Добрый день коллеги. Нужна помощь в решении задачи.
Есть офис и два филиала. В офисе - Centos6 он же шлюз, сеть 192.168.11.0/24, филиал1 mikrotik сеть 192.168.12.0/24, филиал2 mikrotik сеть 192.168.13.0/24
Пинги идут во всех направлениях кроме сеть офиса -> филиал1, понять не могу почему. Причем со шлюза Centos пинги проходят как на микротик, так и в сеть филиала1.
Вот конфа OpenVPN сервера:
port 5555
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 10.10.0.0 255.255.255.0
route 192.168.12.0 255.255.255.0
route 192.168.13.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 10 120
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC # AES
auth sha1конфа ccd/filial1
iroute 192.168.12.0 255.255.255.0
push "route 192.168.11.0 255.255.255.0"
push "route 192.168.13.0 255.255.255.0"конфа ccd/filial2
iroute 192.168.13.0 255.255.255.0
push "route 192.168.11.0 255.255.255.0"
push "route 192.168.12.0 255.255.255.0"таблица маршрутизации:
ip route
10.10.0.2 dev tun0 proto kernel scope link src 10.10.0.1
X.X.X.X/30 dev eth1 proto kernel scope link src X.X.X.X
10.10.0.0/24 via 10.10.0.2 dev tun0
192.168.13.0/24 via 10.10.0.2 dev tun0
192.168.12.0/24 via 10.10.0.2 dev tun0
192.168.11.0/24 dev eth0 proto kernel scope link src 192.168.11.22
169.254.0.0/16 dev eth1 scope link metric 1002
169.254.0.0/16 dev eth0 scope link metric 1003
default via X.X.X.X dev eth1маршрут до IP в филиал1
ip route get 192.168.12.2
192.168.12.2 via 10.10.0.2 dev tun0 src 10.10.0.1
cache mtu 1500 advmss 1460 hoplimit 64маршрут до IP в филиал2
ip route get 192.168.13.2
192.168.13.2 via 10.10.0.2 dev tun0 src 10.10.0.1
cache mtu 1500 advmss 1460 hoplimit 64ip rule стандартные
таблица mangle пустая, в таблице nat только правило маскировки локальной сети.
правила netfilter FORWARD:
iptables -L FORWARD -vn
Chain FORWARD (policy DROP 10 packets, 460 bytes)
pkts bytes target prot opt in out source destination
1035K 846M ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
804K 120M ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0Дамп при пинге из сети офиса на внутреннем интерфейсе шлюза
tcpdump -i eth0 -nn host 192.168.11.19 | grep ICMP
IP 192.168.11.19 > 192.168.12.2: ICMP echo request, id 4, seq 5565, length 40
IP 192.168.11.19 > 192.168.12.2: ICMP echo request, id 4, seq 5566, length 40
IP 192.168.11.19 > 192.168.12.2: ICMP echo request, id 4, seq 5567, length 40Дамп на интерфейсе tun0 пустой. При пингах филиала2 все ок.
Направьте на путь истинный.
на микротике первого филиала форвард разрешите.и еще, странно что-то, или вы так подредактировали....
что есть 10.10.0.2 и что есть 10.10.0.1?
и какие IP у тунелей на стороне филиалов?
остановите тунель на второй филиал, и проверьте, будет ли работать первый....
> на микротике первого филиала форвард разрешите.
> и еще, странно что-то, или вы так подредактировали....
> что есть 10.10.0.2 и что есть 10.10.0.1?
> и какие IP у тунелей на стороне филиалов?
> остановите тунель на второй филиал, и проверьте, будет ли работать первый....На микротиках абсолютно идентичные настройки, форвард открыт аналогично Centos.
ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.0.1 P-t-P:10.10.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:198275 errors:0 dropped:0 overruns:0 frame:0
TX packets:285692 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:21228027 (20.2 MiB) TX bytes:253265110 (241.5 MiB)филиал1 пара 13,14
филиал2 пара 9,10тунель филиала2 стопнул, все так же.