Маршрутизация клиента OpenVPN в две сети IPSec
-
@Kowex said in Маршрутизация клиента OpenVPN в две сети IPSec:
@werter если стоит такая адресация, значит так и надо и я знаю какие клиенты с какими адресами будут подключаться.
Уверен на 146%, что будет иначе. Дело ваше.
Есть 2 офиса которые между собой объединены IPSec,
Мысль использовать openvpn вместо ipsec для связи между офисами приходила? Овпн и проще и гибче.
-
This post is deleted! -
Сервер №2 - WAN
всё что прошло, больше ничего не было.[2.4.5-RELEASE][admin@shop.domen.ru]/root: tcpdump -netti re1 esp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on re1, link-type EN10MB (Ethernet), capture size 262144 bytes 1590066544.951370 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f16), length 148 1590066544.951398 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f17), length 148 1590066544.951420 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f18), length 148 1590066554.951883 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f19), length 148 1590066554.951975 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1a), length 148 1590066554.951991 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1b), length 148 1590066594.434426 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1c), length 148 1590066594.434461 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1d), length 148 1590066594.434551 14:6b:1e:2a:a5:03 > 00:9a:67:33:1b:02, ethertype IPv4 (0x0800), length 182: 1.1.1.2 > 1.1.1.1: ESP(spi=0xced89d52,seq=0x2f1e), length 148
@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:
Уверен на 146%, что будет иначе.
Вот интересно, откуда такая уверенность? Написал же что я знаю из каких сетей будут клиенты, а вы опять про своё.
@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:
Мысль использовать openvpn вместо ipsec для связи между офисами приходила?
Ну вот в последнее время эта мысль приходит всё чаще. Просто изначально всё было сделано на ipsec, только потом уже прикрутил ovpn.
-
Те что видим
что от 1.1.1.2 к 1.1.1.1 пакеты приходят , те в данном случае это уже не проблема сервера-2.
Дальше можете , смотреть так
tcpdump -i ovpn1 (или как он у Вас называется) icmpи смотреть , что происходит на этом интерфейсе в момент пинга
и так дальше по цепочкелично мое мнение - проблема в настройке маршрутизации OpenVPN ( но это мое мнение , субъективное)
-
@Konstanti said in Маршрутизация клиента OpenVPN в две сети IPSec:
лично мое мнение - проблема в настройке маршрутизации OpenVPN ( но это мое мнение , субъективное)
У меня если честно складывается такое же мнение, но где ошибка.
Перевел с IPsec на ovpn site to site, но результат такой же. -
@Kowex
Надо дальше идти по цепочке tcpdump-ом и смотреть, где теряются пакеты .
По поводу смены ipsec на openvpn - по-моему , это лишнее . -
- На Сервере №1 подключающимся овпн-клиентам пушить 192.168.1.0/24 (push "route 192.168.1.0 255.255.255.0";), а не 192.168.192.0/24
- На Сервере №2 выдать маршрут в сеть 192.168.192.0/24 (создать доп фазу №2 между серверами)
Если трогали NAT на обоих - вернуть в дефолт.
Вот интересно, откуда такая уверенность? Написал же что я знаю из каких сетей будут клиенты, а вы опять про своё.
Поверьте, я знаю, что говорю.
Вы точно не в состоянии проконтролировать КАКАЯ внутренняя сеть будет у ОЧЕРЕДНОГО внешнего овпн-клиента. Столкнетесь и будете голову ломать "ПОЧЕМУ этому клиенту недоступен адрес 192.168.(1|0).10"? А потому, что это его ЛОКАЛЬНЫЙ адрес, к-ый ему выдала ви-фи "мыльница" в кафе. КАК еще объяснить?
По-хорошему, за использование ТАКОЙ адресации в сети ПРЕДПРИЯТИЯ(-Й) нужно уволнять за профнепригодность. Вам мало 10.0.0.0/8? В чем проблема пользовать 10.0.130.0/24, напр.? -
@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:
На Сервере №2 выдать маршрут в сеть 192.168.192.0/24 (создать доп фазу №2 между серверами)
На скринах есть доп фаза.
@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:
КАК еще объяснить?
Ну я уже тоже не знаю как объяснить. У меня нет левых клиентов с "мыльницами", по ovpn подключается оборудование c известной мне адресацией.
@werter said in Маршрутизация клиента OpenVPN в две сети IPSec:
за использование ТАКОЙ адресации в сети ПРЕДПРИЯТИЯ(-Й) нужно уволнять за профнепригодность
Ну это ваше личное мнение с которым вы можете выступать только у себя на предприятии.
-
@Kowex
здр
удалось настроить ? -
@Konstanti
День добрый.
Нет. -
@Kowex Что tcpdump дальше показывает ???
что происходит на openvpn интерфейсе в момент пинга ?? Уходят пакеты в сторону адресата ??? -
Добрый.
@Kowex said in Маршрутизация клиента OpenVPN в две сети IPSec:Выполнено?
- На Сервере №1 подключающимся овпн-клиентам пушить 192.168.1.0/24 (push "route 192.168.1.0 255.255.255.0";), а не 192.168.192.0/24
Покажите таблицу марш-ции на клиенте при поднятом овпн.
Вкл. логирование и смотрите, что происходит в логах fw.