LINUX.ORG.RU
решено ФорумAdmin

vpn клиент и маршруты

 ,


0

1

есть mikrotik, на нем поднят pptp сервер. при подключении с ubuntu, я вижу только шлюз этой vpn сети. с windows машины вижу всю сеть. я склоняюсь что то с маршрутизацией. потому что при ручном добавлении 

/sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.1
начинают пинговатся хосты, но порты все на них закрыты. что такое может быть?

route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
10.0.0.1        *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0

без ручного добавления маршрута

маршруты с windows 

10.0.0.0        255.0.0.0         10.0.0.1         10.0.0.4     21
10.0.0.4  255.255.255.255         On-link          10.0.0.4    276



Последнее исправление: serega74422 (всего исправлений: 1)

По идее, гейт-вей тебе не нужен. Сравни маршрутизацию с виндой и проверь настройки iptables.

ddos3
()

Ну.
Венда по умолчанию сама добавляет маршрут к сети данного класса (отключаемо).
Бубунта - нет.
Пинги - это ICMP, плевать он хотел на порты.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Если маршрут до хоста не находится, то и пинг не пройдет. А если маршрут до хоста есть, то почему бы по этому маршруту не пройти и tcp-соединению?

Тут должно быть что-нибудь поинтереснее. Например может оказаться, что маршрутизатор на 10.0.0.1 смотрит в интернет и настроен на отлуп входящих tcp/udp соединений, а icmp пропускает (потому что забыли настроить или не посчитали нужным).

ddos3
()

У тебя в правилах сеть 10.0.0.1 написана с маской 255.255.255.255, что значит, что только на 10.0.0.1 это правило и влияет (другие ip из этой сети под эту маску уже не попадут). Поправь маску на 255.0.0.0. Гейт-вей тебе не нужен.

ddos3
()
Ответ на: комментарий от ddos3

Здесь нет ровным счетом ничего интересного.

если маршрут до хоста есть, то почему бы по этому маршруту не пройти и tcp-соединению?

Может, я неправильно понял ТСа, мне показалось, что он интересуется, почему хосты пингуются, _не имея_ никаких открытых портов. А не «почему я могу пинговать, но не могу подконнектиться»:

порты все на них закрыты

Т.е. ЗАКРЫТЫ, или НЕДОСТУПНЫ - вот в чем вопрос.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Я так понимаю, что из под винды все коннектится, а не только пингуется. А реджект соединений вполне может слать фаервол на гейт-вее по дороге к хостам, даже если на самих хостах порты открыты.

Еще раз - у ТСа по дефолту через vpn направляется только траффик на 10.0.0.1, так что до других машин в этой сети он достучаться не может, что ожидаемо. Он, вместо того, чтобы направить траффик во всю сеть через vpn, говорит, что будет ходит в этот vpn через 10.0.0.1 в качестве маршрутизатора. Вполне может оказаться, что на 10.0.0.1 и правда настроен какой-то форвардинг, но далеко не факт, что он пропускает любые соединения. Возможно, он пропускает через себя только icmp, а tcp и udp реджектит.

В виндовых маршрутах фигурирует 10.0.0.4, но я не знаю, что он там значит (ТС предусмотрительно вырезал заголовки колонок, а виндовой машины, на которой можно их посмотреть у меня нет). Возможно, это как раз и есть правильный маршрутизатор для сидящих через vpn. Или маршрутизатор вообще не нужен, а достаточно только направить траффик в сеть 10.0.0.0 через ppp0.

ddos3
()
Ответ на: комментарий от ddos3

достаточно только направить траффик в сеть 10.0.0.0 через ppp0.

вот это мне и помогло.

10.0.0.4 это ip который был присвоен vpn клиенту

serega74422
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin