Поломалась маршрутизация при openConnect

[maxi1980]

Всем здравствуйте, я здесь новичок, потому что 10 лет с кенетиками и никогда проблем не было.

Сразу дисклеймер - проблему решил, но костылём.

Сеть следующая:

Центральный роутер Giant (KN-2610) 4.3.3:  192.168.0.1  - два интернет провайдера: ISP1 статика провод, второй ISP2 сотовый оператор

Филиал 1,2,3: Hero 4G+ (KN-2311) 4.3.3 : 192.168.(1,2,3).1 - у каждого также по таким же два провайдера

Филиалы подключаются к центральному по openconnect vpn (по DNS имени из домена keneetic.pro)

И пользовались ресурсами центрального офиса (маршруты добавлялись автоматически).

причем из центрального офиса также можно было "видеть" всю сеть каждого филиала (в межсетевом экране добавил для vpn соединений разрешение на TCP UDP ICMP входы)

С безопасностью доступов рабочих станций всё ок, так что ничего страшного.

Крылатая фраза - Всё работало до обновления прекрасно. на прошивках 4.2: при отвале любого одного провайдера в любом филиале связь была (я еще к юсб модемам уличные антенны выставил, 40-50 мегабит было)

И тут появилась новая прошивка, я долго не обновлялся, но но постоянные уведомления замылили глаз и я как обычно начал обновление кенетика, взял один не сильно важный филиал: и началось, oc vpn не поднялся, всякими манипуляциями - поднял, но ресурсы центрального офиса были недоступны, но вместо того чтобы посидеть поразбираться спокойно (а меня начал актвино мучить филиал), я сделал распространенную ошибку - обновил центральный роутер (рука лицо).

Логика была такая, сделать быстрее и думал что то серьезно обновили и нужны одинаковые прошивки (такое тоже часто бывает).

Но нет, ресурсы также были недоступны, но теперь уже со всех филиалов )))

Дабы восстановить работу, у меня был настроен план Б - L2TP , пока все были на статике, то я успешно всё восстановил.

И вот потратил спокойно денек на разбор ситуации:

Если кратко, то почему-то, на данный момент я еще не понял, поэтому и пишу сюда. пока сам не разобрался:

на филиальном роутере маршрут до центрального "прописался" с неправильным IP

например: vpn клиент подключается из сети 192.168.1.0/24 с IP 192.168.0.220/24 к центральному, соотв автоматом на нём и появлялся маршрут 192.168.0.0    0.0.0.0    OCVPN

теперь там появляется маршрут 192.168.0.128/25   0.0.0.0  OCVPN

после ручного добавления маршрута  192.168.0.0    0.0.0.0    OCVPN всё начинает работать

эту проблему пока не решил

поясните что сделать?

 

Изменено 20 июня пользователем maxi1980

[Le ecureuil]

То есть маршруты на сервере до клиента прописываются неверно?

Вообще очень странно что какие-то 25 маски выплывают откуда-то.

Можете прислать self-test с устройства когда все подключено, с которого вы тут привели данные в примере?

[maxi1980]

Наоборот, у клиента маршрут неправильно, вот этот, с маской 25, т.е. с чего он берет половину сети, непонятно

Пока selftest скидывать не буду, думал может у кого такая же конфигурация и скажут что на данной прошивке у них всё ок, тогда у себя копать буду.

На данный момент танцы с бубном не увенчались успехом, всё тот маршрут автоматически создается у OCVPN клиента

пока вернулся на SSTP, на нем пока маршруты делаются нормально и сети друг друга видят.

 

Спойлер

 

вот вместо sef testa пока, это клиент в 192.168.4.0/24 сети , подключается через OCVPN к центральному с 192.168.0.0/24 сетью, но даже исходя из того, что первые 128 адресов типа должны быть доступны, всё-равно ничего не открывается

Изменено 22 июня пользователем maxi1980

[maxi1980]

 

Спойлер

 

ну а вот с SSTP подключением, у клиента, как видим все маршруты - ок и впринципе всё работает

как повлиять у кенетика на маршруты - не знаю, cli не особо пользуюсь, на микротике бы таких вольностей не было у роутера.

[Le ecureuil]

Нужно бы два self-test - в первом на 4.2, когда все хорошо, второй - 4.3 - когда все неправильно.

И в обоих случаях должен быть заранее включен interface OpenConnect0 debug.

[maxi1980]

спасибо за внимание к моей теме, но впервых не буду уже переделывать боевые роутеры ради эксперимента и логов,

вовторых впринципе сейчас всё работает через sstp,

единственное хочу ради эксперимента - один кенетик до 5 бэты обновить и уже там пробовать openconnect

только вот я к сожалению не в полной мере знаю процессы прошивки кенетиков, например с бэты можно вернуться? и до какой?, но это уже тема другого обсуждения

Изменено Понедельник в 22:48 пользователем maxi1980

[Le ecureuil]

По идее между соседними версиями обычно можно обновляться без особых последствий, между 4.2, 4.3 и 5.0 точно. Необратимой конвертации конфига быть не должно.