tehavto Опубликовано 11 июня, 2018 · Жалоба Приветствую, уважаемый all! Занимаясь сетевой археологией, внезапно раскопал шлюз на Windows XP. В общем задача, подключить к OpenVPN сети сеть, находящуюся за этим шлюзом. А именно, всех в сети за шлюзом интересует адрес 192.168.0.6, который находится на другой стороне OpenVPN сети 10.8.8.0/24. И всё бы хорошо, со Windows-шлюза 192.168.0.6 доступен, но... В локальной сети за шлюзом - нет. Собрал тестовый стенд на двух виртуалках, но CentOS - там всё работает правильно, OpenVPN рутит всё правильно, через # fixed IP address for client: ifconfig-push 10.8.8.89 10.8.8.90 # our precious server route push "route 192.168.0.6 255.255.255.255" #route for all cute computers in far-far-away LAN to access our brave VPN network iroute 192.168.34.0 255.255.255.0 в персональном файле настроек для этого подключения и указанием маршрута в общем конфиге OpenVPN route 192.168.34.0 255.255.255.0 В общем, помогите, а? Есть какие-то версии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 11 июня, 2018 · Жалоба Много букоф, но нет смысла 1. Структуру нарисуйте, шо, за чем, где и с какими сетевыми настройками. 2. Дайте tracertы. 3. Какой смысл смотреть на центОс если у вас не работает ХР? Ставьте тогда шлюз с ЦентОс и не мучайтесь. З.Ы. а) Проверьте настройки файрвола на ХР. б) Кого всех? Тех у кого ип адреса 192.168.0.х и маска подсети 255.255.255.0? А с чего они вдруг полезут на ваш шлюз? Задумайтесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 11 июня, 2018 · Жалоба HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters IPEnableRouter=dword:1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 11 июня, 2018 (изменено) · Жалоба 1. Схему прилагаю. 2. Сейчас трейсну. 3. Да никакого, просто для локализации проблемы. Я тоже обычно идейный да, но тут у людей так сделано, просили не трогать - не трогаю a) А это мысль. b) Локалке 192.168.34.0/24 нужен 192.168.0.6. А полезут на шлюз потому, что он их шлюз по умолчанию. Изменено 12 июня, 2018 пользователем tehavto добавлены данные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 12 июня, 2018 · Жалоба Вы реестр то подправили или нет? По умолчанию виндозы не роутят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 12 июня, 2018 (изменено) · Жалоба 18 часов назад, vodz сказал: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters IPEnableRouter=dword:1 Спасибо... Но там уже есть этот параметр. И да! Там установлен UserGate 4.2. Изменено 12 июня, 2018 пользователем tehavto убрал излишнюю экспрессию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 12 июня, 2018 · Жалоба 57 минут назад, tehavto сказал: Там установлен UserGate 4.2. Это он добавляет всё это непотребство с роутингом и блокировками брендмауэра? Про это ничего сказать не могу, но и ваше "непотребство" -- это не серьезно, тут же технический форум :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 июня, 2018 · Жалоба ждем трейсерт из ОБОИХ концов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 12 июня, 2018 · Жалоба 17 минут назад, sdy_moscow сказал: ждем трейсерт из ОБОИХ концов. Из 192.168.34.42 до 192.168.0.6: Трассировка маршрута к 192.168.0.6 с максимальным числом прыжков 30 1 * 1 ms <1 мс 192.168.0.1 2 192.168.0.1 сообщает: Заданный узел недоступен. Трассировка завершена. Из 192.168.0.10 до 192.168.34.42 tracepath 192.168.34.42 1?: [LOCALHOST] pmtu 1500 1: no reply 2: no reply и т.д. 20 хопов к 192.168.0.6 доступа у меня нет. Оттуда не получится tracepath. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 12 июня, 2018 · Жалоба Всё, доигрался. Указал на 192.168.34.42 маршрут до 192.168.0.6 через 192.168.34.15 и всё, связи нет. Теперь только ехать, завтра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 июня, 2018 · Жалоба НУУУ ОЧЕНЬ СТРАННЫЕ у вас трейсы. А главное на схеме нет ни 192.168.34.42 ни 192.168.0.10. Нанесите их на схему, иначе непонятно. З.Ы. Предполагая что 192.168.34.42 = 192.168.34.10; 192.168.0.10 = 192.168.0.6 В первом трейсе первый хоуп должен быть 192.168.34.15, у Вас 192.168.0.1. Во втором первый хоуп должен быть 192.168.0.4, у вас вообще маршрута там нет на 192.168.34.х или деф GW. Т.е. похоже у вас не рабjтает не туннель, а некорректные роуты на конечных хостах - проверяйте там route table. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 12 июня, 2018 · Жалоба Да там не важно 192.168.34.42 или ещё что, им всем в 192.168.34.0/24 нужен доступ до 192.168.0.6. Если ставить OpenVPN клиенты на отдельных станциях в сети 192.168.34.0/24 - то всё ок. Но правильней же сделать одно подключение на шлюзе. Действительно, забыл, что 192.168.0.10 - это VPNшлюз, а 192.168.0.4 - это шлюз в интернет, а 192.168.0.6 - это сервер, куда надо доступ. Но на стороне сервера VPN всё в порядке, а вот на стороне сети 192.168.34.0/24 странное, да. Вот настройки 192.168.34.42, где чётко прописано, что шлюз 192.168.34.15, а никак не 192.168.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 июня, 2018 · Жалоба НЕ СТОИТ в винде смотреть что написано в окошках - концы тяжко найти будет. Для начала выведите route print и ipconfig /all Про 192.168.0.10 - не понял отрисуйте на схеме 51 минуту назад, tehavto сказал: Но правильней же сделать одно подключение на шлюзе. Да, но не забывайте, что тогда или должны быть прописаны обратные маршруты или работать НАТ на шлюзе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 июня, 2018 · Жалоба В 11.06.2018 в 08:18, tehavto сказал: Занимаясь сетевой археологией, внезапно раскопал шлюз на Windows XP. В общем задача, подключить к OpenVPN сети сеть, находящуюся за этим шлюзом. Поставь туда пфсенсе или линуксовый аналог и настроишь быстрее и работать будет стабильнее, венда это кое как для рабочих станций. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 12 июня, 2018 · Жалоба 4 часа назад, Ivan_83 сказал: Поставь туда пфсенсе или линуксовый аналог и настроишь быстрее и работать будет стабильнее, венда это кое как для рабочих станций. Я бы рад. Но люди "привыкли", моя задача просто связность офисов сделать, а не революции. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 12 июня, 2018 · Жалоба 10 часов назад, sdy_moscow сказал: НЕ СТОИТ в винде смотреть что написано в окошках - концы тяжко найти будет. Для начала выведите route print и ipconfig /all Про 192.168.0.10 - не понял отрисуйте на схеме Да, но не забывайте, что тогда или должны быть прописаны обратные маршруты или работать НАТ на шлюзе. Отрисовал. Да, действительно, может на 192.168.0.1 просто прописать маршрут ip route add 192.168.0.6/32 via 192.168.34.15 ... раз уж для компьютеров сети 192.168.34.0.24 первый hop - 192.168.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 июня, 2018 · Жалоба 1 час назад, tehavto сказал: Отрисовал. Да, действительно, может на 192.168.0.1 просто прописать маршрут ip route add 192.168.0.6/32 via 192.168.34.15 ... раз уж для компьютеров сети 192.168.34.0.24 первый hop - 192.168.0.1 нет первый хоп должен быть 192.168.34.15 ну в крайнем случае один из его интерфейсов (х.0.105) или 10.8.8.89. Еще раз повторю надо смотреть таблицы маршрутизации и интерфейсы на конечных хостах - явно косяк есть. На 192.168.0.1 ничего прописывать не надо (я как понял вы же тунель поднимаете с 192.168.34.15 на 192.168.0.4?) его (192.168.0.1) ВООБЩЕ НЕ ДОЛЖНО БЫТЬ в трейсерте. Обратный маршрут на подсеть 192.168.34.х надо прописать на 192.168.0.4 через тунель! И он (192.168.0.4) должен быть GW для 192.168.0.10 и 0.6 (ну или на них тоже надо прописать маршруты на 192.168.34.х) З.Ы. Есть подозрение что у вас по 2 ип на одном интерфейсе прописаны в сети 192.168.34.х (+ 192.168.0.х). Вам надо или убрать вторую (0.х) адресацию с них в таком случае или прописать на ВСЕХ хостах маршрут на 192.168.0.6 через 192.168.34.15 с маской 255.255.255.255 и метрикой 1. Вообще плохо что у вас вся адресация друг на друга наехала - без опыта и знаний замучаетесь разбираться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 июня, 2018 · Жалоба 6 часов назад, Ivan_83 сказал: Поставь туда пфсенсе или линуксовый аналог и настроишь быстрее и работать будет стабильнее, венда это кое как для рабочих станций. Бесполезный совет, т.к. в данном случае не поможет :-) - там явно траблы в настройках хостов и роутинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 июня, 2018 · Жалоба 5 часов назад, tehavto сказал: Я бы рад. Но люди "привыкли", моя задача просто связность офисов сделать, а не революции. Ок, пилите дальше этой палкой-копалкой :) 4 часа назад, sdy_moscow сказал: Бесполезный совет, т.к. в данном случае не поможет :-) - там явно траблы в настройках хостов и роутинга. Так шансы автора не слишком велики. Мало того что своих навыков+гугля не хватило, так там ещё и глюки всякие могут быть в системе и инструментов диагностики практически нет. А потом оно опять сломается от чиха и всё с начала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 13 июня, 2018 · Жалоба продолжайте наблюдение ...) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 16 июня, 2018 · Жалоба В 12.06.2018 в 22:57, tehavto сказал: Я бы рад. Но люди "привыкли", моя задача просто связность офисов сделать, а не революции. Разобрались в итоге? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 июня, 2018 · Жалоба Просто удивляюсь, как на ХР с маршрутизацией и натом(общим доступом), можно было указать иную сеть, кроме 192.168.0.0/24 на локалке... Кто-то сильно умный эту хр перековырял.... Ну и усергейт тоже.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 19 июня, 2018 (изменено) · Жалоба Братцы, я психанул, сказал много нехороших слов про Windows, Windows XP, Windows XP в качестве шлюза и... просто настроил OpenVPN клиент на Микротике (192.168.0.1), предварительно перестроив адресацию в локальной сети на 192.168.4.0/24 И да, всё работает. Правда клиент работает в режиме TCP, без LZO, но и это хорошо. Изменено 19 июня, 2018 пользователем tehavto хорошая мысля приходит опосля Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 июня, 2018 · Жалоба ЧТД :) Можно ещё было взять какойнить тплинк и накатить туда опенврт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...