Обеспечение доступа сети VPN сервера в сеть VPN клиента.

[Zebrator]

Добрый день!

Есть такая задача.

На обоих роутерах не стоит фильтров (или стоят правила пропуска всех протоколов и портов).
На роутере исходящей (откуда делаем ping) сети стоит маршрут:

...но пинг не проходит.

При этом пинг до собственно подключившегося клиента проходит:

В чем тут дело может быть? Спасибо!

Edited September 14, 2022 by Zebrator

[Zebrator]

Здравствуйте! Все еще прошу помощи по этому вопросу )

[Mamay]

7 часов назад, Zebrator сказал:

Все еще прошу помощи по этому вопросу )

Это неофициальное комьюнити состоящее из добровольцев. Ваша тема уже просто набила оскомину у народа и не интересна. Сходите к официалам, там обязательно помогут.

[Zebrator]

2 hours ago, Mamay said:

Это неофициальное комьюнити состоящее из добровольцев. Ваша тема уже просто набила оскомину у народа и не интересна. Сходите к официалам, там обязательно помогут.

Попробую, хотя,  если б все было так просто и тема, "набившая оскомину" была обсосана в других темах - не было бы нужды спрашивать здесь. Или если ответ простой и есть ссылка, могли бы поделиться,  а не делать такие отписки.

[Werld]

Вы полмесяца ждете ответа, но не потрудились даже подробнее описать ситуацию. Из вашего сообщения вообще не ясно при чем здесь кинетик. Какие именно устройства выступают впн сервером и впн клиентом? Трассировки до адресов которые не доступны вы не представили. Ваш скрин с маршрутом явно не из веб интерфейса кинетика. Вообще маршрут на скрине не верный, там интерфейс указан LAN, а должен быть, видимо, vpn. 

[Mamay]

18 часов назад, Zebrator сказал:

могли бы поделиться,  а не делать такие отписки.

Не работает и не умею пользоваться, как говорят в Одессе, две больших разницы!

Ещё раз. Здесь вам никто ничего не должен от слова совсем. 

[Mamay]

18 часов назад, Werld сказал:

Вы полмесяца ждете ответа, но не потрудились даже подробнее описать ситуацию. 

Полтора, КАРЛ! Полтора месяца. 

[Zebrator]

4 hours ago, Mamay said:

Полтора, КАРЛ! Полтора месяца. 

Товарищ, успокойтесь уже и идите изливайтесь в какое-то другое общественное место. Если вам нечем заняться, не значит, что другим это интересно.

[Zebrator]

23 hours ago, Werld said:

Вы полмесяца ждете ответа, но не потрудились даже подробнее описать ситуацию. Из вашего сообщения вообще не ясно при чем здесь кинетик. Какие именно устройства выступают впн сервером и впн клиентом? Трассировки до адресов которые не доступны вы не представили. Ваш скрин с маршрутом явно не из веб интерфейса кинетика. Вообще маршрут на скрине не верный, там интерфейс указан LAN, а должен быть, видимо, vpn. 

Кинетик здесь ни при чем. При чем - настройка маршрутизации.

VPN сервер - ротуер Xiaomi (прошивка Padavan), клиент, соответственно, Keenetic.

Интерфейс там выбран правильно, из возможных - LAN, WAN и MAN.

Трассировки скину сегодня, хотя т.к. собственно никаких шлюзов больше нет в локальных сетях соответствующих, то логично, что маршрут будет обрываться на них же.

Дело в каких-то правилах маршрутизации, которые надо установить для  VPN сервер сегмента.

Edited November 2, 2022 by Zebrator

[Werld]

4 минуты назад, Zebrator сказал:

Интерфейс там выбран правильно

Интерфейс выбран не правильно. Попробуйте тогда не указывать вообще интерфейс, если прошивка на xiaomi это позволяет.

[Zebrator]

6 minutes ago, Werld said:

Интерфейс выбран не правильно. Попробуйте тогда не указывать вообще интерфейс, если прошивка на xiaomi это позволяет.

Не указывать его нельзя там.

Такой вопрос тогда - маршруты и правила задаваемые в интерфейсе маршрутизаторов в том или ином виде транслируются в правила IPTables на уровень операционки. 

Мы можем идти от того, что вообще мы хотим видеть собственно в правилах на обоих сторонах?

Получается, что со стороны клиента я без проблем хожу и в свою и в удаленную сеть, а со стороны сервера не могу идти в сеть клиента (и это стандартное поведение для VPN клиент-сервера, реализуемое в разных прошивках опять-таки выражаемое в опредеденной конфигурации IPTables).

 

[Werld]

1 час назад, Zebrator сказал:

Не указывать его нельзя там.

Такой вопрос тогда - маршруты и правила задаваемые в интерфейсе маршрутизаторов в том или ином виде транслируются в правила IPTables на уровень операционки. 

Задаваемый в интерфейсе маршрут попадает в таблицу маршрутизации, если уж на то пошло. 

1 час назад, Zebrator сказал:

Мы можем идти от того, что вообще мы хотим видеть собственно в правилах на обоих сторонах?

На стороне сервера нужен маршрут до сети за клиентом. На стороне клиента в межсетевом экране должны быть разрешены входящие на впн интерфейс.

1 час назад, Zebrator сказал:

Получается, что со стороны клиента я без проблем хожу и в свою и в удаленную сеть, а со стороны сервера не могу идти в сеть клиента

Когда пакет из сети за впн-клиентом уходит в туннель, происходит подмена адреса источника. Соответственно, устройствам в сети впн-сервера не нужно знать маршрут до сети за клиентом чтобы слать ответные пакеты.

[asd255]

у меня работают так несколько офисов через L2TP\IPsec между 2\3 Keenetic 

можно ходить на ресурсы Головного офиса из филиалла

из головного офиса в филиалы

если актуально могу помочь

ноу меня другая проблема, не смог разобраться с маршрутизацией между филлиалами 

 

PS

покумекал с маршрутизацией сейчас и настроил между филеалами

Edited November 2, 2022 by asd255

[Zebrator]

35 minutes ago, asd255 said:

у меня работают так несколько офисов через L2TP\IPsec между 2\3 Keenetic 

можно ходить на ресурсы Головного офиса из филиалла

из головного офиса в филиалы

если актуально могу помочь

ноу меня другая проблема, не смог разобраться с маршрутизацией между филлиалами 

Было бы круто. Давайте я собиру трейсы и распечатки таблиц и выложу здесь для обсуждения.

Edited November 2, 2022 by Zebrator

[velikijzhuk]

Ну всё же просто донельзя=)))) IP вымышленные, совпадения случайны бла бла бла

Есть значит у меня сеть небольшая 192.168.1.0/24 (На микротике. В сети есть VPN сервер на Ubuntu 192.168.1.7) внешний ip пусть будет 1.1.1.1

Есть 2 филиала 

192.168.2.0/24 Speedster внешний ip пусть будет 2.2.2.2

192.168.3.0/24 Speedster внешний ip пусть будет 3.3.3.3

Решили как-то дать им доступ к NAS (192.168.1.8), ну и собственно дали.

Тут мне понадобилось залазить по RDP на компы филиалов, но не суть

Они подключаются Speedster'ами к Ubuntu (L2TP/IPSec) получают IP 10.20.30.2 и 10.20.30.3

Собственно доступ у них есть к 192.168.1.0/24, маршрут DNSMASQ отдаёт.

Чтоб заработало доступ в сети филиалов

На Ubuntu должно быть net.ipv4.ip_forward = 1

Скриптик при подключении /etc/ppp/ip-up.d/ppp-route

#!/bin/bash

IP=$PPP_REMOTE

IFS=. read IP1 IP2 IP3 IP4 <<< "$IP"

case $IP4 in
        2 | 3)
                ip route add 192.168.$IP4.0/24 via 10.20.30.$IP4 dev $PPP_IFACE
;;
esac

exit 0

Скриптик при отключении /etc/ppp/ip-down.d/ppp-route

#!/bin/bash

IP=$PPP_REMOTE

IFS=. read IP1 IP2 IP3 IP4 <<< "$IP"

case $IP4 in
        2 | 3)
                ip route delete 192.168.$IP4.0/24 via 10.20.30.$IP4 dev $PPP_IFACE
;;
esac

exit 0

Далее в Firewall'е

ufw route allow in on eth0 from 192.168.1.0/24 out on ppp+

ufw route allow in on ppp+ from 10.20.30.0/24 out on eth0

 

Затем маркируем в микротике пакеты на адреса 192.168.2.0/24 и 192.168.3.0/24 и добавляем маршрут через ubuntu

Скрытый текст

В кинетиках в фаерволе разрешаем всё через vpn TCP, UDP, ICMP

Скрытый текст

Имеем доступ к микроту который как свитч пашет

И принтеру

Также работает SMB

Edited November 28, 2022 by velikijzhuk