Jump to content

OpenVPN клиент (пинг только в одну сторону)


Recommended Posts

Добрый день! Zyxel Giga III. Установил OpenVPN-клиент из прошивки. Связал с сервером (CentOS) - все ок, ошибок нет. Пинг из внутренней сети Зюкселя до внутреннего IP CentOS идет без проблем. А вот из CentOS не пингуется даже IP выданный на зюкселе OpenVPN (10.0.0.5). Правила iptables на CentOS прописаны правильно.

Есть подозрение, что в стандартной прошивке зюкселя не прописываются правила форвард и маскарадинг при создании OpenVPN-подключении. Это же не логично!? Врядли стали бы сувать штатный готовый openvpn-клиент который не возможно настроить?

Или неужели прийдется ставить что-то вроде EntWare? Пока что в "Обновлении" поставил только галочку "Opkg Поддержка открытых пакетов" Не очень бы хотелось нагружать роутер. Если прийдется, то как в моем случае можно обойтись наименьшей кровью? Поставив все по-минимум

Заранее спасибо.

Zyxel:

Снимок экрана 2018-03-14 в 13.32.31.png

Снимок экрана 2018-03-14 в 13.32.15.png

Снимок экрана 2018-03-14 в 13.31.44.png

 

CentOS:

Снимок экрана 2018-03-14 в 13.31.04.png

Снимок экрана 2018-03-14 в 13.33.27.png

Edited by Алексей Сысоев
Link to comment
Share on other sites

6 минут назад, Алексей Сысоев сказал:

да открывал

Снимок экрана 2018-03-14 в 13.53.18.png

Снимок экрана 2018-03-14 в 13.52.58.png

Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP

Вы же разрешили только фактически OpenVPN внутри OpenVPN

То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике.

На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля)

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

5 минут назад, r13 сказал:

Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP

Вы же разрешили только фактически OpenVPN внутри OpenVPN

То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике.

На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля)

большущее вам спасибо, мою бессонную ночь вы решили за секунду, пинг до 10.0.0.5 пошел. Однако пингов до устройств за зюкселем пока нет, попробую разобраться с маршрутизацией

Link to comment
Share on other sites

10 минут назад, Алексей Сысоев сказал:

большущее вам спасибо, мою бессонную ночь вы решили за секунду, пинг до 10.0.0.5 пошел. Однако пингов до устройств за зюкселем пока нет, попробую разобраться с маршрутизацией

Да, для начала поковырять маршрутизацию,

ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком.

 

Link to comment
Share on other sites

6 часов назад, r13 сказал:

Да, для начала поковырять маршрутизацию,

ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком.

 

подскажите еще пожалуйста, как отключить НАТ в тунеле?

 

Пытаюсь подключиться к sip-серверу на CentOS (с 192.168.1.99 на 192.168.122.1) по внутреннему интерфейсу, и вижу в tcpdump:

Цитата

20:49:31.721236 IP 10.0.0.5.iad1 > serverbase.ru.sip: SIP: REGISTER sip:192.168.122.1 SIP/2.0
20:49:31.721474 IP serverbase.ru.sip > 10.0.0.5.iad1: SIP: SIP/2.0 401 Unauthorized
20:49:31.763434 IP 10.0.0.5 > serverbase.ru: ICMP 10.0.0.5 udp port iad1 unreachable, length 556
20:49:36.226232 IP 10.0.0.5.iad1 > serverbase.ru.sip: SIP: REGISTER sip:192.168.122.1 SIP/2.0
20:49:36.226453 IP serverbase.ru.sip > 10.0.0.5.iad1: SIP: SIP/2.0 401 Unauthorized

и получаю Unauthorized именно по этому, потому что не с того IP запрос к sip-серверу идет

Edited by Алексей Сысоев
Link to comment
Share on other sites

18 часов назад, Алексей Сысоев сказал:

подскажите еще пожалуйста, как отключить НАТ в тунеле?

С выборочным отключением nat сложнее,

почитайте вот эту тему, там предложено решение.

 

Link to comment
Share on other sites

41 минуту назад, r13 сказал:

С выборочным отключением nat сложнее,

почитайте вот эту тему, там предложено решение.

 

 

 

спасибо, но что-то не помогло

 

 

Снимок экрана 2018-03-15 в 15.42.14.png

Edited by Алексей Сысоев
Link to comment
Share on other sites

Не, надо будет no ip nat Home

И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static

Edited by r13
Link to comment
Share on other sites

15 минут назад, r13 сказал:

Не, надо будет no ip nat Home

И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static

так и сделал, но не сработало(

Снимок экрана 2018-03-15 в 15.48.42.png

Снимок экрана 2018-03-15 в 15.48.10.png

Снимок экрана 2018-03-15 в 15.53.39.png

Снимок экрана 2018-03-15 в 15.56.56.png

Edited by Алексей Сысоев
Link to comment
Share on other sites

5 часов назад, r13 сказал:

@Алексей Сысоев А сервер случаем не натит? Проверьте iptables на сервере.

оказалось, я просто не правильно проверил. Нужно останавливать sip-клиента и заного запускать чтоб был эффект.

Вообщем, в итоге когда выполнил эти команды - вообще перестает CentOS пинговаться по внутреннему интерфейсу, как только делаю ip static Home OpenVPN0, то пинг есть.

Что-то еще упустил?

Link to comment
Share on other sites

1 час назад, Алексей Сысоев сказал:

оказалось, я просто не правильно проверил. Нужно останавливать sip-клиента и заного запускать чтоб был эффект.

Вообщем, в итоге когда выполнил эти команды - вообще перестает CentOS пинговаться по внутреннему интерфейсу, как только делаю ip static Home OpenVPN0, то пинг есть.

Что-то еще упустил?

роутинг?!

https://community.openvpn.net/openvpn/wiki/RoutedLans

Ну и firewall на сервере тоже можно глянуть.

Edited by r13
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...