Openvpn нет доступа к сети за сервером, хотя на шлюзе все работает

0

1

Добрый день, 2й день пытаюсь объединить 2 сети: Схема такая: Поставил mikrotik, на нем поднял openvpn сервер. в офисе стоит centos 7, он подключен как клиент к сети микротика.

Суть проблемы: с centos после поднятия VPN канала доступ в локальную сеть за микротиком есть. А вот компы работающие в сети где шлюз Centos 7 сеть за микротиком не видят.

Маршруты на centos:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.1.1.0        10.1.1.2        255.255.255.0   UG    0      0        0 tun1
10.1.1.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun1
10.1.2.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
80.234.75.96    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 enp1s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 enp2s0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp2s0
192.168.20.0    10.1.2.1        255.255.255.0   UG    0      0        0 tun0

С локальных компов выжу что трафик на шлюз уходит, почему связи нет не могу понять. Где и как посмотреть?

Ссылка

←	Proxmox востановление, после неудачноно добавления в кластер

Альтернативная система «Отчет CDR»

→

Маршруты на микротике:

И что здесь что? Какой интерфейс это openvpn с CentOS? Какие адреса локалки в сети, где CentOs?

mky ★★★★★
(27.02.16 15:59:45 MSK)

Ответ на: комментарий от mky 27.02.16 15:59:45 MSK

извиняюсь: OpenVPN:

10.1.2.1 - сервер микротик
10.1.2.2 - клиент centos

LAN:

192.168.20.1/24 - микротик
192.168.0.1/24 - centos

И я привел маршруты не с микротика а с centos..

vsafonin ★
(27.02.16 16:05:01 MSK) автор топика

Ответ на: комментарий от vsafonin 27.02.16 16:05:01 MSK

У OpenVPN, чтобы видеть сеть за клиентом, какое-то колдунство надо применить особое в конфиге (openvpn, только не помню, сервера, или клиента). Обычного ip route add недостаточно. Оно гуглится и вполне описано, просто не помню сходу.

AS ★★★★★
(27.02.16 18:18:41 MSK)
Последнее исправление: AS 27.02.16 18:19:12 MSK (всего исправлений: 1)

конфиги сервера и клиента покажите

anc ★★★★★
(27.02.16 18:21:31 MSK)

Ответ на: комментарий от AS 27.02.16 18:18:41 MSK

Так мне надо видеть сеть за сервером. странность в том что со шлюза (который в роли клиента) все работает, у меня есть доступ в сеть за сервером. А вот компы в локалке которые за этим шлюзом доступ в сеть за сервером не имеют.

В чем косяк я так и не понимаю.

vsafonin ★
(27.02.16 18:23:06 MSK) автор топика

Ответ на: комментарий от vsafonin 27.02.16 18:23:06 MSK

Выше же уже написали, сервер не знает ничего о локалке клиента.
Еще раз конфиги покажите.
btw если замаскарадить локалку клиента то в одну сторону будет работать. :)

anc ★★★★★
(27.02.16 18:27:06 MSK)
Последнее исправление: anc 27.02.16 18:28:26 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 27.02.16 18:21:31 MSK

Сервер: не нашел в микротике что то на подобии как в линухе, только вот так:

/interface ovpn-server server
set certificate=mikrotik.crt_0 cipher=blowfish128,aes128,aes192,aes256,null \
    default-profile=OpenVPN enabled=yes mode=ethernet port=1195 \
    require-client-certificate=yes

Клиент:


remote myserv.st.ru 1195
dev tap

nobind
persist-key

tls-client


ca /etc/openvpn/mikrotik/ca.crt
cert /etc/openvpn/mikrotik/centos_server.crt
key /etc/openvpn/mikrotik/centos_server.key

ping 10
verb 3
ns-cert-type server
cipher AES-256-CBC
auth SHA1
pull
# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике
auth-user-pass /etc/openvpn/mikrotik/auth.cfg
профиле
#auth-user-pass
route-method exe
route-delay 2
route 192.168.20.0 255.255.255.0 10.1.2.1

vsafonin ★
(27.02.16 18:40:54 MSK) автор топика

Ответ на: комментарий от anc 27.02.16 18:27:06 MSK

Да это я понимаю, не понимаю только почему со шлюза который является клиентом OpenVpn я вижу локалку за сервером...

vsafonin ★
(27.02.16 18:43:48 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 27.02.16 18:27:06 MSK

btw если замаскарадить локалку клиента то в одну сторону будет работать. :)

Так мне и нужно в одну сторону

vsafonin ★
(27.02.16 18:47:33 MSK) автор топика

Ответ на: комментарий от vsafonin 27.02.16 18:40:54 MSK

Сервер: не нашел в микротике что то на подобии как в линухе, только вот так:

Ищите, конфиги у openvpn везде практические одинаковые, хоть linux хоть androin &etc
Вам нужна волшебная фраза iroute что бы сервер знал о сети клиента.

anc ★★★★★
(27.02.16 19:07:00 MSK)

Ответ на: комментарий от vsafonin 27.02.16 18:40:54 MSK

Чего-то вы «путаетесь в показаниях», в залоловке: «tun0» а здесь «dev tap»

anc ★★★★★
(27.02.16 19:11:15 MSK)

Ответ на: комментарий от vsafonin 27.02.16 18:47:33 MSK

iptables -t nat -A POSTROUTING -o openvpn_интерфейс -j MASQUERADE

anc ★★★★★
(27.02.16 19:15:02 MSK)

Ответ на: комментарий от anc 27.02.16 19:11:15 MSK

Да ковыряю, настройки меняю, tap сейчас стоит, если это важно то могу обратно на tun переделать как я понял для моей задачи это не важно.

vsafonin ★
(27.02.16 19:16:02 MSK) автор топика

Ответ на: комментарий от vsafonin 27.02.16 19:16:02 MSK

В целом нет, но раз только начинаете пробовать не надо «коноплю с грибами мешать», оставайтесь на одном сорте :) В вашем случае tun оставьте.

anc ★★★★★
(27.02.16 19:19:59 MSK)

Ссылка

Ответ на: комментарий от anc 27.02.16 19:07:00 MSK

Ищите, конфиги у openvpn везде практические одинаковые, хоть linux хоть androin &etc

Я Неправ, посмотрел наискосок гугл, беру свои слова назад.

anc ★★★★★
(27.02.16 19:29:38 MSK)

Ссылка

Ответ на: комментарий от anc 27.02.16 19:15:02 MSK

по другому сделал: iptables -t nat -A POSTROUTING -d 192.168.20.0/20 -s 192.168.0.0/24 -j SNAT --to 10.1.2.1

трафик забегал, только почему то все что на https отказалось работать..правда в момент когда я проверял инет пропал..завтра посмотрю

vsafonin ★
(27.02.16 19:42:25 MSK) автор топика

Ответ на: комментарий от vsafonin 27.02.16 19:42:25 MSK

по другому сделал: iptables -t nat -A POSTROUTING -d 192.168.20.0/20 -s 192.168.0.0/24 -j SNAT --to 10.1.2.1

Это почти тоже самое.
1. По простому: В случае SNAT вы указываете явно какой адрес подставить, в случае MASQUERADE выбирается автоматом.
2. Я написал вариант чуть проще с указанием интерфейса.

только почему то все что на https отказалось работать..

Посмотрите на fw.
ЗЫ Тут много знатоков микротика, я с сожалению не помню кто именно, поищите в темах и кастаните сюда. Т.к. решение с маскарадом все-таки костыль.

anc ★★★★★
(27.02.16 20:12:54 MSK)

Ответ на: комментарий от anc 27.02.16 20:12:54 MSK

Без костыля пока никак, как оказалось что у провайдера на филиале та же адресация что и в локалке в офисе. Менять адресацию не очень хочется, слишком большой геморой.

vsafonin ★
(28.02.16 15:23:48 MSK) автор топика

Ответ на: комментарий от vsafonin 28.02.16 15:23:48 MSK

Ну можно оставить один статик маршрут до роутера (я не думаю что провайдерская локалка нужна) а вю сетку в тунель.

anc ★★★★★
(28.02.16 19:37:14 MSK)

Ответ на: комментарий от anc 28.02.16 19:37:14 MSK

Пока работает, трогать не буду, потихоньку, со временем,лучше поменяю адрессацию. Так будет надежнее и проще потом, в поисках «а почему не работает»

vsafonin ★
(28.02.16 20:21:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Proxmox востановление, после неудачноно добавления в кластер

Admin

Альтернативная система «Отчет CDR»

→

Похожие темы