LINUX.ORG.RU
решено ФорумAdmin

l2tp маршруты в локальную сеть

 , ,


0

1

Здравствуйте!Поднят l2tp-ipsec,адресация целевой сети 192.168.0.0/24,под vpn подсеть 10.10.10.0/24,вэпэнщики получают адреса 10.10.10.2-10.10.10.20.Добавляю маршрут route add -host 10.10.10.2 gw 192.168.0.1 (шлюз по умолчанию целевой сети),связи нет.Форвардинг включен.Помогите понять почему не идут пакеты с подсети 10.10.10.0/24 в 192.168.0.0/24?



Последнее исправление: Pinkbyte (всего исправлений: 1)

На VPN-сервере в двух терминалах:

tcpdump -i int0 -nn
tcpdump -i int1 -nn

Где int0 - интерфейс, по которому подцеплен клиент c адресом 10.10.10.2(обычно pppX, где X - число от 0 и до упора), int1 - интерфейс за которым находится сеть 192.168.0.0/24

После этого добавь маршрут и пусти пинг. И смотри что в tcpdump.

Если нет пакетов на int0, но есть на int1 - пакеты режет файрвол.
Если нет пакетов ни на int0 ни на int1 - ошибка с маршрутизацией на клиенте(или где-то на промежуточных хостах, если они имеются).
Если есть ICMP-пакеты на обоих интерфейсах, но нет ответов от клиента, подцепленного по L2TP - надо смотреть что с файрволом/маршрутизацией на той стороне.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

сейчас пробую.Ещё момент,если в свойствах подключения (у клиента под виндой)поставить галочку Использовать основной шлюз в удалённой сети,то целевая подсеть видна,но интернет тогда тоже через шлюз удалённой сети,а такой вариант не подходит.

den777
() автор топика
Ответ на: комментарий от thesis

После подключения клиент не видит 192ю подсеть,по идее после добавления маршрута сеть должна быть видна.

den777
() автор топика

маршруты должны быть туда и обратно

axelroot
()
Ответ на: комментарий от den777

Использовать основной шлюз в удалённой сети,то целевая подсеть видна,но интернет тогда тоже через шлюз удалённой сети,а такой вариант не подходит.

Стоп-стоп, так маршрута нет у VPN-клиента? Тогда ты его не правильно добавляешь

Ты добавляешь маршрут на хост 10.10.10.2 через гейт 192.168.0.1, а надо - на сеть 192.168.0.0/24 через гейт 10.10.10.1(наверное, не уверен какой там у тебя гейт на VPN-туннеле)

Маршруты должны быть с обоих концов. И если в проводной сети для всех неизвестных сетей шлюзом по умолчанию является 192.168.0.1(за которым и находятся VPN-клиенты) и ничего добавлять не нужно, то VPN-клиенту как раз нужно объяснить что искать сеть 192.168.0.0/24 нужно не за шлюзом по умолчанию, а в туннеле.

Насколько мне известно, по L2TP нельзя распространять маршруты(поправьте меня кто-нибудь если я ошибаюсь). Если ты не хочешь каждого клиента конфигурировать вручную - смотри в сторону смены VPN технологии, например в сторону OpenVPN

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от den777

Да. И после этого выхлоп того что я предложил с tcpdump-ом сюда. Если еще и с клиента выхлоп сможешь получить - вообще шикарно.

Pinkbyte ★★★★★
()
Ответ на: комментарий от den777

вся подсеть начинает ломиться через гейт 10.10.10.1,за которым ничего нет (это адрес ppp0)

den777
() автор топика
Ответ на: комментарий от Pinkbyte

Взлетело,огромное спасибо за помощь!Маршрут неправильно добавлял,плюс только с одной стороны,сейчас пакеты пошли.

den777
() автор топика
Ответ на: комментарий от den777

Всегда пожалуйста. Ты только учти, что после переподключения это на клиенте надо будет делать снова, так что ты там покумекай насчет автоматизации этого дела.

Pinkbyte ★★★★★
()
Ответ на: комментарий от den777

Ну вот, толковые чуваки тебя уже врубили, что как.
По уму маршруты раздавать должен DHCP, а руками добавлять каждый раз на каждом клиенте это неправильно.
Хотя, если у тебя вендоклиент один, то и фиг с ним. Можно скриптом подключаться (rasdial + route add, только переподключение не отработает как положено). Можно и вообще отдавать клиенту сразу айпишник из диапазона 192.168.0.х.

thesis ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.