Маршрутизация в windows 2003

[Stas Degteff]

Привет, All!

Cтолкнулся со странной проблемой.
Windows Server 2003, установил туда openvpn в режиме tun, клиенты подключаются,
маршруты на разные сети есть. Но пакеты между подсетью туннеля и подсетью
локалки не проходят. Причём ip самого сервера в LAN доступен из VPN и IP
Openvpn-интерфейса сервера доступен из LAN.
Маршрутизация в реестре сервера включена:

===| reg query HKLM\system\currentcontrolset\services\tcpip\parameters /v
IPEnableRouter

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters
IPEnableRouter REG_DWORD 0x1
===|

В чём может быть дело?

Stas Degteff

[Pavel Koskov]

Привет, Stas Degteff!

Вс, 29 апр 2012, 20:35, Stas Degteff писал(а) All



SD> В чём может быть дело?

SD> Stas Degteff

route print в студию!

До новых встреч! Pavel Koskov
... Win пойнт-комплект Кубик!!! (0,7)

[Stas Degteff]

Hello Pavel!

13 May 12 09:12, you wrote to me:

SD>> В чём может быть дело?

SD>> Stas Degteff

PK> route print в студию!

Повторяю: "маршруты на разные сети есть".
И на всякий случай поясню: перезагрузка не помогает.

Топология:
OpenVPN client --VPN-- OpenVPN server -LAN- host

Для VPN выделена подсеть 192.168.253.0/24,
LAN подсеть 192.168.101.0/24, адрес host 192.168.101.143, адрес OpenVPN server
192.168.101.111

=На host:===========================================================
E:\>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...1c bd b9 e2 e5 d6 ...... D-Link DWA-525 Wireless N 150 Desktop Adapter -
Teefer2 Miniport
0x3 ...00 13 d4 ac 54 fd ...... Intel(R) PRO/100 VE Network Connection -
Teefer2 Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.101.250 192.168.101.143 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.101.0 255.255.255.0 192.168.101.143 192.168.101.143 20
192.168.101.143 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.101.255 255.255.255.255 192.168.101.143 192.168.101.143 20
192.168.253.0 255.255.255.0 192.168.101.111 192.168.101.143 1
224.0.0.0 240.0.0.0 192.168.101.143 192.168.101.143 20
255.255.255.255 255.255.255.255 192.168.101.143 3 1
255.255.255.255 255.255.255.255 192.168.101.143 192.168.101.143 1
Основной шлюз: 192.168.101.250
===========================================================================
Постоянные маршруты:
Отсутствует

E:\>ping -n 1 192.168.253.1

Обмен пакетами с 192.168.253.1 по 32 байт:

Ответ от 192.168.253.1: число байт=32 время=33мс TTL=128

Статистика Ping для 192.168.253.1:
Пакетов: отправлено = 1, получено = 1, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 33мсек, Максимальное = 33 мсек, Среднее = 33 мсек

E:\>ping -n 1 192.168.253.14

Обмен пакетами с 192.168.253.14 по 32 байт:

Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.253.14:
Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь),
====================================================================

=На OpenVPN server:=================================================
C:\>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...44 45 53 54 ac 98 ...... Kerio VPN adapter
0x10004 ...00 11 2f 74 36 76 ...... Realtek RTL8139 Family PCI Fast Ethernet
NIC
0x20005 ...00 ff b2 fd fe 58 ...... TAP-Win32 Adapter V9
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.101.250 192.168.101.111 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.17.0 255.255.255.0 169.254.17.197 169.254.17.197 20
169.254.17.197 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.17.197 169.254.17.197 20
192.168.101.0 255.255.255.0 192.168.101.111 192.168.101.111 20
192.168.101.111 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.101.255 255.255.255.255 192.168.101.111 192.168.101.111 20
192.168.253.0 255.255.255.252 192.168.253.1 192.168.253.1 30
192.168.253.0 255.255.255.0 192.168.253.2 192.168.253.1 1
192.168.253.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.253.255 255.255.255.255 192.168.253.1 192.168.253.1 30
224.0.0.0 240.0.0.0 169.254.17.197 169.254.17.197 20
224.0.0.0 240.0.0.0 192.168.101.111 192.168.101.111 20
224.0.0.0 240.0.0.0 192.168.253.1 192.168.253.1 30
255.255.255.255 255.255.255.255 169.254.17.197 169.254.17.197 1
255.255.255.255 255.255.255.255 192.168.101.111 192.168.101.111 1
255.255.255.255 255.255.255.255 192.168.253.1 192.168.253.1 1
Основной шлюз: 192.168.101.250
===========================================================================
Постоянные маршруты:
Отсутствует

C:\>ping -n 1 192.168.253.14

Обмен пакетами с 192.168.253.14 по с 32 байт данных:

Ответ от 192.168.253.14: число байт=32 время=49мс TTL=64

Статистика Ping для 192.168.253.14:
Пакетов: отправлено = 1, получено = 1, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 49мсек, Максимальное = 49 мсек, Среднее = 49 мсек

C:\>ping -n 1 192.168.101.143

Обмен пакетами с 192.168.101.143 по с 32 байт данных:

Ответ от 192.168.101.143: число байт=32 время=16мс TTL=128

Статистика Ping для 192.168.101.143:
Пакетов: отправлено = 1, получено = 1, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 16мсек, Максимальное = 16 мсек, Среднее = 16 мсек
===========================================================================

=На OpenVPN client=========================================================
stas@stas:~$ ip route list dev tun0
192.168.253.13 proto kernel scope link src 192.168.253.14
192.168.253.1 via 192.168.253.13
192.168.101.0/24 via 192.168.253.13
stas@stas:~$ ping -c 1 192.168.253.1
PING 192.168.253.1 (192.168.253.1) 56(84) bytes of data.
64 bytes from 192.168.253.1: icmp_seq=1 ttl=128 time=11.8 ms

-+- 192.168.253.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 11.881/11.881/11.881/0.000 ms
stas@stas:~$ ping -c 1 192.168.101.111
PING 192.168.101.111 (192.168.101.111) 56(84) bytes of data.
64 bytes from 192.168.101.111: icmp_seq=1 ttl=128 time=24.0 ms

-+- 192.168.101.111 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 24.023/24.023/24.023/0.000 ms
stas@stas:~$ ping -c 1 192.168.101.143
PING 192.168.101.143 (192.168.101.143) 56(84) bytes of data.

-+- 192.168.101.143 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

===========================================================================

Stas
Jabber-ID: grum...@grumbler.org
GPG key 0x72186DB9 (keyserver: hkp://wwwkeys.eu.pgp.net)

[Pavel Koskov]

Привет, Stas Degteff!

Пн, 14 май 2012, 00:58, Stas Degteff писал(а) Pavel Koskov

SD> Hello Pavel!

И тебе не болеть :)
Как я вижу, на 2003 сервере стоит Керио и что-то мне посказывает, что рыть надо
в его сторону - закрывать он может надёжно и прорваться без соответствующих
разрешений нереально. Сам так попадался :)

[Stas Degteff]

Hello Pavel!

24 May 12 22:54, you wrote to me:

PK> И тебе не болеть :)
PK> Как я вижу, на 2003 сервере стоит Керио и что-то мне посказывает, что
PK> рыть надо в его сторону - закрывать он может надёжно и прорваться без
PK> соответствующих разрешений нереально. Сам так попадался :)

Во-первых, этот самый Kerio там отключен напрочь.
Во-вторых, я поднял второй сервер, на нём нет ни Kerio ни какого другого
файрвола кроме "брандмауэр windows" и тот отключен. Ситуация та же: пакеты
между OpenVPN и локальной сетью не проходят.

[Pavel Koskov]

������, Stas Degteff!

��, 26 ��� 2012, 00:21, Stas Degteff �����(�) Pavel Koskov


SD> �������� ����� "���������� windows" � ��� ��������. �������� ��
SD> ��: ������ ����� OpenVPN � ��������� ����� �� ��������.

����� ���� ����� ������� ��� ������������� ��������������� �������� � ������ "�
����", ��������� ������ ��, ������� �����.
�� �����, ��� ����������������� �������� ��� ��� �� ���������.

� ������, ���� ����� ������ OpenVPN, �� �� ����� �� ������� �� ����������
�������, ��������� ��� ������ � �� ��������?
��, ��� � ������ ��� 5-6 ����� �������� �� ��� ���, ����� � �� �������� ������
:)
������ �� 2 ����.
���� ����� ������� ������� - ���� ��������� �, ����������, ���� �� ���� ICQ.
������ �������.
������ �������� �������� ������ ����� ��������� ��������� ����� � �������
���������� � IDS/IPS.


�� ����� ������! Pavel Koskov
... Win �����-�������� �����!!! (0,7)

[Stas Degteff]

Hello Pavel!

28 May 12 23:57, you wrote to me:

SD>> файрвола кроме "брандмауэр windows" и тот отключен. Ситуация та
SD>> же: пакеты между OpenVPN и локальной сетью не проходят.

PK> Может быть стоит удалить все автоматически сгенерированные маршруты и
PK> руками "с нуля", прописать только те, которые нужны. Не думаю, что
PK> широковещательные маршруты тут так уж требуются.

PK> А вообще, если нужен именно OpenVPN, то не проще ли перейти на
PK> офтопичное решение, поставить его шлюзом и не мучаться?

До сих пор было не проще. Там очень хитрая ситуация.
Через пару месяцев наверное будет возможно, и если уж буду делать под linux -
так сразу уж в *wrt на "аппаратном" маршрутизаторе.

[Pavel Koskov]

Привет, Stas Degteff!

Чт, 31 май 2012, 21:12, Stas Degteff писал(а) Pavel Koskov

SD> Hello Pavel!

SD> 28 May 12 23:57, you wrote to me:

SD>>> файрвола кроме "брандмауэр windows" и тот отключен. Ситуация та
SD>>> же: пакеты между OpenVPN и локальной сетью не проходят.

PK>> Может быть стоит удалить все автоматически сгенерированные маршруты

PK>> и

PK>> руками "с нуля", прописать только те, которые нужны. Не думаю, что
PK>> широковещательные маршруты тут так уж требуются.

PK>> А вообще, если нужен именно OpenVPN, то не проще ли перейти на
PK>> офтопичное решение, поставить его шлюзом и не мучаться?

SD> До сих пор было не проще. Там очень хитрая ситуация.
SD> Через пару месяцев наверное будет возможно, и если уж буду делать под
SD> linux
SD> - так сразу уж в *wrt на "аппаратном" маршрутизаторе.


Вот тут я бы не согласился :)
Можно взять "готовое" решение на базе специализированного дистрибутива.
Получить на его основе отлично работающий шлюз, прокси, антиспам, VPN
концентратор и это всё "в одном".
Настройка занимает пару часов.
Ну а разрулить маршруты там... проще некуда.

[Stas Degteff]

Hello Pavel!

03 Jun 12 14:16, you wrote to me:

PK>>> Может быть стоит удалить все автоматически сгенерированные

PK>>> маршруты и руками "с нуля", прописать только те, которые нужны.
PK>>> Не думаю, что широковещательные маршруты тут так уж требуются.

PK>>> А вообще, если нужен именно OpenVPN, то не проще ли перейти на
PK>>> офтопичное решение, поставить его шлюзом и не мучаться?

SD>> До сих пор было не проще. Там очень хитрая ситуация.
SD>> Через пару месяцев наверное будет возможно, и если уж буду делать

SD>> под linux - так сразу уж в *wrt на "аппаратном" маршрутизаторе.


PK> Вот тут я бы не согласился :)
PK> Можно взять "готовое" решение на базе специализированного
PK> дистрибутива. Получить на его основе отлично работающий шлюз, прокси,
PK> антиспам, VPN концентратор и это всё "в одном". Настройка занимает
PK> пару часов. Ну а разрулить маршруты там... проще некуда.

Ага, в случае двух аплинков... "проще некуда" :-D