ping есть, ssh подключения нет - через OpenVPN

0

1

Имеется сеть: Office: 192.168.21.0/24 Remote Hosts: 10.77.77.0/24

Между офисом и удаленной сетью постороен VPN туннель посредством OpenVPN: 10.10.30.0/24

Пинги с офисной сети 192.168.21.0/24 ходят до удаленных машин в сети 10.77.77.0/24

Могу подключиться по SSH только с OpenVPN клиента.

При попытке подключиться по SSH с одного их хостов из сети 192.168.21.0/24 - не получается.

Подскажите где затык?

Ссылка

←	Как получить список mac адресов из dhcp сервера?

Ошибка crontab: crontab:8: bad minute

→

на подключаемой машине 10.77.77.13 присутствует это правило:

   37  2676 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

это правило должно разрешать все входящие подключения к 22 порту по tcp

Ilianapro
(06.03.14 11:33:10 MSK) автор топика

При попытке подключиться с одного их хостов из сети 192.168.21.0/24 по SSH не получается.

что такое «не получается»?

emulek ★
(06.03.14 11:33:19 MSK)

Ответ на: комментарий от emulek 06.03.14 11:33:19 MSK

моя машина в сети офиса 192.168.21.0/24 при попытке подключится через Putty на сервер CentOS 6.5 (10.77.77.13) не получается - просто тишина, таймаут.

Ilianapro
(06.03.14 11:36:00 MSK) автор топика

Ссылка

Ответ на: комментарий от Ilianapro 06.03.14 11:33:10 MSK

это правило должно разрешать все входящие подключения к 22 порту по tcp

этого мало. Сервер ещё и ответить должен. Т.е. даже если пакет придёт на сервер, даже если сервер ответит, то дойдёт-ли ответ до клиента?

Обращаю ваше внимание, что TCP протокол — совсем другое, чем ICMP, по которому ходят пинги.

emulek ★
(06.03.14 11:36:20 MSK)

Ответ на: комментарий от emulek 06.03.14 11:36:20 MSK

emulek подскажи что надо делать?

если нужна доп.инфа я выложу - только скажи что выложить :)

Ilianapro
(06.03.14 11:39:08 MSK) автор топика

Ссылка

masquerade на сервере с openvpn сделали?

fjfalcon ★★★
(06.03.14 11:42:48 MSK)

Ответ на: комментарий от fjfalcon 06.03.14 11:42:48 MSK

masquerade на сервере с openvpn сделали?

нет - маскарадинг не делал - использовал форвардинг.

в файрволе прописаны следующие правила:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   12   700 ACCEPT     all  --  eth0   tun1    0.0.0.0/0            0.0.0.0/0
   39  1996 ACCEPT     all  --  tun1   eth0    0.0.0.0/0            0.0.0.0/0

Ilianapro
(06.03.14 11:44:30 MSK) автор топика

Ответ на: комментарий от Ilianapro 06.03.14 11:44:30 MSK

Этого не достаточно. Если интересно - можете понаблюдать картинку через tcpdump при попытке соединения по ssh... и увидите какие адреса назначения используются..

fjfalcon ★★★
(06.03.14 11:53:08 MSK)

Ответ на: комментарий от fjfalcon 06.03.14 11:53:08 MSK

Этого не достаточно. Если интересно - можете понаблюдать картинку через tcpdump при попытке соединения по ssh... и увидите какие адреса назначения используются..

ведь у меня пинги ходят между 192.168.21.0/24 и 10.77.77.0/24

только не получается подключиться по ssh из 192.168.21.0/24 на одну из машин например: 10.77.77.13

Ilianapro
(06.03.14 11:58:28 MSK) автор топика

Ответ на: комментарий от Ilianapro 06.03.14 11:58:28 MSK

я ответил как это исправить...

fjfalcon ★★★
(06.03.14 12:03:40 MSK)

Ответ на: комментарий от fjfalcon 06.03.14 12:03:40 MSK

не могу пока понять каким образом сформировать команду по tcpdump для ssh.

Пока что выкладываю то что я наблюдаю используя icmp:

Пингую со своей машины: 192.168.21.55 другую машину 10.77.77.13

результат tcpdump c машины: 10.77.77.13

# tcpdump -i eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:12:10.321174 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38464, length 40
14:12:10.321234 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38464, length 40
14:12:11.322640 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38465, length 40
14:12:11.322659 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38465, length 40
14:12:12.323811 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38466, length 40
14:12:12.323830 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38466, length 40
14:12:13.324871 IP 192.168.21.55 > 10.77.77.13: ICMP echo request, id 1, seq 38467, length 40
14:12:13.324888 IP 10.77.77.13 > 192.168.21.55: ICMP echo reply, id 1, seq 38467, length 40

т.е. я вижу что запросы приходят от 192.168.21.55 без маскарадинга

Ilianapro
(06.03.14 12:15:50 MSK) автор топика

Ссылка

Ответ на: комментарий от fjfalcon 06.03.14 12:03:40 MSK

я ответил как это исправить...

Спасибо тебе fjfalcon твой совет помог мне локализовать проблему. Хотя пришлось бегать к серверу.

выяснилось что запросы почему то приходили от OpenVPN клиента 10.10.30.25 в сети 192.168.21.0/24

по идее же source у меня должен был быть 192.168.21.55 и я не использовал маскарадинг.

Вопрос теперь остался Почему source у меня получился 10.10.30.25 вместо 192.168.21.55 ???

Ilianapro
(06.03.14 12:30:56 MSK) автор топика

Ответ на: комментарий от Ilianapro 06.03.14 12:30:56 MSK

решение моей проблемы было следующим: * на удаленной машине я запустил tcpdump:

#tcpdump port 22

* со своего компа я пробовал подключиться к удаленной машине 10.77.77.13 * на удаленной машине увидел source ip откуда приходят попытки подключения к порту 22. К моему удивлению запросы подключения приходили от VPN сети. * добавил маршрут на удаленной машине: