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38466, length 40
14:12:12.323830 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38466, length 40
14:12:13.324871 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38467, length 40
14:12:13.324888 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38467, length 40

т.е. я вижу что запросы приходят от 192.168.21.55 без маскарадинга

Ilianapro
() автор топика
Ответ на: комментарий от fjfalcon

я ответил как это исправить...

Спасибо тебе fjfalcon твой совет помог мне локализовать проблему. Хотя пришлось бегать к серверу.

выяснилось что запросы почему то приходили от OpenVPN клиента 10.10.30.25 в сети 192.168.21.0/24

по идее же source у меня должен был быть 192.168.21.55 и я не использовал маскарадинг.

Вопрос теперь остался Почему source у меня получился 10.10.30.25 вместо 192.168.21.55 ???

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

решение моей проблемы было следующим: * на удаленной машине я запустил tcpdump:

#tcpdump port 22
* со своего компа я пробовал подключиться к удаленной машине 10.77.77.13 * на удаленной машине увидел source ip откуда приходят попытки подключения к порту 22. К моему удивлению запросы подключения приходили от VPN сети. * добавил маршрут на удаленной машине:
ip r add 10.10.30.0/24 via 10.77.77.11

после чего я смог удаленно со своей станции подключаться к удаленной машине.

Спасибо fjfalcon за помощь.

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

Вопрос теперь остался Почему source у меня получился 10.10.30.25 вместо 192.168.21.55 ???

ну значит у вас DNAT(маскарадинг) или SNAT ещё налажен, раз IP меняется.

почему вы полностью iptables-save не показали?

emulek
()
Ответ на: комментарий от Ilianapro

Это правильное решение. Маскарадинг это хоть и рабочий, но костыль.

ValdikSS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.