Заблудился в маршрутах.

Интернет
Правила форума
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Версия ОС вместе с разрядностью. Пример: LM 18.1 x64, LM Sarah x32 2. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 3. Какое железо. (достаточно вывод inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 4. Суть. Желательно с выводом консоли, логами. 5. Скрин. Просьба указывать 1, 2 и 3 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот

Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 04:33

Всем привет. Дано - комп и сервер на VDS . Связь по туннелю вроде налажена. Не могу настроить таблицу маршрутизации так, что бы траффик шёл через сервер. Таблицы ниже.
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.5 128.0.0.0 UG 0 0 0 tun0
default 88.135.95.254 0.0.0.0 UG 100 0 0 ppp0
88.135.95.254 * 255.255.255.255 UH 100 0 0 ppp0
128.0.0.0 192.168.1.5 128.0.0.0 UG 0 0 0 tun0
link-local * 255.255.0.0 U 1000 0 0 ppp0
185.185.xxx.xxx 88.135.95.254 255.255.255.255 UGH 0 0 0 ppp0
192.168.1.1 192.168.1.5 255.255.255.255 UGH 0 0 0 tun0
192.168.1.5 * 255.255.255.255 UH 0 0 0 tun0
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 185.185.68.1 0.0.0.0 UG 0 0 0 eth0
185.185.68.0 * 255.255.252.0 U 0 0 0 eth0
192.168.1.0 192.168.1.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.2 * 255.255.255.255 UH 0 0 0 tun0
Упарился, сетевик ни разу. :fool:


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 05:00

Добавлю, при старте компа и сети всё идёт на сервер, остаётся только пробросить маршрут (а может порт ) с сервера в инет.


andreios
Сообщения: 6
Зарегистрирован: 12 июл 2017, 10:49
Решено: 1
Поблагодарили: 1 раз

Заблудился в маршрутах.

Сообщение andreios » 13 июл 2017, 06:03

А тип туннеля то какой?
Завернуть весь трафик в туннель из локали как раз несложно.
Вот например мой роут для этого:

0.0.0.0/1 via 192.168.238.1 dev tun1 (192.168.238 в данном случае шлюз со стороны сервера)

А вот для заворачивания только части трафика:

10.0.0.0/21 via 10.20.68.1 dev tun0 metric 101
10.0.254.0/24 via 10.20.68.1 dev tun0 metric 101
10.20.0.0/16 via 10.20.68.1 dev tun0 metric 101
10.20.68.0/28 dev tun0 proto kernel scope link src 10.20.68.8

Это второй туннель.

Используется openvpn со стороны серверов.

Аватара пользователя

Dja
Сообщения: 4984
Зарегистрирован: 27 авг 2016, 17:03
Решено: 17
Откуда: Voskresensk
Благодарил (а): 671 раз
Поблагодарили: 521 раз

Заблудился в маршрутах.

Сообщение Dja » 13 июл 2017, 07:09

symon2014, openvpn? я тоже парился и так и не победил


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 07:19

Dja, openvpn , тоже пока нет, но покурю (если надо уколюсь) и победю, хочу научиться. Жопа чует что пустяк остался.

Аватара пользователя

di_mok
Сообщения: 4709
Зарегистрирован: 27 авг 2016, 16:06
Решено: 29
Откуда: Арзамас
Благодарил (а): 1134 раза
Поблагодарили: 936 раз

Заблудился в маршрутах.

Сообщение di_mok » 13 июл 2017, 08:16

symon2014, а пока жи рецептик по которому делаешь, что бы понятней было
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)
Изображение
Изображение


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 09:22

di_mok, да этих рецептиков валом. Примерно обобщал из этих ссылок.
https://www.digitalocean.com/community/ ... u-16-04-ru
http://adw0rd.com/2013/01/10/openvpn/
и ещё пяток инструкций, потому как они разной свежести и дебильности.
Вроде как с сервером связь есть двухсторонняя, но траффик идёт не через него.
Сейчас ещё раскуриваю примеры конфигов с комментами и запиваю пивом. :smile:

Аватара пользователя

slant
Сообщения: 1345
Зарегистрирован: 21 июн 2017, 15:09
Решено: 19
Благодарил (а): 8 раз
Поблагодарили: 537 раз

Заблудился в маршрутах.

Сообщение slant » 13 июл 2017, 09:25

Вообще-то, если сервер твой, то конфигурировать руками маршруты клиента вообще не нужно, достаточно просто правильно сконфигурировать сервер - и он сам маршруты клиенту выдаст при подключении.
Гугли опции конфига сервера openvpn "client-config-dir", "route", "iroute".

UPD: первый из мануалов в предыдущем посте - слишком заумный, и на частный случай IMHO.
Во втором на быстрый взгляд вроде все верно, но не уточнен нюанс - опция iroute пишется в индивидуальном конфиге-файле для клиента, который кладется в каталог указанный в client-config-dir c именем этого самого клиента. (Это все на стороне сервера). Я на этом когда-то тоже споткнулся, было дело.
Последний раз редактировалось пользователем 1 slant; всего редактировалось раз: 13


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 09:29

Гугли опции конфига сервера openvpn "client-config-dir", "route", "iroute".
Так я и гуглю. Только это всё общие советы (ваши) моё понимание процесса не пробивает. Я не сетевик от слова "вообще", это первый опыт в этом направлении.

Аватара пользователя

slant
Сообщения: 1345
Зарегистрирован: 21 июн 2017, 15:09
Решено: 19
Благодарил (а): 8 раз
Поблагодарили: 537 раз

Заблудился в маршрутах.

Сообщение slant » 13 июл 2017, 09:50

Общий процесс ту такой:
1. На сервере опция route показывает какая сеть выделена для VPN, т.е. из какой сети маршрутизировать пакеты ему самому "во вне".
2. В персональном файле клиента опция iroute говорит клиенту в какие сети надо направить трафик через подключенное VPN соединение (интерфейс).

Еще тебе надо, скорее всего, заменить клиенту маршрут по умолчанию. Это сделает опция в конфиге сервера:
push "redirect-gateway def1"

Но! Мало настройки самого openvpn сервера, надо чтобы теперь сама система знала что делать с трафиком пришедшим от клиента openvpn через интерфейс openvpn сервера. Тут скорее всего надо делать NAT, т.к. полноценная маршрутизация подразумевает взаимодействие в вышестоящими узлами. Это уже через iptables или iproute2.


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 09:54

slant, вот что в конфиге сервера.
push "redirect-gateway def1"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Аватара пользователя

Dja
Сообщения: 4984
Зарегистрирован: 27 авг 2016, 17:03
Решено: 17
Откуда: Voskresensk
Благодарил (а): 671 раз
Поблагодарили: 521 раз

Заблудился в маршрутах.

Сообщение Dja » 13 июл 2017, 10:29

вот у меня тоже. В одном случае тунель имеется и траф идет через провайдера, а в другом случае тунель есть, шлюз сервак, но дальше глухо ) В него упирается и всё
symon2014 писал(а): push "redirect-gateway def1 bypass-dhcp"
Это вообще насколько помню нужно только если сервис на винде поднимается


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 17:24

Наигрался с конфигами , правилами и маршрутами :dash2:
VPN не поднимается ни на сервере ни на клиенте. :smile:
Принимаю волевое решение! Отыскать и убить всё что я мог нарулить в обеих осях и начать с нуля. :-D
И не благодарите. :smile:


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 13 июл 2017, 21:06

Сервер убил , ждём саппорт. :write: :hoho:


Автор темы
symon2014

Заблудился в маршрутах.

Сообщение symon2014 » 15 июл 2017, 08:41

Саппорт спит, блин. Шатаю другую вдску. Установил опенвпн, чуть настроил. Ситуация несколько поменялась. Раньше комп с сервером пинговались друг сдругом, но в сеть выходил с адреса компа. Теперь пингуются, но в сеть не идёт, останавливаю клиента, сеть есть. Что то на стороне сервера в настройках. Пойду возьму ещё 100 грамм. :evil:

Аватара пользователя

Dja
Сообщения: 4984
Зарегистрирован: 27 авг 2016, 17:03
Решено: 17
Откуда: Voskresensk
Благодарил (а): 671 раз
Поблагодарили: 521 раз

Заблудился в маршрутах.

Сообщение Dja » 18 ноя 2017, 07:17

symon2014, смотря какой вдс. Там если контейнер, то оно тебе и не даст. Тебе не контейнерный нужен.
 ! Сообщение из: Dja
хостеры слиняли. :close:

Вернуться в «Работа с сетью»