Jump to content

Viva, проблемы с маршрутами


Recommended Posts

Добрый день, уважаемые форумчане!

Неделю мучаюсь с настройкой маршрутов на своем Keenetic VIVA.

Задача следующая:

На VIVA используется OpenVPN клиент для подключения в сеть с лабораторными машинами - подсеть 10.10.10.0/24 (или 255.255.255.0). Роутер при подключении получает адрес 10.10.14.X. Если я подключаюсь к VIVA через WiFi или LAN то мне выдается адрес в подсети 192.168.1.0/24. При таком подключении я могу взаимодействовать с хостами в подсети OpenVPN 10.10.10.0/24.

Далее я настроил L2TP/IPsec VPN server, выделил 5 ip адресов для подключения L2TP клиентов к роутеру. При подключении клиенты L2TP получают адрес 192.168.1.200-205, но почему-то в такой схеме я не могу достучаться до 10.10.10.0/24.

Что я сделал:

1. Убрал режим приватности - не помогло

2. В настройках Firewall прописал разрешение для TCP/UDP/ICMP трафика в сегментах HOME (сюда получается L2TP) и LAB (OPENVPN Client) - не помогло

3. Игрался с включением NAT на L2TP сервере - не помогло

4. Прописывал маршрут в ручную для сети 10.10.10.0 255.255.255.0 192.168.1.1 (в сеть 10.х через шлюз 192.х.х.1)

 

Не могли бы вы подсказать в чем может быть ошибка и куда стоит покопать?

Link to comment
Share on other sites

Перечисленные Вами действия не ведут к решению проблемы, поэтому их нужно отменить, т.е. все правила, маршруты, все что крутили руками уберите как было. Далее идем в cli и выполняем следующие команды:

access-list l2tpusers                                                                                     - создали access list

permit ip 192.168.1.200 255.255.255.248 10.10.10.0 255.255.255.0                      - добаили в созданный acl правило для клиентов l2tp сервера. У Вас 192.168.1.200-205, т.е. ближайшая подсеть /29. А вообще                                                                                                                                                           лучше впн клиентам назначить адреса из сети отличной от домашнего сегмента.

exit                                                                                                                  - вышли из подгруппы команд access-list в основной конфиг

interface openvpn0 ip access-group myacl out                                        - привязали созданный acl к интерфейсу openvpn. Тут Вам нужно быть внимательным, т.к. название вашего openvpn интерфейса может                                                                                                                                              отличаться от openvpn0

system configuration save                                                                          - сохраняем проделанные изменения

 

 

Edited by werldmgn
Link to comment
Share on other sites

Спасибо за совет, но привязать созданный ACL я к интерфейсу не могу. Роутер просто его не видит - хотя он есть в таблице маршрутов

IPv4 route table

Destination IP
Gateway
Interface
стер лишнее
10.1.30.0/24
0.0.0.0
Guest segment
10.10.10.0/24
10.10.14.1
htb
10.10.14.0/23
0.0.0.0
htb
подсетка
внешний айпишник
Provider
днс какой-то
внешний айпишник
Provider
стер лишнее    

Меня интересовал интерфейс htb, выполняя команду в cli получаю:

image.png.695bc9935b1a4433bb3f8e9a316da7a5.png

Есть ли команда посмотреть все интерфейсы через cli?

 

Edited by moscow shufffle
Link to comment
Share on other sites

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

 

Update: interface openvpn0 ip access-group myacl out  поправил и все заработало, заменил myacl на l2tpusers

 

 

Link to comment
Share on other sites

1 час назад, moscow shufffle сказал:

Так - show interface показал реальное имя интерфейса и оно почему-то отлично от того как я его назвал. Это OpenVPN0

 все сделал как нужно, но маршруты не работают

 

Update: interface openvpn0 ip access-group myacl out  поправил и все заработало, заменил myacl на l2tpusers

 

 

Да, извините. Я скопипастил команду и забыл изменить имя акла. Разумеется, раз создали акл l2tpusers, то и привязывать нужно его))

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...