Jump to content

Recommended Posts

Posted

Добрый день, уважаемые форумчане!

Неделю мучаюсь с настройкой маршрутов на своем Keenetic VIVA.

Задача следующая:

На VIVA используется OpenVPN клиент для подключения в сеть с лабораторными машинами - подсеть 10.10.10.0/24 (или 255.255.255.0). Роутер при подключении получает адрес 10.10.14.X. Если я подключаюсь к VIVA через WiFi или LAN то мне выдается адрес в подсети 192.168.1.0/24. При таком подключении я могу взаимодействовать с хостами в подсети OpenVPN 10.10.10.0/24.

Далее я настроил L2TP/IPsec VPN server, выделил 5 ip адресов для подключения L2TP клиентов к роутеру. При подключении клиенты L2TP получают адрес 192.168.1.200-205, но почему-то в такой схеме я не могу достучаться до 10.10.10.0/24.

Что я сделал:

1. Убрал режим приватности - не помогло

2. В настройках Firewall прописал разрешение для TCP/UDP/ICMP трафика в сегментах HOME (сюда получается L2TP) и LAB (OPENVPN Client) - не помогло

3. Игрался с включением NAT на L2TP сервере - не помогло

4. Прописывал маршрут в ручную для сети 10.10.10.0 255.255.255.0 192.168.1.1 (в сеть 10.х через шлюз 192.х.х.1)

 

Не могли бы вы подсказать в чем может быть ошибка и куда стоит покопать?

Posted (edited)

Перечисленные Вами действия не ведут к решению проблемы, поэтому их нужно отменить, т.е. все правила, маршруты, все что крутили руками уберите как было. Далее идем в cli и выполняем следующие команды:

access-list l2tpusers                                                                                     - создали access list

permit ip 192.168.1.200 255.255.255.248 10.10.10.0 255.255.255.0                      - добаили в созданный acl правило для клиентов l2tp сервера. У Вас 192.168.1.200-205, т.е. ближайшая подсеть /29. А вообще                                                                                                                                                           лучше впн клиентам назначить адреса из сети отличной от домашнего сегмента.

exit                                                                                                                  - вышли из подгруппы команд access-list в основной конфиг

interface openvpn0 ip access-group myacl out                                        - привязали созданный acl к интерфейсу openvpn. Тут Вам нужно быть внимательным, т.к. название вашего openvpn интерфейса может                                                                                                                                              отличаться от openvpn0

system configuration save                                                                          - сохраняем проделанные изменения

 

 

Edited by werldmgn
Posted (edited)

Спасибо за совет, но привязать созданный ACL я к интерфейсу не могу. Роутер просто его не видит - хотя он есть в таблице маршрутов

IPv4 route table

Destination IP
Gateway
Interface
стер лишнее
10.1.30.0/24
0.0.0.0
Guest segment
10.10.10.0/24
10.10.14.1
htb
10.10.14.0/23
0.0.0.0
htb
подсетка
внешний айпишник
Provider
днс какой-то
внешний айпишник
Provider
стер лишнее    

Меня интересовал интерфейс htb, выполняя команду в cli получаю:

image.png.695bc9935b1a4433bb3f8e9a316da7a5.png

Есть ли команда посмотреть все интерфейсы через cli?

 

Edited by moscow shufffle
Posted

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

Posted

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

 

Update: interface openvpn0 ip access-group myacl out  поправил и все заработало, заменил myacl на l2tpusers

 

 

Posted
1 час назад, moscow shufffle сказал:

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

 

Update: interface openvpn0 ip access-group myacl out  поправил и все заработало, заменил myacl на l2tpusers

 

 

Да, извините. Я скопипастил команду и забыл изменить имя акла. Разумеется, раз создали акл l2tpusers, то и привязывать нужно его))

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.