Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Viva, проблемы с маршрутами

moscow shufffle
 Поделиться

Рекомендуемые сообщения

moscow shufffle Новичок

moscow shufffle

Опубликовано
Опубликовано

Добрый день, уважаемые форумчане!

Неделю мучаюсь с настройкой маршрутов на своем Keenetic VIVA.

Задача следующая:

На VIVA используется OpenVPN клиент для подключения в сеть с лабораторными машинами - подсеть 10.10.10.0/24 (или 255.255.255.0). Роутер при подключении получает адрес 10.10.14.X. Если я подключаюсь к VIVA через WiFi или LAN то мне выдается адрес в подсети 192.168.1.0/24. При таком подключении я могу взаимодействовать с хостами в подсети OpenVPN 10.10.10.0/24.

Далее я настроил L2TP/IPsec VPN server, выделил 5 ip адресов для подключения L2TP клиентов к роутеру. При подключении клиенты L2TP получают адрес 192.168.1.200-205, но почему-то в такой схеме я не могу достучаться до 10.10.10.0/24.

Что я сделал:

1. Убрал режим приватности - не помогло

2. В настройках Firewall прописал разрешение для TCP/UDP/ICMP трафика в сегментах HOME (сюда получается L2TP) и LAB (OPENVPN Client) - не помогло

3. Игрался с включением NAT на L2TP сервере - не помогло

4. Прописывал маршрут в ручную для сети 10.10.10.0 255.255.255.0 192.168.1.1 (в сеть 10.х через шлюз 192.х.х.1)

 

Не могли бы вы подсказать в чем может быть ошибка и куда стоит покопать?

Werld Старожил

Werld

Опубликовано
Опубликовано (изменено)

Перечисленные Вами действия не ведут к решению проблемы, поэтому их нужно отменить, т.е. все правила, маршруты, все что крутили руками уберите как было. Далее идем в cli и выполняем следующие команды:

access-list l2tpusers                                                                                     - создали access list

permit ip 192.168.1.200 255.255.255.248 10.10.10.0 255.255.255.0                      - добаили в созданный acl правило для клиентов l2tp сервера. У Вас 192.168.1.200-205, т.е. ближайшая подсеть /29. А вообще                                                                                                                                                           лучше впн клиентам назначить адреса из сети отличной от домашнего сегмента.

exit                                                                                                                  - вышли из подгруппы команд access-list в основной конфиг

interface openvpn0 ip access-group myacl out                                        - привязали созданный acl к интерфейсу openvpn. Тут Вам нужно быть внимательным, т.к. название вашего openvpn интерфейса может                                                                                                                                              отличаться от openvpn0

system configuration save                                                                          - сохраняем проделанные изменения

 

 

Изменено пользователем werldmgn
moscow shufffle Новичок

moscow shufffle

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за совет, но привязать созданный ACL я к интерфейсу не могу. Роутер просто его не видит - хотя он есть в таблице маршрутов

IPv4 route table

Destination IP
Gateway
Interface
стер лишнее
10.1.30.0/24
0.0.0.0
Guest segment
10.10.10.0/24
10.10.14.1
htb
10.10.14.0/23
0.0.0.0
htb
подсетка
внешний айпишник
Provider
днс какой-то
внешний айпишник
Provider
стер лишнее    

Меня интересовал интерфейс htb, выполняя команду в cli получаю:

image.png.695bc9935b1a4433bb3f8e9a316da7a5.png

Есть ли команда посмотреть все интерфейсы через cli?

 

Изменено пользователем moscow shufffle
moscow shufffle Новичок

moscow shufffle

Опубликовано
  • Автор
Опубликовано

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

moscow shufffle Новичок

moscow shufffle

Опубликовано
  • Автор
Опубликовано

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

 

Update: interface openvpn0 ip access-group myacl out  поправил и все заработало, заменил myacl на l2tpusers

 

 

Werld Старожил

Werld

Опубликовано
Опубликовано
1 час назад, moscow shufffle сказал:

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

 

Update: interface openvpn0 ip access-group myacl out  поправил и все заработало, заменил myacl на l2tpusers

 

 

Да, извините. Я скопипастил команду и забыл изменить имя акла. Разумеется, раз создали акл l2tpusers, то и привязывать нужно его))

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю