Не работает маршрутизация после OVPN

0

1

Всех приветствую, Прошу помочь разобраться с сетевой проблемой, все знакомые методы проверок и настроек не работают.

Собрана такая схема:

OVPNClient(172.10.0.6)-----(172.10.0.1)tun-S1-eth(2.2.2.1)-----(2.2.2.2)eth-S2

На S1: net.ipv4.ip_forward=1
На S2 прописан маршрут: 172.10.0.0/24 via 2.2.2.1
На клиенте прописант маршрут: 2.2.2.0/24 via 172.10.0.1
S1 и S2 - ubuntu server 16.04

С Клиента пингуется 2.2.2.1
С S2 пингуется 172.10.0.1

Запускаем с клиента ping 2.2.2.2, на S1 в tcpdump:

# tcpdump -nni any icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
00:00:29.152268 IP 172.10.0.6 > 2.2.2.2: ICMP echo request, id 1, seq 34391, length 40

На S2 в tcpdump при такой же команде совершенно ничего не видно

Ссылка

←	Выбор надёжного VPS

PHP-FPM: не создает IPC-сокет после ребута

→

вангую rp_filter

Anoxemian ★★★★★
(05.03.19 03:07:40 MSK)

А что, NAT у тебя отсутствует?

XMs ★★★★★
(05.03.19 07:38:26 MSK)

выбрось tun

libert0
(05.03.19 07:45:32 MSK)

Ссылка

Ещё такой момент: у тебя OPVN работает в каком режиме: tap или tun? Во втором надо маршрут делать не через адрес сервера, а через парный адрес PPP-соединения

XMs ★★★★★
(05.03.19 07:48:38 MSK)

Ответ на: комментарий от XMs 05.03.19 07:48:38 MSK

Во втором надо маршрут делать не через адрес сервера, а через парный адрес PPP-соединения

Не совсем верно. От топологиии зависит.

anc ★★★★★
(05.03.19 11:59:40 MSK)

На S1 fw не режет?

anc ★★★★★
(05.03.19 12:13:22 MSK)

Ответ на: комментарий от anc 05.03.19 11:59:40 MSK

ЕМНИП, в tun не-PPP пока находится в экспериментальной стадии, поэтому условно считаю tun — PPP, а tap — обычной сетью

XMs ★★★★★
(05.03.19 13:01:52 MSK)

Ответ на: комментарий от Anoxemian 05.03.19 03:07:40 MSK

Везде стоят единички, кроме lo

cat /proc/sys/net/ipv4/conf/all/rp_filter
1

seregakhv
(05.03.19 13:03:16 MSK) автор топика

Ссылка

Ответ на: комментарий от XMs 05.03.19 07:38:26 MSK

Нат отсутствует(настройки докера не в счёт):

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DOCKER all — anywhere anywhere >ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DOCKER all — anywhere !127.0.0.0/8 >ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all — 172.17.0.0/16 anywhere
MASQUERADE all — 172.18.0.0/16 anywhere

Chain DOCKER (2 references)
target prot opt source destination
RETURN all — anywhere anywhere
RETURN all — anywhere anywhere

seregakhv
(05.03.19 13:05:27 MSK) автор топика

Ответ на: комментарий от XMs 05.03.19 07:48:38 MSK

Работает через tun, Вопрос канала связи прозрачен для маршрутизации, лишь бы gw был доступен(если мы указываем gw в виде ip)

seregakhv
(05.03.19 13:08:11 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 05.03.19 12:13:22 MSK

Спасибо тебе добрый человек!

Нашел проблему, была политика forward по умолчанию в drop - просмотрел среди цепочек докера:

# iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
DOCKER-USER all — anywhere anywhere
DOCKER-ISOLATION-STAGE-1 all — anywhere anywhere
ACCEPT all — anywhere anywhere >ctstate RELATED,ESTABLISHED
DOCKER all — anywhere anywhere
ACCEPT all — anywhere anywhere
ACCEPT all — anywhere anywhere
ACCEPT all — anywhere anywhere >ctstate RELATED,ESTABLISHED
DOCKER all — anywhere anywhere
ACCEPT all — anywhere anywhere
ACCEPT all — anywhere anywhere

Oсталось непонимание, зачем докер монопольно вписывает свои правила в forward, а не вносит конкретные правила для контейнеров, оставляя политику в accept.

Всем спасибо!

seregakhv
(05.03.19 13:16:09 MSK) автор топика

Ссылка

Ответ на: комментарий от XMs 05.03.19 13:01:52 MSK

Если рассматривать данный случай. Достаточно указания dev tunX без всякого via IP. IP здесь вообще роли не играет, кроме того факта что при выполнении ip route add без указания dev выбирается нужный интерфейс. Так вот в случае топологий p2p и subnet "...via 172.10.0.1" как раз и даст желаемый результат. В p2p это один из адресов P2P соединения, в subnet пофигу что указывать из выделяемой сети, а в случае net30 вам и не дадут указать 172.10.0.1. Итого: формулировку «На клиенте прописант маршрут: 2.2.2.0/24 via 172.10.0.1» можно считать верной в не зависимости от tun/tap или топологии.

anc ★★★★★
(05.03.19 13:21:06 MSK)
Последнее исправление: anc 05.03.19 13:27:29 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от seregakhv 05.03.19 13:05:27 MSK

Нат отсутствует
MASQUERADE all — 172.17.0.0/16 anywhere
MASQUERADE all — 172.18.0.0/16 anywhere

Но вообще мне понятней выхлоп iptables-save, тут могу путаться

XMs ★★★★★
(05.03.19 13:35:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Выбор надёжного VPS

Admin

PHP-FPM: не создает IPC-сокет после ребута

→

Спасибо тебе добрый человек!

Похожие темы