tehavto Posted June 11, 2018 · Report post Приветствую, уважаемый all! Занимаясь сетевой археологией, внезапно раскопал шлюз на Windows XP. В общем задача, подключить к OpenVPN сети сеть, находящуюся за этим шлюзом. А именно, всех в сети за шлюзом интересует адрес 192.168.0.6, который находится на другой стороне OpenVPN сети 10.8.8.0/24. И всё бы хорошо, со Windows-шлюза 192.168.0.6 доступен, но... В локальной сети за шлюзом - нет. Собрал тестовый стенд на двух виртуалках, но CentOS - там всё работает правильно, OpenVPN рутит всё правильно, через # fixed IP address for client: ifconfig-push 10.8.8.89 10.8.8.90 # our precious server route push "route 192.168.0.6 255.255.255.255" #route for all cute computers in far-far-away LAN to access our brave VPN network iroute 192.168.34.0 255.255.255.0 в персональном файле настроек для этого подключения и указанием маршрута в общем конфиге OpenVPN route 192.168.34.0 255.255.255.0 В общем, помогите, а? Есть какие-то версии? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 11, 2018 · Report post Много букоф, но нет смысла 1. Структуру нарисуйте, шо, за чем, где и с какими сетевыми настройками. 2. Дайте tracertы. 3. Какой смысл смотреть на центОс если у вас не работает ХР? Ставьте тогда шлюз с ЦентОс и не мучайтесь. З.Ы. а) Проверьте настройки файрвола на ХР. б) Кого всех? Тех у кого ип адреса 192.168.0.х и маска подсети 255.255.255.0? А с чего они вдруг полезут на ваш шлюз? Задумайтесь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted June 11, 2018 · Report post HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters IPEnableRouter=dword:1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 11, 2018 (edited) · Report post 1. Схему прилагаю. 2. Сейчас трейсну. 3. Да никакого, просто для локализации проблемы. Я тоже обычно идейный да, но тут у людей так сделано, просили не трогать - не трогаю a) А это мысль. b) Локалке 192.168.34.0/24 нужен 192.168.0.6. А полезут на шлюз потому, что он их шлюз по умолчанию. Edited June 12, 2018 by tehavto добавлены данные Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted June 12, 2018 · Report post Вы реестр то подправили или нет? По умолчанию виндозы не роутят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 12, 2018 (edited) · Report post 18 часов назад, vodz сказал: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters IPEnableRouter=dword:1 Спасибо... Но там уже есть этот параметр. И да! Там установлен UserGate 4.2. Edited June 12, 2018 by tehavto убрал излишнюю экспрессию Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted June 12, 2018 · Report post 57 минут назад, tehavto сказал: Там установлен UserGate 4.2. Это он добавляет всё это непотребство с роутингом и блокировками брендмауэра? Про это ничего сказать не могу, но и ваше "непотребство" -- это не серьезно, тут же технический форум :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 12, 2018 · Report post ждем трейсерт из ОБОИХ концов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 12, 2018 · Report post 17 минут назад, sdy_moscow сказал: ждем трейсерт из ОБОИХ концов. Из 192.168.34.42 до 192.168.0.6: Трассировка маршрута к 192.168.0.6 с максимальным числом прыжков 30 1 * 1 ms <1 мс 192.168.0.1 2 192.168.0.1 сообщает: Заданный узел недоступен. Трассировка завершена. Из 192.168.0.10 до 192.168.34.42 tracepath 192.168.34.42 1?: [LOCALHOST] pmtu 1500 1: no reply 2: no reply и т.д. 20 хопов к 192.168.0.6 доступа у меня нет. Оттуда не получится tracepath. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 12, 2018 · Report post Всё, доигрался. Указал на 192.168.34.42 маршрут до 192.168.0.6 через 192.168.34.15 и всё, связи нет. Теперь только ехать, завтра. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 12, 2018 · Report post НУУУ ОЧЕНЬ СТРАННЫЕ у вас трейсы. А главное на схеме нет ни 192.168.34.42 ни 192.168.0.10. Нанесите их на схему, иначе непонятно. З.Ы. Предполагая что 192.168.34.42 = 192.168.34.10; 192.168.0.10 = 192.168.0.6 В первом трейсе первый хоуп должен быть 192.168.34.15, у Вас 192.168.0.1. Во втором первый хоуп должен быть 192.168.0.4, у вас вообще маршрута там нет на 192.168.34.х или деф GW. Т.е. похоже у вас не рабjтает не туннель, а некорректные роуты на конечных хостах - проверяйте там route table. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 12, 2018 · Report post Да там не важно 192.168.34.42 или ещё что, им всем в 192.168.34.0/24 нужен доступ до 192.168.0.6. Если ставить OpenVPN клиенты на отдельных станциях в сети 192.168.34.0/24 - то всё ок. Но правильней же сделать одно подключение на шлюзе. Действительно, забыл, что 192.168.0.10 - это VPNшлюз, а 192.168.0.4 - это шлюз в интернет, а 192.168.0.6 - это сервер, куда надо доступ. Но на стороне сервера VPN всё в порядке, а вот на стороне сети 192.168.34.0/24 странное, да. Вот настройки 192.168.34.42, где чётко прописано, что шлюз 192.168.34.15, а никак не 192.168.0.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 12, 2018 · Report post НЕ СТОИТ в винде смотреть что написано в окошках - концы тяжко найти будет. Для начала выведите route print и ipconfig /all Про 192.168.0.10 - не понял отрисуйте на схеме 51 минуту назад, tehavto сказал: Но правильней же сделать одно подключение на шлюзе. Да, но не забывайте, что тогда или должны быть прописаны обратные маршруты или работать НАТ на шлюзе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 12, 2018 · Report post В 11.06.2018 в 08:18, tehavto сказал: Занимаясь сетевой археологией, внезапно раскопал шлюз на Windows XP. В общем задача, подключить к OpenVPN сети сеть, находящуюся за этим шлюзом. Поставь туда пфсенсе или линуксовый аналог и настроишь быстрее и работать будет стабильнее, венда это кое как для рабочих станций. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 12, 2018 · Report post 4 часа назад, Ivan_83 сказал: Поставь туда пфсенсе или линуксовый аналог и настроишь быстрее и работать будет стабильнее, венда это кое как для рабочих станций. Я бы рад. Но люди "привыкли", моя задача просто связность офисов сделать, а не революции. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 12, 2018 · Report post 10 часов назад, sdy_moscow сказал: НЕ СТОИТ в винде смотреть что написано в окошках - концы тяжко найти будет. Для начала выведите route print и ipconfig /all Про 192.168.0.10 - не понял отрисуйте на схеме Да, но не забывайте, что тогда или должны быть прописаны обратные маршруты или работать НАТ на шлюзе. Отрисовал. Да, действительно, может на 192.168.0.1 просто прописать маршрут ip route add 192.168.0.6/32 via 192.168.34.15 ... раз уж для компьютеров сети 192.168.34.0.24 первый hop - 192.168.0.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 12, 2018 · Report post 1 час назад, tehavto сказал: Отрисовал. Да, действительно, может на 192.168.0.1 просто прописать маршрут ip route add 192.168.0.6/32 via 192.168.34.15 ... раз уж для компьютеров сети 192.168.34.0.24 первый hop - 192.168.0.1 нет первый хоп должен быть 192.168.34.15 ну в крайнем случае один из его интерфейсов (х.0.105) или 10.8.8.89. Еще раз повторю надо смотреть таблицы маршрутизации и интерфейсы на конечных хостах - явно косяк есть. На 192.168.0.1 ничего прописывать не надо (я как понял вы же тунель поднимаете с 192.168.34.15 на 192.168.0.4?) его (192.168.0.1) ВООБЩЕ НЕ ДОЛЖНО БЫТЬ в трейсерте. Обратный маршрут на подсеть 192.168.34.х надо прописать на 192.168.0.4 через тунель! И он (192.168.0.4) должен быть GW для 192.168.0.10 и 0.6 (ну или на них тоже надо прописать маршруты на 192.168.34.х) З.Ы. Есть подозрение что у вас по 2 ип на одном интерфейсе прописаны в сети 192.168.34.х (+ 192.168.0.х). Вам надо или убрать вторую (0.х) адресацию с них в таком случае или прописать на ВСЕХ хостах маршрут на 192.168.0.6 через 192.168.34.15 с маской 255.255.255.255 и метрикой 1. Вообще плохо что у вас вся адресация друг на друга наехала - без опыта и знаний замучаетесь разбираться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 12, 2018 · Report post 6 часов назад, Ivan_83 сказал: Поставь туда пфсенсе или линуксовый аналог и настроишь быстрее и работать будет стабильнее, венда это кое как для рабочих станций. Бесполезный совет, т.к. в данном случае не поможет :-) - там явно траблы в настройках хостов и роутинга. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 13, 2018 · Report post 5 часов назад, tehavto сказал: Я бы рад. Но люди "привыкли", моя задача просто связность офисов сделать, а не революции. Ок, пилите дальше этой палкой-копалкой :) 4 часа назад, sdy_moscow сказал: Бесполезный совет, т.к. в данном случае не поможет :-) - там явно траблы в настройках хостов и роутинга. Так шансы автора не слишком велики. Мало того что своих навыков+гугля не хватило, так там ещё и глюки всякие могут быть в системе и инструментов диагностики практически нет. А потом оно опять сломается от чиха и всё с начала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karpa13a Posted June 13, 2018 · Report post продолжайте наблюдение ...) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 16, 2018 · Report post В 12.06.2018 в 22:57, tehavto сказал: Я бы рад. Но люди "привыкли", моя задача просто связность офисов сделать, а не революции. Разобрались в итоге? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted June 16, 2018 · Report post Просто удивляюсь, как на ХР с маршрутизацией и натом(общим доступом), можно было указать иную сеть, кроме 192.168.0.0/24 на локалке... Кто-то сильно умный эту хр перековырял.... Ну и усергейт тоже.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted June 19, 2018 (edited) · Report post Братцы, я психанул, сказал много нехороших слов про Windows, Windows XP, Windows XP в качестве шлюза и... просто настроил OpenVPN клиент на Микротике (192.168.0.1), предварительно перестроив адресацию в локальной сети на 192.168.4.0/24 И да, всё работает. Правда клиент работает в режиме TCP, без LZO, но и это хорошо. Edited June 19, 2018 by tehavto хорошая мысля приходит опосля Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 19, 2018 · Report post ЧТД :) Можно ещё было взять какойнить тплинк и накатить туда опенврт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...