роутинг

Alexandr Kruglikov написал(а) к Andrew Kant в Jun 17 17:28:24 по местному времени:

Привет, Andrew!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

14 июн 17 15:23, Andrew Kant писал(а) к Alexandr Kruglikov:

AK>> Я не был уверен, что им надо на 192.168.1.205.
AK>> Каким-то боком у них участвует 10.8.0.1.
AK>> В общем то, что проблема в маршрутизации было понятно сразу. А
AK>> вот что добавлять - я не рискнул советовать, потому что так и не
AK>> понял, что не ходит.
AK> 10.8.0.x - служебные адреса, которые используются для организации
AK> самого vpn (в данном конкретном случае, естественно). Соответсвенно,
AK> разговор о рутинге на них - абсолютно бессмысленное занятие, уводящее
AK> в сторону от основной проблемы.

Не на_ них, а _через них =)
Судя по тому, что в предоставленном в самом первом письме route print есть сеть 10.8.0.4/30, я могу предположить, что может быть и 10.8.0.0/30, на адрес 10.8.0.1 из которой надо попадать. Тем более, что там и маршрут через 10.8.0.5 есть. Собственно поэтому я и поинтересовался в каком-то из писем, есть ли там обратный маршрут.

AK> Что добавлять тоже довольно просто обнаружить, если включить пакетный
AK> сниффер. Но и без сниффера ясно, что в тунель пойдет только то, для
AK> чего явно прописан рутинг. Достаточно правильно спланировать топологию
AK> и будет видно какие сети куда нужно мрашрутизировать. Если верить
AK> картинке, то сразу встает вопрос о 192.16.1.205 - если он
AK> используется, то должен быть и рутинг, а его нет. Какой вывод?

Вывод - ждать уточнения, с какого адреса на какой что не ходит.

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Oleg Redut написал(а) к Alexandr Kruglikov в Jun 17 20:51:10 по местному времени:

Доброе (current) время суток, Alexandr!

AK> Т.е. у тебя с роутера с внешним IP проброшен порт на 10.8.0.1, в
AK> который есть проброс порта. Далее тебе надо, чтобы этот порт с
AK> 10.8.0.1 попадал на 10.8.0.6. И обратно. Я прав?

С внешнего прокинут на 1.205, внутри 1.205 идёт форвард сразу на 0.6.
И на 10.8.0.6 (AKA 192.168.0.100) мейлер даже получает входящие:

30-May-2017 12:09:16 CONNECT From 93.185.19.23 #24554
30-May-2017 12:09:16 Disconnect from 93.185.19.23 - Aborted IN: 0 (0b) OUT: 0
Но соединение не устанавливается, так как, видимо, ответ не уходит обратно, а отправляется на 192.168.0.1, где благополучно киляется.
При этом надо учесть, что когда мейлер на 192.168.0.100 (AKA 10.8.0.6) сам хочет куда-то "позвонить", то от него пакеты должны по прежнему уходить на шлюз 192.168.0.1, а не в туннель.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MSVC 1.1.5-b20161221 (пока работает)

Oleg Redut написал(а) к Alexandr Kruglikov в Jun 17 20:58:36 по местному времени:

Доброе (current) время суток, Alexandr!

AK>>>> Маски сетей 10.8.0.х в студию. Сдаётся мне по таблице
OR>> http://mcrft.ru/up/down/iptables.list
OR>> http://mcrft.ru/up/down/iptables.lnat
OR>> http://mcrft.ru/up/down/table.rou
OR>> Если устроит.

AK> Отлично! Два вопроса:
AK> Это с роутера, который заодно и VPN-сервер?

Нет. Это с сервера Minecraft, на котором заодно поднята служба openvpn, для организации туннеля через инет на машину с серым ip. А роутер железный сам по себе, отдельно стоящий и только роутит с внешнего интерфейса пакеты на порту 24535 на сервер с поднятой службой openvpn, где внутренний iptables роутит пакеты с интерфейса сервера на интерфейс туннеля сразу на ip клиента. О как.

AK> При чём тут эхотаг? =)

А клиент под эхотагом получает эти пакеты мейлером, но непонятно куда зароучивает ответные пакеты. Поэтому и вопрос, как у него в эхотаге подправить роутинг.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MSVC 1.1.5-b20161221 (пока работает)

Alexandr Kruglikov написал(а) к Oleg Redut в Jun 17 19:42:18 по местному времени:

Привет, Oleg!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

14 июн 17 20:58, Oleg Redut писал(а) к Alexandr Kruglikov:

AK>> Это с роутера, который заодно и VPN-сервер?
OR> Нет. Это с сервера Minecraft, на котором заодно поднята служба
OR> openvpn, для организации туннеля через инет на машину с серым ip. А
OR> роутер железный сам по себе, отдельно стоящий и только роутит с
OR> внешнего интерфейса пакеты на порту 24535 на сервер с поднятой службой
OR> openvpn, где внутренний iptables роутит пакеты с интерфейса сервера на
OR> интерфейс туннеля сразу на ip клиента. О как.

Етишкин дрыкель! Ребята, отсыпьте, а...

AK>> При чём тут эхотаг? =)
OR> А клиент под эхотагом получает эти пакеты мейлером, но непонятно
OR> куда зароучивает ответные пакеты. Поэтому и вопрос, как у него в
OR> эхотаге подправить роутинг.

Думаю, что

route add 192.168.1.205 mask 255.255.255.255 10.8.0.5
(могу напутать в синтаксисе, но идея такова)

Коллега совершенно правильно написал, что правильней не писать статику, а выдавать её при поднятии OpenVPN, так что потом в конфиг надо будет добавить.

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Vladimir Bakhvaloff написал(а) к Oleg Redut в Jun 17 19:04:16 по местному времени:

> [НTTP://bakh.spb.ru] [EMail: bob#bakh.spb.ru] [ICQ:1608235]
Рад видеть тебя, Oleg, без петли на шее!..

Однажды, Ср 14 Июн 17 в 19:42:18, Alexandr Kruglikov
написал Oleg Redut, и я добавил:

AK> route add 192.168.1.205 mask 255.255.255.255 10.8.0.5
AK> (могу напутать в синтаксисе, но идея такова)
AK> Коллега совершенно правильно написал, что правильней не писать
AK> статику, а выдавать её при поднятии OpenVPN, так что потом в конфиг
AK> надо будет добавить.

Надо идти на форум OpenVPN... Гухома-а-а-ань!.. :-(

Будь здрав, боярин Oleg...

> [ 3D Professional Team | Argus Team ]
Windows 7 Ultimate x86 [version 6.1.7601] Service Pack 1
--- GoldED+/W32-MSVC 1.1.5-b20170303 (WinNT 6.1.7601-SP1 iF6M15)

Andrew Kant написал(а) к Alexandr Kruglikov в Jun 17 19:11:16 по местному времени:

Нello Alexandr!

Wednesday June 14 2017 17:28, Alexandr Kruglikov wrote to Andrew Kant:

AK>>> Я не был уверен, что им надо на 192.168.1.205.
AK>>> Каким-то боком у них участвует 10.8.0.1.
AK>>> В общем то, что проблема в маршрутизации было понятно сразу. А
AK>>> вот что добавлять - я не рискнул советовать, потому что так и не
AK>>> понял, что не ходит.
AK>> 10.8.0.x - служебные адреса, которые используются для организации
AK>> самого vpn (в данном конкретном случае, естественно).
AK>> Соответсвенно, разговор о рутинге на них - абсолютно бессмысленное
AK>> занятие, уводящее в сторону от основной проблемы.

AK> Не на_ них, а _через них =)
И "на", и даже "через" является излишним, так как опция push route со стороны сервера сама добавит нужные руты, правильно выбрав через кого их осуществить.

AK> Судя по тому, что в предоставленном в самом первом письме route
AK> print
AK> есть сеть 10.8.0.4/30, я могу предположить, что может быть и
AK> 10.8.0.0/30, на адрес 10.8.0.1 из которой надо попадать. Тем более, что
AK> там и маршрут через 10.8.0.5 есть. Собственно поэтому я и
AK> поинтересовался в каком-то из писем, есть ли там обратный маршрут.
Опять ты про служебные адреса. Ну пусть там клиент openvpn добавит всё, что захочет, это не важно. Тем более, что у openvpn есть разные режимы - и когда он использует сети /30, и когда /24, это всё транспорт, если в него не лезть, то он обычно сам всё хорошо настроит.


AK>> Что добавлять тоже довольно просто обнаружить, если включить
AK>> пакетный сниффер. Но и без сниффера ясно, что в тунель пойдет
AK>> только то, для чего явно прописан рутинг. Достаточно правильно
AK>> спланировать топологию и будет видно какие сети куда нужно
AK>> мрашрутизировать. Если верить картинке, то сразу встает вопрос о
AK>> 192.16.1.205 - если он используется, то должен быть и рутинг, а его
AK>> нет. Какой вывод?

AK> Вывод - ждать уточнения, с какого адреса на какой что не ходит.
Нет, ждать бессмыслено, и раздувать тут разговоры - тоже. Выводы - думать и читать мануал (причем, автору топика), а не пытаться найти неизвестно что там где его нет. Проблема стандартная, и решается стандартными методами. Стандартный сайт-ту-сайт-впн, неужели трудно почитать что и где надо прописать?

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Alexander Belousov написал(а) к Vladimir Bakhvaloff в Jun 17 20:04:00 по местному времени:

Нello Vladimir.

14 Jun 17 08:03, you wrote to all:

VB> Ещё одна попытка:
VB> 1. есть внешний белый пушистый ip-адрес у Олега;
VB> 2. есть на оном открытый порт 24535;
VB> 3. есть мой комп с серый ip-адресом и открытым портом 24554;
VB> 4. есть проброшенный OpenVPN между (1) и (3);
VB> 5. при подключении (4) - (3) получает адрес 10.8.0.6
VB> (соответственно (1) - 10.8.0.1);
Повторюсь, задача "отвечать откуда пришло" штатными средствами винды нереализуема. Зато на 10.8.0.1 можно прописать два правила:

1.dst-nat: (пакет [ip звонящего по binkp] - [белый адрес Олега:24535] преобразовывается в пакет [ip звонящего по binkp] - 10.8.0.6:24535)
Это правило уже есть в приведенных конфигах:
>DNAT tcp -- anywhere anywhere tcp
>dpt:24535 to:10.8.0.6:24554

2.src-nat: которое в том же пакете поменяет еще и [ip звонящего по binkp] на 10.8.0.1

В результате мейлер будет видеть входящие подключения от 10.8.0.1 и отвечать ему же по поднимающемуся автоматом маршруту. Обратные преобразования адресов на роутере Олега сделаются для ответных пакетов автоматически.

Alexander

... ICQ: 139442361
--- GoldED+/W32-MINGW 1.1.5-b20060326

Vladimir Bakhvaloff написал(а) к Alexander Belousov в Jun 17 23:15:38 по местному времени:

> [НTTP://bakh.spb.ru] [EMail: bob#bakh.spb.ru] [ICQ:1608235]
Loading letter for Alexander... Ready...

Отвечая на письмо Alexander Belousov => Vladimir Bakhvaloff [Ср 14 Июн 17]:

AB> Повторюсь, задача "отвечать откуда пришло" штатными средствами винды
AB> нереализуема. Зато на 10.8.0.1 можно прописать два правила:

Да, вопрос был скорее не про венду...

AB> 1.dst-nat: (пакет [ip звонящего по binkp] - [белый адрес Олега:24535]
AB> преобразовывается в пакет [ip звонящего по binkp] -
AB> 10.8.0.6:24535) Это правило уже есть в приведенных конфигах:
>> DNAT tcp -- anywhere anywhere tcp
>> dpt:24535 to:10.8.0.6:24554

Да... Входящий мне на 24554, стандартный binkp от внешнего 24535...
/см.ниже/

AB> 2.src-nat: которое в том же пакете поменяет еще и [ip звонящего по
AB> binkp] на 10.8.0.1
AB> В результате мейлер будет видеть входящие подключения от 10.8.0.1 и
AB> отвечать ему же по поднимающемуся автоматом маршруту. Обратные
AB> преобразования адресов на роутере Олега сделаются для ответных пакетов
AB> автоматически.

Вроде как видит, но "достук" не совсем правильно идёт:
т.е. оба конца ждут, потом оба орйт, что connection timed out...

ЗЫ. Ребяты, вроде ж всё описали!.. Ну что по не пеовому кргу-то повторяться?.. :-(

Bye-юшки, Alexander. С Вами был Vladimir...

> [ 3D Professional Team | Argus Team ]
Windows 7 Ultimate x86 [version 6.1.7601] Service Pack 1
--- GoldED+/W32-MSVC 1.1.5-b20170303 (WinNT 6.1.7601-SP1 iF6M15)

Alexander Belousov написал(а) к Vladimir Bakhvaloff в Jun 17 04:10:00 по местному времени:

Нello Vladimir.

14 Jun 17 23:15, you wrote to me:

AB>> 1.dst-nat: (пакет [ip звонящего по binkp] - [белый адрес
AB>> Олега:24535] преобразовывается в пакет [ip звонящего по binkp] -
AB>> 10.8.0.6:24535) Это правило уже есть в приведенных конфигах:
>>> DNAT tcp -- anywhere anywhere tcp
>>> dpt:24535 to:10.8.0.6:24554
AB>> 2.src-nat: которое в том же пакете поменяет еще и [ip звонящего
AB>> по binkp] на 10.8.0.1 В результате мейлер будет видеть входящие
AB>> подключения от 10.8.0.1 и отвечать ему же по поднимающемуся
AB>> автоматом маршруту. Обратные преобразования адресов на роутере
AB>> Олега сделаются для ответных пакетов автоматически.
VB> Вроде как видит, но "достук" не совсем правильно идёт:
VB> т.е. оба конца ждут, потом оба орйт, что connection timed out...
Так второе то правило где? Без него так и будет.
VB> ЗЫ. Ребяты, вроде ж всё описали!.. Ну что по не пеовому кргу-то
VB> повторяться?.. :-(

Только что проверил аналогичную схему, пробросив порт с работы через openvpn на домашнюю ноду. В моем случае, правда, роутером на той стороне является микротик, а впн поднимается до отдельного компа внутри сети. + на микротике несколько белых адресов работают одновременно - пришлось еще дописывать дополнительные правила маркировки пакетов и маршруты на нем, чтобы с роутера можно было достучаться до моей домашней локалки, в которой опять же впн поднимается не там, где живет мейлер.

Но в простейшем случае (когда ты со своего 10.8.0.6 на ноде можешь нормально достучаться до 10.8.0.1, который смотрит другим интерфейсом в интернет, а он может достучаться до тебя) требуются только эти 2 правила.

Alexander

... ICQ: 139442361
--- GoldED+/W32-MINGW 1.1.5-b20060326

Alexandr Kruglikov написал(а) к Andrew Kant в Jun 17 10:05:36 по местному времени:

Привет, Andrew!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

14 июн 17 19:11, Andrew Kant писал(а) к Alexandr Kruglikov:

AK>> Вывод - ждать уточнения, с какого адреса на какой что не ходит.
AK> Нет, ждать бессмыслено, и раздувать тут разговоры - тоже. Выводы -
AK> думать и читать мануал (причем, автору топика), а не пытаться найти
AK> неизвестно что там где его нет. Проблема стандартная, и решается
AK> стандартными методами. Стандартный сайт-ту-сайт-впн, неужели трудно
AK> почитать что и где надо прописать?

Судя по всему - да =)

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---