Алексей Сысоев Posted March 14, 2018 Share Posted March 14, 2018 (edited) Добрый день! Zyxel Giga III. Установил OpenVPN-клиент из прошивки. Связал с сервером (CentOS) - все ок, ошибок нет. Пинг из внутренней сети Зюкселя до внутреннего IP CentOS идет без проблем. А вот из CentOS не пингуется даже IP выданный на зюкселе OpenVPN (10.0.0.5). Правила iptables на CentOS прописаны правильно. Есть подозрение, что в стандартной прошивке зюкселя не прописываются правила форвард и маскарадинг при создании OpenVPN-подключении. Это же не логично!? Врядли стали бы сувать штатный готовый openvpn-клиент который не возможно настроить? Или неужели прийдется ставить что-то вроде EntWare? Пока что в "Обновлении" поставил только галочку "Opkg Поддержка открытых пакетов" Не очень бы хотелось нагружать роутер. Если прийдется, то как в моем случае можно обойтись наименьшей кровью? Поставив все по-минимум Заранее спасибо. Zyxel: CentOS: Edited March 14, 2018 by Алексей Сысоев Quote Link to comment Share on other sites More sharing options...
r13 Posted March 14, 2018 Share Posted March 14, 2018 @Алексей Сысоев в firewall кинетика доступ по openvpn интерфейсу открыли? Quote Link to comment Share on other sites More sharing options...
Алексей Сысоев Posted March 14, 2018 Author Share Posted March 14, 2018 9 минут назад, r13 сказал: @Алексей Сысоев в firewall кинетика доступ по openvpn интерфейсу открыли? да открывал Quote Link to comment Share on other sites More sharing options...
r13 Posted March 14, 2018 Share Posted March 14, 2018 (edited) 6 минут назад, Алексей Сысоев сказал: да открывал Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP Вы же разрешили только фактически OpenVPN внутри OpenVPN То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике. На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля) Edited March 14, 2018 by r13 1 Quote Link to comment Share on other sites More sharing options...
Алексей Сысоев Posted March 14, 2018 Author Share Posted March 14, 2018 5 минут назад, r13 сказал: Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP Вы же разрешили только фактически OpenVPN внутри OpenVPN То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике. На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля) большущее вам спасибо, мою бессонную ночь вы решили за секунду, пинг до 10.0.0.5 пошел. Однако пингов до устройств за зюкселем пока нет, попробую разобраться с маршрутизацией Quote Link to comment Share on other sites More sharing options...
r13 Posted March 14, 2018 Share Posted March 14, 2018 10 минут назад, Алексей Сысоев сказал: большущее вам спасибо, мою бессонную ночь вы решили за секунду, пинг до 10.0.0.5 пошел. Однако пингов до устройств за зюкселем пока нет, попробую разобраться с маршрутизацией Да, для начала поковырять маршрутизацию, ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком. Quote Link to comment Share on other sites More sharing options...
Алексей Сысоев Posted March 14, 2018 Author Share Posted March 14, 2018 (edited) 6 часов назад, r13 сказал: Да, для начала поковырять маршрутизацию, ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком. подскажите еще пожалуйста, как отключить НАТ в тунеле? Пытаюсь подключиться к sip-серверу на CentOS (с 192.168.1.99 на 192.168.122.1) по внутреннему интерфейсу, и вижу в tcpdump: Цитата 20:49:31.721236 IP 10.0.0.5.iad1 > serverbase.ru.sip: SIP: REGISTER sip:192.168.122.1 SIP/2.0 20:49:31.721474 IP serverbase.ru.sip > 10.0.0.5.iad1: SIP: SIP/2.0 401 Unauthorized 20:49:31.763434 IP 10.0.0.5 > serverbase.ru: ICMP 10.0.0.5 udp port iad1 unreachable, length 556 20:49:36.226232 IP 10.0.0.5.iad1 > serverbase.ru.sip: SIP: REGISTER sip:192.168.122.1 SIP/2.0 20:49:36.226453 IP serverbase.ru.sip > 10.0.0.5.iad1: SIP: SIP/2.0 401 Unauthorized и получаю Unauthorized именно по этому, потому что не с того IP запрос к sip-серверу идет Edited March 14, 2018 by Алексей Сысоев Quote Link to comment Share on other sites More sharing options...
r13 Posted March 15, 2018 Share Posted March 15, 2018 18 часов назад, Алексей Сысоев сказал: подскажите еще пожалуйста, как отключить НАТ в тунеле? С выборочным отключением nat сложнее, почитайте вот эту тему, там предложено решение. Quote Link to comment Share on other sites More sharing options...
Алексей Сысоев Posted March 15, 2018 Author Share Posted March 15, 2018 (edited) 41 минуту назад, r13 сказал: С выборочным отключением nat сложнее, почитайте вот эту тему, там предложено решение. спасибо, но что-то не помогло Edited March 15, 2018 by Алексей Сысоев Quote Link to comment Share on other sites More sharing options...
r13 Posted March 15, 2018 Share Posted March 15, 2018 (edited) Не, надо будет no ip nat Home И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static Edited March 15, 2018 by r13 Quote Link to comment Share on other sites More sharing options...
Алексей Сысоев Posted March 15, 2018 Author Share Posted March 15, 2018 (edited) 15 минут назад, r13 сказал: Не, надо будет no ip nat Home И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static так и сделал, но не сработало( Edited March 15, 2018 by Алексей Сысоев Quote Link to comment Share on other sites More sharing options...
r13 Posted March 15, 2018 Share Posted March 15, 2018 @Алексей Сысоев А сервер случаем не натит? Проверьте iptables на сервере. Quote Link to comment Share on other sites More sharing options...
Алексей Сысоев Posted March 15, 2018 Author Share Posted March 15, 2018 5 часов назад, r13 сказал: @Алексей Сысоев А сервер случаем не натит? Проверьте iptables на сервере. оказалось, я просто не правильно проверил. Нужно останавливать sip-клиента и заного запускать чтоб был эффект. Вообщем, в итоге когда выполнил эти команды - вообще перестает CentOS пинговаться по внутреннему интерфейсу, как только делаю ip static Home OpenVPN0, то пинг есть. Что-то еще упустил? Quote Link to comment Share on other sites More sharing options...
r13 Posted March 15, 2018 Share Posted March 15, 2018 (edited) 1 час назад, Алексей Сысоев сказал: оказалось, я просто не правильно проверил. Нужно останавливать sip-клиента и заного запускать чтоб был эффект. Вообщем, в итоге когда выполнил эти команды - вообще перестает CentOS пинговаться по внутреннему интерфейсу, как только делаю ip static Home OpenVPN0, то пинг есть. Что-то еще упустил? роутинг?! https://community.openvpn.net/openvpn/wiki/RoutedLans Ну и firewall на сервере тоже можно глянуть. Edited March 15, 2018 by r13 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.