Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
4e6
Зарегистрирован: 09.01.2006 Сообщения: 92 Откуда: Москва
|
Добавлено: Вт Мар 27 2007 20:27 Заголовок сообщения: Вопрос по маршрутизации |
|
|
Дано:
Сеть1
192.168.0.0/24
Маршрутизатор1: 192.168.0.62/255.255.255.0
Маршрутизатор2: 192.168.0.63/255.255.255.0
OpenVPN
10.1.1.1
Клиент1
192.168.0.13/255.255.255.0
шлюз по умолчанию 192.168.0.62
маршрут 192.168.2.0/24 -> 192.168.0.63
Сеть2
192.168.2.0/24
Маршрутизатор3: 192.168.2.64/255.255.255.0
OpenVPN
10.1.1.2
Клиент2
192.168.2.13/255.255.255.0
шлюз по умолчанию 192.168.2.64
Т.е. 2 сети, объединённые посредством OpenVPN. В роли маршрутизаторов 2 и 3 - Linux Fedora Core 4/2.6.17-1.2142_FC4 и 2.6.11-1.1369_FC4 соответственно.
Удалось добиться того, что из Сети1 свободно проходят пакеты в Сеть2. Вот пример с Маршрутизатора2:
Код: | traceroute to 192.168.2.13 (192.168.2.13), 30 hops max, 38 byte packets
1 10.1.1.2 2.407 ms 3.361 ms 4.287 ms
2 192.168.2.13 2.745 ms 2.744 ms 5.079 ms |
С Клиента1 тоже всё хорошо.
А в обратную сторону, т.е. из Сети2 в Сеть1 только до Маршрутизатора2:
Код: | Трассировка маршрута к 192.168.0.13 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.2.64
2 4 ms 2 ms 3 ms 10.1.1.1
3 * * * Превышен интервал ожидания для запроса.
4 ^C |
IP Forward и там и там =1
При поднятии туннеля на Маршрутизаторе2 поднимается маршрут:
Код: | route add -net 192.168.2.0/24 gw 10.1.1.2 dev tun0 |
На Маршрутизаторе3:
Код: | route add -net 192.168.0.0/24 gw 10.1.1.1 dev tun0 |
Где грабли? Устал по ним топтаться. _________________
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Мар 27 2007 21:47 Заголовок сообщения: |
|
|
Какой default gw на 192.168.0.13 ?
Сдается мне, что 192.168.0.62.
А ведь он ни сном, ни духом о сети 192.168.2.0/24
А ведь на нем надо бы сделать так:
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.0.63 |
|
Вернуться к началу |
|
|
4e6
Зарегистрирован: 09.01.2006 Сообщения: 92 Откуда: Москва
|
Добавлено: Ср Мар 28 2007 08:21 Заголовок сообщения: |
|
|
Не угадали. Я ж написал
Цитата: | Клиент1
192.168.0.13/255.255.255.0
шлюз по умолчанию 192.168.0.62
маршрут 192.168.2.0/24 -> 192.168.0.63 |
Ну и так как я сейчас как раз на 192.168.0.13, ака Клиент1, то вон route print:
Код: | Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
Y:\>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 01 6c 27 2f 9c ...... Intel(R) PRO/1000 CT Network Connection - ╠шэшяю
ЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.62 192.168.0.13 20
81.211.64.80 255.255.255.255 192.168.0.62 192.168.0.13 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.13 192.168.0.13 20
192.168.0.13 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.13 192.168.0.13 20
192.168.2.0 255.255.255.255 192.168.0.63 192.168.0.13 1
192.168.2.0 255.255.255.0 192.168.0.63 192.168.0.13 1
224.0.0.0 240.0.0.0 192.168.0.13 192.168.0.13 20
255.255.255.255 255.255.255.255 192.168.0.13 192.168.0.13 1
Основной шлюз: 192.168.0.62
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
81.211.64.80 255.255.255.255 192.168.0.62 1
Y:\> |
Грешу ещё на фаерволы. Вот что у меня делается относительно туннелей:
Код: | iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT |
Может, что-то не так? _________________
|
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Чт Мар 29 2007 06:13 Заголовок сообщения: |
|
|
сдается мне что действительно дело в фаерволе...
правил которые вы написали, мне кажется недостаточно...
необходимо ещё на соответствующих интерфейсах маршрутизаторов разрешить принимать пакеты...
Напрмер на маршрутизаторе 3 , на интерфейсе 192.168.2.64 появится пакет из сети 192.168.0.0/24
Есть у вас правило, которое разрешает принимать эти пакеты на этом интерфейсе?? _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
4e6
Зарегистрирован: 09.01.2006 Сообщения: 92 Откуда: Москва
|
Добавлено: Чт Мар 29 2007 07:00 Заголовок сообщения: |
|
|
Добавил правило:
Код: | iptables -A INPUT -s 192.168.0.0 -j ACCEPT |
Добился того, что с клиента 192.168.2.13 проходят пинги во всю сеть 192.168.0.0/24
Маршрутизатор 192.168.0.63 также пингует всю сеть (включая маршрутизатор 192.168.2.64) 192.168.2.0/64.
А вот с маршрутизатора 192.168.2.64 пингуется только 192.168.0.63 и никакие другие адреса из сети 192.168.0.0/24. Может, дело в том, что при отправке этого пинга он "представляется" не как 192.168.2.64, а как 10.1.1.2? А в эту сеть клиенты маршрута уж точно не знают... _________________
|
|
Вернуться к началу |
|
|
4e6
Зарегистрирован: 09.01.2006 Сообщения: 92 Откуда: Москва
|
Добавлено: Чт Мар 29 2007 10:14 Заголовок сообщения: |
|
|
Разобрался. Спасибо Sol. Дело действительно было в фаерволле. Надо было на обоих маршрутизаторах разрешить приём пакетов из соседней сети + разрешить форвардинг из этих сетей. Прошу прощения за невежество - я только учусь. _________________
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 29 2007 10:51 Заголовок сообщения: |
|
|
Цитата: | Грешу ещё на фаерволы. Вот что у меня делается относительно туннелей: |
Всегда при разборе полетов отключай фаерволы.
Вчера лечил проблему. Не работает скайп через проксю, хоть ты тресни. Но товарищ утверждает, что работало.
Я снимал трафик, читал доки, форумы, то, сё... Плюнул, отодвинул товарища от компа, сел сам. Отключил локальный фаервол от славной компании AVP. Заработало.
Начал разбираться. Оказывается он еще и проверяет зашифрованные SSL. Ясен пень делает это очень плохо и рвет соединение. Отключил проверку SSL. Работает.
Мораль: Уберите сложное, чтобы решить проблему с простым. |
|
Вернуться к началу |
|
|
4e6
Зарегистрирован: 09.01.2006 Сообщения: 92 Откуда: Москва
|
Добавлено: Чт Мар 29 2007 12:13 Заголовок сообщения: |
|
|
Дык ить нельзя было совсем отключать. Во-первых, форвардинг перестаёт работать, что при удалённой работе создаёт досадную ситуацию. А во-вторых, как-то не очень хорошо оставлять сервер в инете без фаервола... _________________
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 29 2007 22:57 Заголовок сообщения: |
|
|
Цитата: | Дык ить нельзя было совсем отключать. Во-первых, форвардинг перестаёт работать |
Фигню нести перестаем.
service iptables stop не вызывает запрета на передачу пакетов между интерфейсами.
За 20-30 минут вас не взломают. Мифы это все. |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Мар 30 2007 08:19 Заголовок сообщения: |
|
|
не нравится мне это ваше правило
Код: | iptables -A INPUT -s 192.168.0.0 -j ACCEPT |
Я может быть излишне перестраховываюсь.. но.. что вы сделали на самом деле этим правилом?
Разрешили приём пакетов из сети 192.168.0.0 на всех интерфейсах!
Моё внутренне я катогорически сопротивляется таким правилам, потому что знает, что через 3 месяца.. (или пол года.. не суть важно) забудет, что такое правило есть.. А там возникнет необходимость добавить сетевой интерфейс.. или vpn туннель .. или ещё бог знает что..
И на нём это правило тоже будет применяться!
И полезут проблемы.. И вы будете чесать затылок и вопрошать: "Ну почему ж эта хрень так работает??"
Разрешать нужно и должно ровно столько, сколько необходимо для решения конкретной задачи.. Избавите себя от множества проблем.
извините за "многа букв" .. :-) _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
|