|
|
|
|
|
Как победить OpenVPN за NAT | ☑ | ||
|---|---|---|---|---|
|
0
IVIuXa
23.03.09
✎
09:06
|
Вообщем поставил openvpn
Подскажите по OpenVPN там конфиги если что без фаервола все работает как только включаю nat на внешнем интерфейсе сервера начинаются проблемы уже замучился и вырезал "окошки" из ната и делал отделение openvpn от роутера с пробросом порта и менял протокол на udp все равно не помогает подскажите как правильно должен быть openvpn за nat |
|||
|
1
Ангел- Хоронитель
23.03.09
✎
09:35
|
(0)просто порт натишь наружу и все. это если за натом точка. а если сервак - маппишь снаружи на сервер.
|
|||
|
2
IVIuXa
23.03.09
✎
09:39
|
(1)
чет я не понял может я не так сказал openvpn - поднимается, интерфейсы внутренних сеток пингуются и у роутера-сервера и у роутера-клиента не пингуется, затыкается пинг к компам внутренн сетки роутера-сервера, если пинговать с ротера клиента |
|||
|
3
DGorgoN
23.03.09
✎
09:41
|
hamachi
|
|||
|
4
IVIuXa
23.03.09
✎
09:42
|
+(2)
бл.. не идет пинг с роут-клиента к компьютеру за openvpn-сервером причем внутренн. интерфейс openvpn-сервера пингуется ..... уфф вот |
|||
|
5
Ангел- Хоронитель
23.03.09
✎
09:44
|
(4)чего говорит traccert? чего говорят логи? чего говорит route print на роут-клиенте?
|
|||
|
6
IVIuXa
23.03.09
✎
09:46
|
(5)
роуты все отрабатывают, после выключения ната - все работает т.е. пинги из вн сети идут в другую вн сеть без проблем |
|||
|
7
Ангел- Хоронитель
23.03.09
✎
09:47
|
(6)учитесь выражевывать свои мысли верно. где вы нат включаете? чего куда идет и не идет? лучше схему.
|
|||
|
8
Fragster
гуру
23.03.09
✎
09:50
|
ip route на серваке - в студию... и на клиенте...
|
|||
|
9
IVIuXa
23.03.09
✎
09:52
|
(7)
XP1->Роутер-клиентVPN->......->NAT-openvpn-сервер-роутер->xp2 так пинг не идет от Роутер-клиентVPN к xp2 но идет к внутреннему интерфейсу NAT-openvpn-сервер-роутер |
|||
|
10
IVIuXa
23.03.09
✎
09:53
|
(8)
смотри внимательно (6) или NAT у нас меняет правила route ? |
|||
|
11
RKx
23.03.09
✎
09:55
|
nat - ПРЕОБРАЗОВАНИЕ адреса. Пропусти ч/з маппинг портов.
|
|||
|
12
IVIuXa
23.03.09
✎
09:57
|
(11)
так один хрен когда пакет выходить будет - занатится |
|||
|
13
Fragster
гуру
23.03.09
✎
09:57
|
(10) NAT меняет адрес отправителя, соответственно, ответ м.б. не туда... сам с
натом и роутами парился одно время... ping и разглядывание выдачи wireshark - совместно с курением того, что на что натится и роутится - помогли победить |
|||
|
14
RKx
23.03.09
✎
09:58
|
нет, не "занатится"
|
|||
|
15
RKx
23.03.09
✎
10:00
|
кстати, по схеме (9) всё должно работать
|
|||
|
16
IVIuXa
23.03.09
✎
10:00
|
(15)
так не работает бл... |
|||
|
17
RKx
23.03.09
✎
10:01
|
+(15) маршруты на сервере пропиши и на клиенте /route add/
|
|||
|
18
IVIuXa
23.03.09
✎
10:01
|
(17)
так не трогайте маршруты |
|||
|
19
RKx
23.03.09
✎
10:04
|
(18) в смысле?!
|
|||
|
20
IVIuXa
23.03.09
✎
10:05
|
(19)
см.(6) |
|||
|
21
RKx
23.03.09
✎
10:07
|
(20) у тебя на хр1 и на клиенте шлюз поумолчанию какой, когда впн поднят?
|
|||
|
22
Delorn
23.03.09
✎
10:07
|
(17)+1 (:
(18) тебе русским языком сказали в (5) если не получается значит проблемма в не прописанном маршруте... который нат куда то заворачивает... |
|||
|
23
IVIuXa
23.03.09
✎
10:10
|
так стоп
вот я .... проблема с фаерволом ему еще какие то порты нужны помимо openvpn`ских хмммм |
|||
|
24
IVIuXa
23.03.09
✎
10:40
|
вот пинги с затыком почему - не могу понять
1 0.000000 85.85.85.3 85.85.85.1 TCP spr-itunes > commplex-main [PSH, ACK] Seq=1 Ack=1 Win=3045 Len=127 TSV=2779940 TSER=189384 2 0.000117 10.1.0.14 192.168.1.3 ICMP Echo (ping) request 3 0.000245 10.1.0.1 10.1.0.14 ICMP Destination unreachable (Protocol unreachable) 4 0.000337 85.85.85.1 85.85.85.3 TCP commplex-main > spr-itunes [PSH, ACK] Seq=1 Ack=128 Win=764 Len=151 TSV=189706 TSER=2779940 |
|||
|
25
Fragster
гуру
23.03.09
✎
10:41
|
(24) так смотри маршруты на 10,1,0,14 - оно не понимает, где 192,168,1,3
|
|||
|
26
IVIuXa
23.03.09
✎
10:42
|
(25)
ну вот и что... Destination Gateway Genmask Flags Metric Ref Use Iface 10.1.0.2 * 255.255.255.255 UH 0 0 0 tun0 192.168.2.0 10.1.0.2 255.255.255.0 UG 0 0 0 tun0 85.85.85.0 * 255.255.255.0 U 0 0 0 eth0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 10.1.0.2 255.255.255.0 UG 0 0 0 tun0 10.1.0.0 10.1.0.2 255.255.255.0 UG 0 0 0 tun0 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo |
|||
|
27
Fragster
гуру
23.03.09
✎
10:44
|
(26) значит файрволл рубит входящие с tun0 и исходящие через eth0
|
|||
|
28
IVIuXa
23.03.09
✎
10:45
|
(27)
так eth1 и tun0 во внутренних интерфейсах |
|||
|
29
IVIuXa
23.03.09
✎
10:52
|
есть мысли ?
|
|||
|
30
Fragster
гуру
23.03.09
✎
11:38
|
(29) меня проглючило... это ж в (24) 10,1,0,1 отвечает что не знает где
192,168,1,3 |
|||
|
31
IVIuXa
24.03.09
✎
02:10
|
(30)
короче пинг не пускает во внутреннюю сетку 192.168.1.0 получается что фаервол хоть и внутренняя сетка, а ограничивает передачу |
|||
|
32
Ангел- Хоронитель
24.03.09
✎
02:58
|
(31)ай... вы все побеждаете? ну-ну...
|
|||
|
33
IVIuXa
24.03.09
✎
04:14
|
(32)
прописал правило в фаерволе - заработало, ща буду дальше ломать :) FW_FORWARD 10.1.0.0/24,192.168.1.0/24 192.168.1.0/24,10.1.0.0/24 |
|||
|
34
IVIuXa
24.03.09
✎
04:18
|
+(32)
да я не занимался, только сейчас продолжил :) |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|