Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

OpenVPN клиент (пинг только в одну сторону)

Алексей Сысоев
 Поделиться

Рекомендуемые сообщения

Алексей Сысоев Новичок

Алексей Сысоев

Опубликовано
Опубликовано (изменено)

Добрый день! Zyxel Giga III. Установил OpenVPN-клиент из прошивки. Связал с сервером (CentOS) - все ок, ошибок нет. Пинг из внутренней сети Зюкселя до внутреннего IP CentOS идет без проблем. А вот из CentOS не пингуется даже IP выданный на зюкселе OpenVPN (10.0.0.5). Правила iptables на CentOS прописаны правильно.

Есть подозрение, что в стандартной прошивке зюкселя не прописываются правила форвард и маскарадинг при создании OpenVPN-подключении. Это же не логично!? Врядли стали бы сувать штатный готовый openvpn-клиент который не возможно настроить?

Или неужели прийдется ставить что-то вроде EntWare? Пока что в "Обновлении" поставил только галочку "Opkg Поддержка открытых пакетов" Не очень бы хотелось нагружать роутер. Если прийдется, то как в моем случае можно обойтись наименьшей кровью? Поставив все по-минимум

Заранее спасибо.

Zyxel:

Снимок экрана 2018-03-14 в 13.32.31.png

Снимок экрана 2018-03-14 в 13.32.15.png

Снимок экрана 2018-03-14 в 13.31.44.png

 

CentOS:

Снимок экрана 2018-03-14 в 13.31.04.png

Снимок экрана 2018-03-14 в 13.33.27.png

Изменено пользователем Алексей Сысоев
r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
6 минут назад, Алексей Сысоев сказал:

да открывал

Снимок экрана 2018-03-14 в 13.53.18.png

Снимок экрана 2018-03-14 в 13.52.58.png

Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP

Вы же разрешили только фактически OpenVPN внутри OpenVPN

То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике.

На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля)

Изменено пользователем r13
  • Спасибо 1
Алексей Сысоев Новичок

Алексей Сысоев

Опубликовано
  • Автор
Опубликовано
5 минут назад, r13 сказал:

Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP

Вы же разрешили только фактически OpenVPN внутри OpenVPN

То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике.

На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля)

большущее вам спасибо, мою бессонную ночь вы решили за секунду, пинг до 10.0.0.5 пошел. Однако пингов до устройств за зюкселем пока нет, попробую разобраться с маршрутизацией

r13 Старожил

r13

Опубликовано
Опубликовано
10 минут назад, Алексей Сысоев сказал:

большущее вам спасибо, мою бессонную ночь вы решили за секунду, пинг до 10.0.0.5 пошел. Однако пингов до устройств за зюкселем пока нет, попробую разобраться с маршрутизацией

Да, для начала поковырять маршрутизацию,

ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком.

 

Алексей Сысоев Новичок

Алексей Сысоев

Опубликовано
  • Автор
Опубликовано (изменено)
6 часов назад, r13 сказал:

Да, для начала поковырять маршрутизацию,

ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком.

 

подскажите еще пожалуйста, как отключить НАТ в тунеле?

 

Пытаюсь подключиться к sip-серверу на CentOS (с 192.168.1.99 на 192.168.122.1) по внутреннему интерфейсу, и вижу в tcpdump:

Цитата

20:49:31.721236 IP 10.0.0.5.iad1 > serverbase.ru.sip: SIP: REGISTER sip:192.168.122.1 SIP/2.0
20:49:31.721474 IP serverbase.ru.sip > 10.0.0.5.iad1: SIP: SIP/2.0 401 Unauthorized
20:49:31.763434 IP 10.0.0.5 > serverbase.ru: ICMP 10.0.0.5 udp port iad1 unreachable, length 556
20:49:36.226232 IP 10.0.0.5.iad1 > serverbase.ru.sip: SIP: REGISTER sip:192.168.122.1 SIP/2.0
20:49:36.226453 IP serverbase.ru.sip > 10.0.0.5.iad1: SIP: SIP/2.0 401 Unauthorized

и получаю Unauthorized именно по этому, потому что не с того IP запрос к sip-серверу идет

Изменено пользователем Алексей Сысоев
r13 Старожил

r13

Опубликовано
Опубликовано
18 часов назад, Алексей Сысоев сказал:

подскажите еще пожалуйста, как отключить НАТ в тунеле?

С выборочным отключением nat сложнее,

почитайте вот эту тему, там предложено решение.

 

Алексей Сысоев Новичок

Алексей Сысоев

Опубликовано
  • Автор
Опубликовано (изменено)
41 минуту назад, r13 сказал:

С выборочным отключением nat сложнее,

почитайте вот эту тему, там предложено решение.

 

 

 

спасибо, но что-то не помогло

 

 

Снимок экрана 2018-03-15 в 15.42.14.png

Изменено пользователем Алексей Сысоев
r13 Старожил

r13

Опубликовано
Опубликовано (изменено)

Не, надо будет no ip nat Home

И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static

Изменено пользователем r13
Алексей Сысоев Новичок

Алексей Сысоев

Опубликовано
  • Автор
Опубликовано (изменено)
15 минут назад, r13 сказал:

Не, надо будет no ip nat Home

И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static

так и сделал, но не сработало(

Снимок экрана 2018-03-15 в 15.48.42.png

Снимок экрана 2018-03-15 в 15.48.10.png

Снимок экрана 2018-03-15 в 15.53.39.png

Снимок экрана 2018-03-15 в 15.56.56.png

Изменено пользователем Алексей Сысоев
Алексей Сысоев Новичок

Алексей Сысоев

Опубликовано
  • Автор
Опубликовано
5 часов назад, r13 сказал:

@Алексей Сысоев А сервер случаем не натит? Проверьте iptables на сервере.

оказалось, я просто не правильно проверил. Нужно останавливать sip-клиента и заного запускать чтоб был эффект.

Вообщем, в итоге когда выполнил эти команды - вообще перестает CentOS пинговаться по внутреннему интерфейсу, как только делаю ip static Home OpenVPN0, то пинг есть.

Что-то еще упустил?

r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
1 час назад, Алексей Сысоев сказал:

оказалось, я просто не правильно проверил. Нужно останавливать sip-клиента и заного запускать чтоб был эффект.

Вообщем, в итоге когда выполнил эти команды - вообще перестает CentOS пинговаться по внутреннему интерфейсу, как только делаю ip static Home OpenVPN0, то пинг есть.

Что-то еще упустил?

роутинг?!

https://community.openvpn.net/openvpn/wiki/RoutedLans

Ну и firewall на сервере тоже можно глянуть.

Изменено пользователем r13

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю