Маршрутизация клиента OpenVPN в две сети IPSec

Kowex

Сервер №2 - WAN
всё что прошло, больше ничего не было.

[2.4.5-RELEASE][admin@shop.domen.ru]/root: tcpdump -netti re1 esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re1, link-type EN10MB (Ethernet), capture size 262144 bytes
1590066544.951370 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f16), length 148
1590066544.951398 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f17), length 148
1590066544.951420 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f18), length 148
1590066554.951883 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f19), length 148
1590066554.951975 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1a), length 148
1590066554.951991 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1b), length 148
1590066594.434426 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1c), length 148
1590066594.434461 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1d), length 148
1590066594.434551 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1e), length 148

@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:

Уверен на 146%, что будет иначе.

Вот интересно, откуда такая уверенность? Написал же что я знаю из каких сетей будут клиенты, а вы опять про своё.

@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:

Мысль использовать openvpn вместо ipsec для связи между офисами приходила?

Ну вот в последнее время эта мысль приходит всё чаще. Просто изначально всё было сделано на ipsec, только потом уже прикрутил ovpn.

Konstanti

@Kowex

Те что видим
что от 1.1.1.2 к 1.1.1.1 пакеты приходят , те в данном случае это уже не проблема сервера-2.
Дальше можете , смотреть так
tcpdump -i ovpn1 (или как он у Вас называется) icmp

и смотреть , что происходит на этом интерфейсе в момент пинга
и так дальше по цепочке

лично мое мнение - проблема в настройке маршрутизации OpenVPN ( но это мое мнение , субъективное)

Kowex

@Konstanti said in Маршрутизация клиента OpenVPN в две сети IPSec:

лично мое мнение - проблема в настройке маршрутизации OpenVPN ( но это мое мнение , субъективное)

У меня если честно складывается такое же мнение, но где ошибка.
Перевел с IPsec на ovpn site to site, но результат такой же.

Konstanti

@Kowex
Надо дальше идти по цепочке tcpdump-ом и смотреть, где теряются пакеты .
По поводу смены ipsec на openvpn - по-моему , это лишнее .

werter

@Kowex

1. На Сервере №1 подключающимся овпн-клиентам пушить 192.168.1.0/24 (push "route 192.168.1.0 255.255.255.0";), а не 192.168.192.0/24
2. На Сервере №2 выдать маршрут в сеть 192.168.192.0/24 (создать доп фазу №2 между серверами)

Если трогали NAT на обоих - вернуть в дефолт.

Вот интересно, откуда такая уверенность? Написал же что я знаю из каких сетей будут клиенты, а вы опять про своё.

Поверьте, я знаю, что говорю.
Вы точно не в состоянии проконтролировать КАКАЯ внутренняя сеть будет у ОЧЕРЕДНОГО внешнего овпн-клиента. Столкнетесь и будете голову ломать "ПОЧЕМУ этому клиенту недоступен адрес 192.168.(1|0).10"? А потому, что это его ЛОКАЛЬНЫЙ адрес, к-ый ему выдала ви-фи "мыльница" в кафе. КАК еще объяснить?
По-хорошему, за использование ТАКОЙ адресации в сети ПРЕДПРИЯТИЯ(-Й) нужно уволнять за профнепригодность. Вам мало 10.0.0.0/8? В чем проблема пользовать 10.0.130.0/24, напр.?

Kowex

@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:

На Сервере №2 выдать маршрут в сеть 192.168.192.0/24 (создать доп фазу №2 между серверами)

На скринах есть доп фаза.

@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:

КАК еще объяснить?

Ну я уже тоже не знаю как объяснить. У меня нет левых клиентов с "мыльницами", по ovpn подключается оборудование c известной мне адресацией.

@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:

за использование ТАКОЙ адресации в сети ПРЕДПРИЯТИЯ(-Й) нужно уволнять за профнепригодность

Ну это ваше личное мнение с которым вы можете выступать только у себя на предприятии.

Konstanti

@Kowex
здр
удалось настроить ?

Kowex

@Konstanti
День добрый.
Нет.

Konstanti

@Kowex Что  tcpdump дальше показывает ???
что происходит на openvpn интерфейсе в момент пинга ?? Уходят пакеты в сторону адресата ???

werter

Добрый.
@Kowex said in Маршрутизация клиента OpenVPN в две сети IPSec:

Выполнено?

1. На Сервере №1 подключающимся овпн-клиентам пушить 192.168.1.0/24 (push "route 192.168.1.0 255.255.255.0";), а не 192.168.192.0/24

Покажите таблицу марш-ции на клиенте при поднятом овпн.
Вкл. логирование и смотрите, что происходит в логах fw.