LINUX.ORG.RU
решено ФорумAdmin

Непонятки с advanced routing и openvpn


0

1

Дано - сервер OpenVPN и клиент. На сервере помимо прочего роутинг с ip rule для работы с несколькими подсетями: 

# ip ru
0:      from all lookup local
...
32765:  from 10.1.0.3 lookup T_VLAN2
32766:  from all lookup main
32767:  from all lookup default

# ip r
...
10.1.0.0/22 dev vlan2  proto kernel  scope link  src 10.1.0.3
...
10.15.0.0/16 via 192.168.222.2 dev tun0
...
192.168.222.0/24 via 192.168.222.2 dev tun0
192.168.222.2 dev tun0  proto kernel  scope link  src 192.168.222.1
...

# ip r l t T_VLAN2
default via 10.1.0.1 dev vlan2
10.1.0.0/22 dev vlan2  scope link
10.15.0.0/16 via 192.168.222.2 dev tun0

192.168.222/24 - транспортная подсеть OpenVPN.

Клиент (ВПН адрес 192.168.222.15 к примеру) к OpenVPN подключается и в сети 192.168.222/24 всё работает нормально (от .1 к .15 и наоборот траффик ходит)

Задача - за клиентом есть подсеть 10.15/16 и надо настроить роутинг так, чтобы эта сеть видела сеть 10.1/16 за сервером. Казалось бы всё просто, в конфигурации без шаманств ip rule всё у меня в другом месте работает на ура.

А тут: 

client# ping 10.1.0.3
PING 10.1.0.3 (10.1.0.3) 56(84) bytes of data.
^C
--- 10.1.0.3 ping statistics ---
38 packets transmitted, 0 received, 100% packet loss, time 37296ms

server# # tcpdump -n -i tun0 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 68 bytes
20:44:30.518224 IP 192.168.222.15 > 10.1.0.3: ICMP echo request, id 17061, seq 34, length 64
20:44:31.528433 IP 192.168.222.15 > 10.1.0.3: ICMP echo request, id 17061, seq 35, length 64
20:44:32.538405 IP 192.168.222.15 > 10.1.0.3: ICMP echo request, id 17061, seq 36, length 64
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
Т.е. пакеты из тоннеля приходят, и даже уходят ответы, но в другой интерфейс, хотя в таблице T_VLAN2 указано, что за 10.15/16 ходить в tun0.. 
server # tcpdump -n -i vlan2 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan2, link-type EN10MB (Ethernet), capture size 68 bytes
20:45:42.343241 IP 10.1.0.3 > 192.168.222.15: ICMP echo reply, id 17167, seq 1, length 64
20:45:43.323287 IP 10.1.0.3 > 192.168.222.15: ICMP echo reply, id 17167, seq 2, length 64
20:45:44.333163 IP 10.1.0.3 > 192.168.222.15: ICMP echo reply, id 17167, seq 3, length 64

Вопрос - ЧЯДНТ? :) Файрволл отключал. Понимаю что проблема пустяковая, но башка что-то уже к вечеру не варит...

Всё, как написал сам всё понял :) сурс-адрес то у меня получается 192.168.222.15,а не 10.15.0.1, так что всё правильно. Добавил путь до 192.168.222/24 в таблицу и всё поехало... :lamer:

blind_oracle ★★★★★
() автор топика

тему решенной пометь

Pinkbyte ★★★★★
()
Ответ на: комментарий от zgen

Да, но до конца оно всё равно почему-то не работает. Между сетями связи нет. На клиенте на tun0 я их вижу, а на сервере - уже нет.

blind_oracle ★★★★★
() автор топика
Ответ на: комментарий от zgen

Сейчас поднял виртуалку для OpenVPN сервера, безо всяких шаманств вроде ip rule, всё равно подсети не видно. И на клиенте и на сервере ip_forward включен, маршруты прописаны... чудеса.

blind_oracle ★★★★★
() автор топика
Ответ на: комментарий от blind_oracle

Всё, сам дурак, забыл iroute в openvpn. Закрываю :)

blind_oracle ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin