Маршрутизация за клиентом OpenVPN

[andresyto]

Привет Вилики Гуру. подскажите как настроить сеть
Дано 2 Debian 6 server
2 Центральный сервер выполняет роль Mail/DHCP/NAT/Squid+squidGuard/OpenVPN-server eth0 - реальный ip адрес eth1 - ip 192.168.0.1
в локалке примерно 15 Windows машин
3 Филиал1 сервер выполняет роль DHCP/NAT/Squid+squidGuard/OpenVPN-client eth0 - серый ip адрес eth1 - ip 192.168.1.1
в локалке 5 windows машин + 1 video-server
OpenVpn поднимается сервера пингутся,
из Центральный офиса видны все машины Филиала1
Проблема
Из Филиала1 пинг проходит только до 192.168.0.1
пробую пинговать с Клинта Windows любой другой ip адрес выдает сообщение "Превышен интервал ожидания "

Настройка OpenVPN далал по этой статье http://www.lissyara.su/articles/freebsd ... n+pkcs-12/ только поменял порт
Данные с Центрального сервера

Код: Выделить всё

route -n 

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.100.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.10.100.0 10.10.100.2 255.255.255.252 UG 0 0 0 tun0
95.xxx.xx.xx 0.0.0.0 255.255.255.252 U 0 0 0 eth0
10.10.100.0 10.10.100.2 255.255.255.0 UG 0 0 0 tun0
192.168.3.0 10.10.100.2 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 10.10.100.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 10.10.100.2 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 95.xxx.xx.xx 0.0.0.0 UG 0 0 0 eth0

Код: Выделить всё

iptables -L

Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere multiport ports 49152:65535
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT udp -- anywhere anywhere udp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT udp -- anywhere anywhere udp dpt:pop3
ACCEPT udp -- anywhere anywhere udp dpt:33333
ACCEPT all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Код: Выделить всё

iptables -L -v -n

Chain INPUT (policy DROP 230 packets, 6822 bytes)
pkts bytes target prot opt in out source destination
18000 1346K fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
150K 492M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
762K 213M ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
938K 1010M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
156 9200 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
32 1752 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
180 10360 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport ports 49152:65535
1189 57076 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
20 1152 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
11 521 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
57 3136 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:110
1926 120K ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:33333
14 1068 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
70442 3657K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
543K 92M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
196 8160 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 REJECT all -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
150K 492M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
1086K 1010M ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
867K 229M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
17924 1341K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Код: Выделить всё

iptables -L -v -n -t nat

Chain PREROUTING (policy ACCEPT 34545 packets, 5424K bytes)
pkts bytes target prot opt in out source destination
12939 673K DNAT tcp -- eth1 * 0.0.0.0/0 !192.168.0.0/24 multiport dports 80,8080 to:192.168.0.1:3128
Chain POSTROUTING (policy ACCEPT 16132 packets, 1158K bytes)
pkts bytes target prot opt in out source destination
38981 2169K MASQUERADE all -- * eth0 192.168.0.0/24 0.0.0.0/0
6 1474 SNAT all -- * * 192.168.0.0/24 !192.168.0.0/16 to:10.10.100.1
Chain OUTPUT (policy ACCEPT 5939 packets, 447K bytes)
pkts bytes target prot opt in out source destination

Данные с сервера филиала1

Код: Выделить всё

route -n 

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.100.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.113.153.48 0.0.0.0 255.255.255.240 U 0 0 0 eth0
10.10.100.0 10.10.100.1 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 10.10.100.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 10.10.100.1 255.255.0.0 UG 0 0 0 tun0
0.0.0.0 10.113.153.49 0.0.0.0 UG 0 0 0 eth0

Код: Выделить всё

iptables -L

target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:9000
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT udp -- anywhere anywhere udp dpt:www
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW

Код: Выделить всё

iptables -L -v -n

Chain INPUT (policy DROP 2812 packets, 105K bytes)
pkts bytes target prot opt in out source destination
380 36650 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
49532 3162K ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
73253 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9000
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
27 1888 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1661 86220 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
50827 6793K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
1970 100K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 REJECT all -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
380 36650 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
24450 2181K ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
122K 18M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

Код: Выделить всё

iptables -L -v -n -t nat

Chain PREROUTING (policy ACCEPT 291K packets, 376M bytes)
pkts bytes target prot opt in out source destination
1004 52048 DNAT tcp -- eth1 * 0.0.0.0/0 !192.168.1.0/24 multiport dports 80,8080 to:192.168.1.1:3128

Chain POSTROUTING (policy ACCEPT 8068 packets, 617K bytes)
pkts bytes target prot opt in out source destination
4 208 MASQUERADE all -- * eth0 192.168.1.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 7557 packets, 572K bytes)
pkts bytes target prot opt in out source destination

Данные с ПК Windows клиента Филиала1

Код: Выделить всё

ipconfig /all

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : ADM
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Ethernet
Физический адрес. . . . . . . . . : 44-87-FC-86-7C-5F
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.18(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 11 сентября 2012 г. 8:59:14
Срок аренды истекает. . . . . . . . . . : 11 сентября 2012 г. 17:59:13
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{5590C2A5-1640-4291-9492-3DDE67193709}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 3:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Код: Выделить всё

route print

===========================================================================
Список интерфейсов
11...44 87 fc 86 7c 5f ......NVIDIA nForce 10/100 Mbps Ethernet
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.18 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.18 255.255.255.255 On-link 192.168.1.18 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.18 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.18 276
===========================================================================
Постоянные маршруты:
Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

с Windows машины Филиала в центральный офис

ping 192.168.0.1 # сервер центрального офиса
Обмен пакетами с 192.168.0.1 по с 32 байтами данных:
Ответ от 192.168.0.1: число байт=32 время=1мс TTL=63
Ответ от 192.168.0.1: число байт=32 время=1мс TTL=63
Ответ от 192.168.0.1: число байт=32 время=1мс TTL=63
Ответ от 192.168.0.1: число байт=32 время=1мс TTL=63
Статистика Ping для 192.168.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 1 мсек, Среднее = 1 мсек
C:\Users\Admin>tracert 192.168.0.1
Трассировка маршрута к 192.168.0.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.1.1
2 1 ms 1 ms 1 ms 192.168.0.1
Трассировка завершена.
ping 192.168.0.2 # ip адрес Пк в центральном офесе
Обмен пакетами с 192.168.0.2 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 192.168.0.2:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)
tracert 192.168.0.2
Трассировка маршрута к 192.168.0.2 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.1.1
2 1 ms 1 ms 1 ms 10.10.100.1
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * ^C

Помогите плиз уже пару дней как

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[skeletor]

Почему один и тот же маршрут, но с разными масками?

Код: Выделить всё

192.168.0.0 10.10.100.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 10.10.100.1 255.255.0.0 UG 0 0 0 tun0

[andresyto]

пробовал варианты чтобы увидеть машины за vpn

[mak_v_]

Говорят логи есть на стороне клиента и сервера

[skeletor]

пробовал варианты чтобы увидеть машины за vpn

Ну когда пробуешь, то ведь нужно удалять неправильные маршруты. Вообще, первым делом сравни таблицы маршрутизации на обеих концах - должны быть зеркальными. Если не заработает - смотри тогда файервол.

22mak_v_ - логи годятся только на этапе установления соединения, а вот что ты будешь пускать в тунеле, какие подсети, это логгироваться не будет.

[mak_v_]

Э ты какой умный....

[skeletor]

Да, так как решение вопроса в данном случае через логи openvpn'a автор не получит, ну вот такой он openvpn (пустите к примеру пинг через tun/tap на адрес, который в дауне, и в логах ответа, почему пинг не работает, где обрывается, где приходят запросы вы не увидите). Здесь лучше всего использовать tcpdump, который быстрее даст ответ, где проблема. Да и проблема здесь не столько openvpn'a, а сколько в маршрутизации (о чём можно понять с первого поста).

[mak_v_]

Я из первого поста сразу увидел SNAT, a вам и тс рекомендую глядеть в логи.
Иначе будут одни вопросы.

[Гость]

а можно конфиг опенвпн сервера и клиента?