Исправление Pinkbyte, (текущая версия) :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентом(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол со статическими адресами туннеля. Там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.
По теме:
1) пусти пинг;
2) на ISP на интерфейсе в сторону источника ping-а сделай tcpdump;
3) на ISP на интерфейсе в сторону назначения ping-а сделай tcpdump;
Сравни IP-адреса пакетов(снаружи туннеля, не внутри) в обоих случаях. Они НЕ должны меняться при прохождении через ISP.
На всех машинах, где включен файрвол, убедись в том, что модуль ядра nf_conntrack_proto_gre загружен.
Исправление Pinkbyte, :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентом(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол со статическими адресами туннеля. Там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.
По теме:
1) пусти пинг;
2) на ISP на интерфейсе в сторону источника ping-а сделай tcpdump;
3) на ISP на интерфейсе в сторону назначения ping-а сделай tcpdump;
Сравни IP-адреса пакетов в обоих случаях. Они НЕ должны меняться при прохождении через ISP.
На всех машинах, где включен файрвол, убедись в том, что модуль ядра nf_conntrack_proto_gre загружен.
Исправление Pinkbyte, :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентом(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол со статическими адресами туннеля. Там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.
По теме:
1) пусти пинг;
2) на ISP на интерфейсе в сторону источника ping-а сделай tcpdump;
3) на ISP на интерфейсе в сторону назначения ping-а сделай tcpdump;
Сравни IP-адреса пакетов в обоих случаях. Они НЕ должны меняться при прохождении через ISP.
На всех машинах, где включен файрвол убедись в том, что модуль ядра nf_conntrack_proto_gre загружен.
Исправление Pinkbyte, :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентом(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол со статическими адресами туннеля. Там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.
По теме:
1) пусти пинг;
2) на ISP на интерфейсе в сторону источника ping-а сделай tcpdump;
3) на ISP на интерфейсе в сторону назначения ping-а сделай tcpdump;
Сравни IP-адреса пакетов в обоих случаях. Они НЕ должны меняться при прохождении через ISP.
Исправление Pinkbyte, :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентом(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол со статическими адресами туннеля. Там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.
Исправление Pinkbyte, :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентом(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол, там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.
Исходная версия Pinkbyte, :
очень странно, что при этом работает openvpn от R-SRV через ISP до левой хостовой машины в другой сети
Потому что openvpn - это клиент-серверный протокол, подразумевающий возможность смены IP-адреса клиентов(опция float). В большинстве конфигураций там имеет значение только адрес сервера.
GRE - это двусторонний туннельный протокол, там имеет значение адрес КАЖДОЙ стороны туннеля. Если один конец GRE-туннеля находится за NAT-ом сразу всплывает куча неприятных ограничений, которых лучше избегать. TL;DR - если можно убрать NAT между точками, объединенными GRE-туннелем, его лучше убрать.