19 ответов в теме

[Atiptaxx]

так как я не особо спец в маршрутизации линуксов, прошу помочь с настройкой форвардинга.

суть: есть 2 офиса: 1 и 2.

нужно сделать чтобы офис-2 мог видеть ресурсы офиса-1.

 

для этого поднят опенвпн сервер в офисе-1, в офисе-2 роутер подключен в впн серверу офиса-1.

при использовании опции MASQUERADE на впнсервере офиса-1 всё работает(есть доступ к ресурсам и интранет-страницам), за исключением одного - SIP: на asterisk телефоны офиса-2 регистрируются с ip-адресом впнсервера, что влечет за собой лотерею при звонках на телефоны офиса-2 - звоню на <500>, попадаю на <900> и наоборот.

данная проблема явно связана c MASQUERADE, нужно от этого уйти и сделать корректный маршрут. 

В этом я не силен, прошу помочь

 

 

 

[Inetman]

Во-первых, линуксы тут ни при чём.

Во-вторых, маршрутизация (в линуксах ;-)) делается не через iptables, а через ip route

 

Типа ip route add подсетка via гейт

[zubchello]

Не надо "маскарадить" на туннельных интерфейсах ,ни на клиенте ни на сервере.просто разрешить движение пакетов между сетями через туннельный интерфйес

пусть бегает трафик как есть,со своими адресами между сетями.

маршруты можно передать через конфиг сервера 

1.клиенту "пропушить" маршрут о сети за сервером #push "route 192.168.0.0 255.255.255.0"

2.серверной оси, после старта openvpn -route 192.168.96.0 255.255.240.0(т.е. отправить в туннельный интерфейс tun пакеты для этой сети)

 Если используется подключение клиентов по сертификатам-можно использовать  назначения маршрутов клиентам и настраивать маршруты к клиентам на стороне сервера через client-config-dir ccd в конфиге сервера,и iroute и push в файлах настроек клиентов c именами  CN из их сертификатов ,в каталоге ccd

[Atiptaxx]

Не надо "маскарадить" на туннельных интерфейсах ,ни на клиенте ни на сервере.просто разрешить движение пакетов между сетями через туннельный интерфйес

пусть бегает трафик как есть,со своими адресами между сетями.

маршруты можно передать через конфиг сервера 

1.клиенту "пропушить" маршрут о сети за сервером #push "route 192.168.0.0 255.255.255.0"

2.серверной оси, после старта openvpn -route 192.168.96.0 255.255.240.0(т.е. отправить в туннельный интерфейс tun пакеты для этой сети)

 Если используется подключение клиентов по сертификатам-можно использовать  назначения маршрутов клиентам и настраивать маршруты к клиентам на стороне сервера через client-config-dir ccd в конфиге сервера,и iroute и push в файлах настроек клиентов c именами  CN из их сертификатов ,в каталоге ccd

 

local Х.Х.Х.Х

port Х

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh.pem

auth SHA512

tls-crypt tc.key

topology subnet

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

push "route 10.0.8.0 255.255.255.0"

push "route 10.0.0.0 255.255.0.0"

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 77.88.8.8"

push "dhcp-option DNS 8.8.8.8"

push "block-outside-dns"

keepalive 10 120

user nobody

group nogroup

persist-key

persist-tun

verb 3

crl-verify crl.pem

explicit-exit-notify

 

 

пуши стоят, без маскарада не работает(

[Inetman]

пуши стоят, без маскарада не работает(

 

 

А у тебя рабочие сети, что ли, в одном диапазоне с адресацией OpenVPN (10.0.8.0/10.0.0.0)? o_O

[Atiptaxx]

А у тебя рабочие сети, что ли, в одном диапазоне с адресацией OpenVPN (10.0.8.0/10.0.0.0)? o_O

почему? маски разные

[Inetman]

В смысле разные? Или 10.0.0.0/16 — это твои обе рабочие сети?

[Atiptaxx]

В смысле разные? Или 10.0.0.0/16 — это твои обе рабочие сети?

а, не, удаленная 192.168.1.0/24

локальная 10.0.0.0/16

vpn 10.8.0.0./24

[Inetman]

а, не, удаленная 192.168.1.0/24

локальная 10.0.0.0/16

vpn 10.8.0.0./24

 

А на VPN-сервере маршрут на 192.168.1.0 прописан?

[zubchello]

,,,
push "route 10.0.8.0 255.255.255.0"
,,,,

это куда ???? ,
route 192.168.1.0 255.255.255.0 не хватает в конфиге сервера,ну если конечно отдельно не прописано руками
 

пуши стоят, без маскарада не работает(

проверь таблицу маршрутов на том железе,что цепляется к впн серверу,и должно маршрутизировать в сеть оф. 1,есть там
есть что то типа?

# ip r
......
10.8.0.0/24 dev tun0 scope link src 10.8.0.1
192.168.1.0/24 dev br-lan scope link src 192.168.1.1 локалка оф.2
10.0.0.0/16 via 10.8.0.1 dev tun0 маршрут в сеть оф 1 через впн
........

[zubchello]

А на VPN-сервере маршрут на 192.168.1.0 прописан?

Ну судя по первому сообщению да,....только внимательно его прочитав,не понял на каком тнтерфейсе и в какую сторону маскарадинг работает??телефоны регистрируются на астериске с адресом vpn сервера...надо понимать 10.8.0.1????

[Atiptaxx]

это куда ???? ,
 

на всякий случай)

route 192.168.1.0 255.255.255.0 не хватает в конфиге сервера,ну если конечно отдельно не прописано руками

.

прописано руками в route

 проверь таблицу маршрутов на том железе,что цепляется к впн серверу,и должно маршрутизировать в сеть оф. 1,есть там
есть что то типа?

# ip r
......
10.8.0.0/24 dev tun0 scope link src 10.8.0.1
192.168.1.0/24 dev br-lan scope link src 192.168.1.1 локалка оф.2
10.0.0.0/16 via 10.8.0.1 dev tun0 маршрут в сеть оф 1 через впн
........

там это есть

Ну судя по первому сообщению да,....только внимательно его прочитав,не понял на каком тнтерфейсе и в какую сторону маскарадинг работает??телефоны регистрируются на астериске с адресом vpn сервера...надо понимать 10.8.0.1????

телефоны регистрируются с внутренним адресом впн сервера 10.0.0.151

[zubchello]

на всякий случай)

 Не понятный случай ))) ,маршрут 10.8.0.0/24 клиент впн и так получит без пуша,да он у тебя и написан криво push "route 10.0.8.0 255.255.255.0" ..ну может у тебя какой то особый случай.для другой сетки,так то мешать не должно
 

телефоны регистрируются с внутренним адресом впн сервера 10.0.0.151

Послушай tcpdump-ом внутренний интерфейс впн сервера,при отключенном маскарадинге-"вылетают" там в твою сетку оф.1 пакеты от оф.2 со своими исходящими адресами оф.2..нет-крути свой брандмауэр на впн сервере ) .Или твои хосты в сети оф.1 не знают куда вернуть ответ в сетку 192.168.1.0/24 ,ну если  10.0.0.151 не является гейтом для них по дефолту

tcpdump -i (внутр.инт.впн.серв) -n net 192.168.1.0/24

[Inetman]

Послушай

 

 

...А лучше заплати тыщи три толковому админу за разовую халтурку.

[Atiptaxx]

короче плюнул я на это дело пока, нет времени долго ковыряться, настроил wireguard на роутерах, пока все работает как задумано.

Потом буду ковырять по уму)

Всем спасибо за советы, позже тему возобновлю)

...А лучше заплати тыщи три толковому админу за разовую халтурку.

госорган + ДНР) тут нельзя сторонних людей, я за всех)))

[Inetman]

госорган + ДНР) тут нельзя сторонних людей, я за всех)))

 

Заплати 5к, он будет удалённой головой, а ты руками будешь вбивать то, что он скажет и транслировать вывод команд =)))

 

З.Ы. Для межофисных тоннелей я бы тоже использовал или WG, или IPSec.

[Wit]

Заплати 5к  Напиши на автофорум, он будет удалённой головой, а ты руками будешь вбивать то, что он скажет и транслировать вывод команд =)))

 

[Atiptaxx]

Заплати 5к, он будет удалённой головой, а ты руками будешь вбивать то, что он скажет и транслировать вывод команд =)))

 

З.Ы. Для межофисных тоннелей я бы тоже использовал или WG, или IPSec.

удаленной головой не сможешь просмотреть все таблицы)))

 

 

Заплати 5к  Напиши на автофорум, он будет удалённой головой, а ты руками будешь вбивать то, что он скажет и транслировать вывод команд =)))

 

 

ну по факту мысли то подкинули вполне себе)

как выяснилось, оно бы у меня не взлетело без доп настройки под SIP, а это нетривиальная задача вроде как. впн и маршруты это только часть решения

[Inetman]

как выяснилось, оно бы у меня не взлетело без доп настройки под SIP, а это нетривиальная задача вроде как. впн и маршруты это только часть решения

Задача банальная, у меня SIP через PP2P весьма бодро бегает. Правда, по TCP, UDP с некоторых пор в некрипотанных туннелях ухитряются резать зачем-то.

[Wit]

 с некоторых пор в некрипотанных туннелях ухитряются резать зачем-то.

провы резают суки и не признаются. после срача включают и тоже не признаются что что-то меняли. л2тп через ипсек пока нормально везде работает