Полная версия этой страницы: Openvppn не пингуется сеть за Traffpro
schmel
Есть 2 офиса, traffpro и pfsense - соединены openvpn.
Пинг с traffpro на pfsense идет, на компы за pfsense - тоже идет.
Но вот с сервера (pfsense) не пингуется клиент (traffpro) и сети за ним.
Хотя по виртуальным адресам пинг идет.

сеть 192.168.1.0.24 - pfsense (10.16.0.1)
192.168.9.0/24 - traffpro (10.16.0.6)
10.16.0.0/24 - виртуальная сеть.

сделал iptables-save на клиенте:


root@lamp ~# iptables-save
# Generated by iptables-save v1.4.4 on Thu Aug 25 20:50:11 2011
*filter
:INPUT ACCEPT [11897:13523847]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4401:338871]
:open_vpn - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i tun0 -j open_vpn
-A FORWARD -d 10.16.0.0/24 -o tun0 -j open_vpn
-A FORWARD -s 10.16.0.0/24 -i tun0 -j open_vpn
-A FORWARD -j NFQUEUE --queue-num 0
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -p tcp -m tcp --sport 3128 -j NFQUEUE --queue-num 0
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -d 10.16.0.0/24 -o tun0 -j open_vpn
-A open_vpn -d 10.16.0.0/24 -o tun0 -j ACCEPT
-A open_vpn -s 10.16.0.0/24 -i tun0 -j ACCEPT
-A open_vpn -s 192.168.1.0/24 -o tun0 -j ACCEPT
-A open_vpn -d 192.168.1.0/24 -i tun0 -j ACCEPT
-A open_vpn -d 192.168.9.0/24 -o tun0 -j ACCEPT
-A open_vpn -s 192.168.9.0/24 -i tun0 -j ACCEPT
COMMIT
# Completed on Thu Aug 25 20:50:11 2011
# Generated by iptables-save v1.4.4 on Thu Aug 25 20:50:11 2011
*nat
:PREROUTING ACCEPT [901:85691]
:POSTROUTING ACCEPT [232:16158]
:OUTPUT ACCEPT [560:41595]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Aug 25 20:50:11 2011
# Generated by iptables-save v1.4.4 on Thu Aug 25 20:50:11 2011
*mangle
:PREROUTING ACCEPT [619:53985]
:INPUT ACCEPT [14106:13747920]
:FORWARD ACCEPT [80:5844]
:OUTPUT ACCEPT [7807:875917]
:POSTROUTING ACCEPT [205:12180]
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i ppp0 -j ACCEPT
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o lo -j ACCEPT
-A POSTROUTING -o ppp0 -j ACCEPT
COMMIT
# Completed on Thu Aug 25 20:50:11 2011



пробовал и с отключенным iptables, пробовал прописывать правило всем разрешено все, все равно так же...

сделал tcpdump впн интерфейса на pfsense (ping c траффпро компа за сетью pfsense)
[2.0-RC3][root@pfsense.gbu.local]/root(25): tcpdump -pnvi ovpns1
tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytes
21:33:56.416511 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    10.16.0.6 > 192.168.1.11: ICMP echo request, id 11021, seq 1, length 64
21:33:56.417170 IP (tos 0x0, ttl 127, id 16093, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.1.11 > 10.16.0.6: ICMP echo reply, id 11021, seq 1, length 64
21:33:57.416823 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    10.16.0.6 > 192.168.1.11: ICMP echo request, id 11021, seq 2, length 64
21:33:57.417167 IP (tos 0x0, ttl 127, id 16094, offset 0, flags [none], proto ICMP (1), length 84)


tcpdump c pfsense на LAN интерфейсе: (ping c ubuntu комп за сетью pfsense)

21:19:39.138313 IP 10.16.0.6 > pool-192.168.1.11.local: ICMP echo request, id 267, seq 17, length 64
21:19:39.138661 IP pool-192.168.1.11.local > 10.16.0.6: ICMP echo reply, id 267, seq 17, length 64


Пакеты со стороны pfsense ходят номально...

tcpdump c траффпро на tun0: (пинг с pfsense 192.168.9.254)
ничего.

где-то и как-то pfsense или траффпро не пускает пакетики в сеть 192.168.9.0/24 с себя.

хотя маршрут имеется:

[2.0-RC3][root@pfsense.gbu.local]/root(26): netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            85.234.37.1        UGS         0   472469    em1
10.16.0.0/24       10.16.0.2          UGS         0     1993 ovpns1
10.16.0.1          link#11            UHS         0        0    lo0
10.16.0.2          link#11            UH          0        0 ovpns1
85.234.37.0/24     link#2             U           0    20667    em1
85.234.37.32       link#2             UHS         0        0    lo0
127.0.0.1          link#4             UH          0       29    lo0
192.168.1.0/24     link#8             U           0  3635160 em0_vl
192.168.1.200      link#8             UHS         0        0    lo0
192.168.3.0/24     192.168.1.254      UGS         0        0 em0_vl
192.168.9.0/24     10.16.0.2          UGS         0      324 ovpns1
192.168.101.0/24   link#10            U           0   455881 em0_vl
192.168.101.254    link#10            UHS         0        0    lo0


root@lamp ~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.16.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
80.95.33.101 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.67.15.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
10.16.0.0 10.16.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 10.16.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.9.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0




Подскажите плиз...
Sly
Ну собственно если с отключённым iptables всё равно не работает то traffpro не имеет к этому отношения, смотреть нужно либо не верные маршруты либо настройки openvpn
schmel
а есть ли кака нить идея в какую сторону посмотреть?
Sly
моё мнение, что проблема в openvpn, но данное предположение можно рассматривать только на месте, обычно не работает из за пары параметров отвечающих за маршрутизацию (именно в самом vpn).
schmel
Разобрался, нужно было в pfsense посмотреть вкладку client overrides.
Серваки пингуют друг друга по локальным и туннельным адресам. Сервак с ubuntu traffpro может пинговать сеть за pfsense, но вот pfsense не может пинговать сеть за traffpro, соответственно и клиенты за traffpro не могут пинговать сеть за pfsense.
Как можно исправить, я так понимаю клиенты не знают маршрут... В какую сторону копнуть?

Сейчас посмотрел, пинг даже с локальной машины сервера (traffpro) не идет во внутреннюю сеть. Хотя интернет у всех работает нормально.


Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.67.15.28     0.0.0.0         255.255.255.255 UH    0      0        0 ppp7
10.16.0.5       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.67.15.60     0.0.0.0         255.255.255.255 UH    0      0        0 ppp2
10.67.15.31     0.0.0.0         255.255.255.255 UH    0      0        0 ppp3
10.67.15.41     0.0.0.0         255.255.255.255 UH    0      0        0 ppp5
10.67.15.25     0.0.0.0         255.255.255.255 UH    0      0        0 ppp4
10.67.15.43     0.0.0.0         255.255.255.255 UH    0      0        0 ppp10
10.67.15.59     0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
80.95.33.102    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.67.15.37     0.0.0.0         255.255.255.255 UH    0      0        0 ppp6
10.67.15.36     0.0.0.0         255.255.255.255 UH    0      0        0 ppp8
10.67.15.54     0.0.0.0         255.255.255.255 UH    0      0        0 ppp12
10.67.15.51     0.0.0.0         255.255.255.255 UH    0      0        0 ppp11
10.16.0.0       10.16.0.5       255.255.255.0   UG    0      0        0 tun0
10.67.15.0      10.16.0.5       255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.16.0.5       255.255.255.0   UG    0      0        0 tun0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
schmel
отписываюсь: решилось добавлением следующего правила в traffpro_rule.cfg

iptables -A FORWARD -p icmp -j ACCEPT
iptables -I FORWARD 1 -i eth0 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -o eth0 -i tun0 -j ACCEPT

Теперь есть связь в обе стороны, но как только пользователь авторизовался через PPPoE, связь теряется.
Как можно сделать подобное правило для ppp интерфейсов?
Ведь каждый подключенный пользователь рандомно получает ppp интерфейс (всмыле ppp1, ppp2 и тп.)
Sly
Данные вопросы выходят за рамки технической поддержки в форуме так как требуется полное представление сети и настройки сторонних программных продуктов которые не подпадают под тех поддержку, сложно сказать что либо, traffpro ограничивает связь только в цепочках iptables которые можно отследить по признаку очередей при запущенном traffpro, и на их основе понять, как дополнить правила, что бы избавится от конфликтов которые накладывает файрвол на доступность подключений по vpn.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.