[Решено] Как проложить маршрут через другой шлюз для win станции?

Question

[Andrey Kamynin]

Всем здравия!
Подскажите, пожалуйста, возможно ли прокинуть маршрут на win станции через другой шлюз? (в прикрепленном файле схема).
есть 3 шлюза:
192.168.0.1 строит маршрут с подсетью 192.168.2.0/24 он установлен по умолчанию для КД 192.168.0.202.
Хотелось бы для 192.168.0.202 прокинуть маршрут через шлюз 192.168.0.254 на 192.168.35.0/24. Чтобы КД видел станции 35.0/24 подсети и наоборот.
Как можно такое проделать?
Для КД попробовал прописать маршрут:
route -p add 192.168.35.0/24 mask 255.255.255.0 192.168.0.254
но маршрут не проходит.
Pathping и tracert c 0.202 станции пишет, что обращение до 0.254 проходит, но далее идет на IP провайдера... логично наверное посмотреть на гейте где-то, но где и что? не подскажете?
Спасибо!

UPD: Согласен, что схема бредовая, но такой костыль вынужденный.
UPD2: станции со шлюзами 0.254 - 35.254 друг-друга видят и пингуются.

На Windows указываю:

route -p add 192.168.11.0/24 mask 255.255.255.0 192.168.10.200

Таблица:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.202    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.202    266
    192.168.0.202  255.255.255.255         On-link     192.168.0.202    266
    192.168.0.255  255.255.255.255         On-link     192.168.0.202    266
     192.168.35.0    255.255.255.0    192.168.0.254    192.168.0.202     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.202    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.202    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
     192.168.35.0    255.255.255.0    192.168.0.254       1
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию 
   192.168.35.254    255.255.255.0    192.168.0.254       1
===========================================================================

Дополню:

Сейчас получилось, что если на станциях из 0.0 подсети со шлюзом 0.1 прописать маршрут до 35.254 через 0.254 - пинг проходит со станции на 35 подсеть. НО пинг на эти станции с 35.254 не проходит.
traceroute показывает, что пакет застревают на 10.10.1.1, т.е. в туннель пакет попадают, но на 0.254 шлюзе теряются. 0.254 шлюз прекрасно видит станцию 0.202.
Как подсказать шлюзу, чтобы пакеты, предназанчающиеся для 0.202 он отправлял с 10.10.1.1 на 0.202 станцию? =(
Если 0.202 указать шлюзом по умолчанию 0.254, то 35.0/24 подсеть начинает видеть 0.202.

traceroute to 192.168.0.202 (192.168.0.202), 30 hops max, 60 byte packets
 1  10.10.1.1 (10.10.1.1)  43.955 ms  43.955 ms  43.964 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  *^C

routes 35.254

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         95.129.235.141  0.0.0.0         UG        0 0          0 eth0
10.10.1.0       10.10.1.21      255.255.255.0   UG        0 0          0 tun0
10.10.1.21      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
95.129.235.140  0.0.0.0         255.255.255.252 U         0 0          0 eth0
192.168.0.0     10.10.1.21      255.255.255.0   UG        0 0          0 tun0
192.168.0.202   10.10.1.20      255.255.255.255 UGH       0 0          0 tun0
192.168.0.202   192.168.35.254  255.255.255.255 UGH       0 0          0 eth1
192.168.35.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1

routes 0.254

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         213.108.201.225 0.0.0.0         UG        0 0          0 eth0
10.10.1.0       10.10.1.2       255.255.255.0   UG        0 0          0 tun0
10.10.1.2       0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.35.0    10.10.1.2       255.255.255.0   UG        0 0          0 tun0
213.108.201.224 0.0.0.0         255.255.255.248 U         0 0          0 eth0

UPD: Всем спасибо за советы и рекомендации. Вопрос решил добавлением маршрута на 10.10.1.0/24 через 192.168.0.254 и пересмотром правил iptables.

Answer 1

[alegzz]

Маршрутизация и форвардинг на. 192.168.0.254. И 192.168.35.254 настроены?

Comments

[Andrey Kamynin]

Может еще какой маршрут нужен на гейтах, но если у станции 0.202 указать основным шлюзом 0.254 то она видит 35.0/24 подсеть.
35.254 и 0.254 друг друга видят и пингуются в тунеле.
192.168.35.254

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0           X.X.X.X                  0.0.0.0         UG        0 0          0 eth0
10.10.1.0       10.10.1.21      255.255.255.0   UG        0 0          0 tun0
10.10.1.21      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
X.X.X.X           0.0.0.0         255.255.255.252 U         0 0           0 eth0
192.168.0.0     10.10.1.21      255.255.255.0   UG        0 0          0 tun0
192.168.35.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1

192.168.0.254

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0           X.X.X.X                0.0.0.0         UG        0 0          0 eth0
10.10.1.0       10.10.1.2       255.255.255.0   UG        0 0          0 tun0
10.10.1.2       0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
X.X.X.X            0.0.0.0         255.255.255.248 U         0 0          0 eth0

[alegzz]

На 192.168.0.254 маршрут прописать надо

Answer 2

[Игорь]

35.254 знает маршрут к 192.168.0.0/24 ?
то есть пингуется ли к примеру с 35.254 0.254?
ну и конфиг openvpn бы глянуть и указать что из этого openvpn-сервер а что клиент

Comments

[Andrey Kamynin]

да 35 и 0 видят друг друга, если 0.202 по умолчанию шлюз поставить 0.254, то 0.202 видит 35 подсеть.

Server VPN - 192.168.0.254

port 1194
proto udp
dev tun
server 10.10.1.0 255.255.255.0
ifconfig 10.10.1.1 10.10.1.2
ifconfig-pool-persist ipp.txt
route 192.168.0.0 255.255.255.0
ca /etc/openvpn/srvkey/ca.crt
cert /etc/openvpn/srvkey/server.crt
key /etc/openvpn/srvkey/server.key
dh /etc/openvpn/srvkey/dh1024.pem
client-to-client
client-config-dir ccd /etc/openvpn/ccd
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

Client VPN - 192.168.35.254

client
dev tun
proto udp
remote X.X.X.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/hyundai/ca.crt
cert /etc/openvpn/hyundai/hyundai.crt
key /etc/openvpn/hyundai/hyundai.key
ns-cert-type server
comp-lzo
log /var/log/openvpn.log
verb 3

[Игорь]

Andrey Kamynin: я правильно Вас понял что при
route -p add 192.168.35.0/24 mask 255.255.255.0 192.168.0.254
на windows
1. хоп 0.254 и второй какойто еще
а если там же 192.168.0.254 как дефаулт гейт то
1. хоп 0.254 и дальше в опенвпн туннеле идет?

[Andrey Kamynin]

Игорь:
Трассировка маршрута к 192.168.35.254 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс gw.company.com [192.168.0.254]
2 <1 мс <1 мс <1 мс X-X-X-X.oren-sms.ru [X.X.X.X] (шлюз провайдера)
3 1 ms <1 мс <1 мс 213-108-200-1.vms-online.ru [213.108.200.1]
4 7 ms 7 ms 7 ms 83.146.120.93
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.

[Andrey Kamynin]

Игорь: получается, что в туннель он как раз не заворачивается

[Игорь]

Andrey Kamynin: на 0.254 в netstat -rn не вижу маршрута на 35.0

[Игорь]

Andrey Kamynin: думаю вам стоит добавить в конфиг сервера (могу ошибиться в командах, давно уже настраивал и посмотреть ща негде)
route 192.168.35.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

[Andrey Kamynin]

Игорь: да, действительно, эти строки помогли наладить маршрут в одну сторону от станции 0.202 до 35.254. Спасибо большое! Далее буду смотреть маршруты с 35.254 в сеть 0.0/24 - пока не все IP видно, только те у которых явно указан шлюз 0.254.

Answer 3

[res2001]

Маршрут на винде прописан нормально, дальше надо разбираться почему 192.168.0.254 не отправляет пакеты в сеть 192.168.35.0/24.
Смотри маршруты на этом шлюзе. Имеет ли он сам доступ к подсети 192.168.35.0/24? На сколько я понимаю это внутренняя подсеть, а ВПН работает через интернет? Возможно OpenVPN настроен не корректно. Может быть на 192.168.0.254 не настроена маршрутизация из одной сети в другую. Может быть на 192.168.35.254 нет маршрута до подсети 192.168.0/24 или не включена маршрутизация.

Comments

[Andrey Kamynin]

если станции 0.202 указать шлюзом по умолчанию 0.254, то да, она начинает видеть и 35.254 и станции смотрящие на этот шлюз. Если обратно вернуть 0.1 и прописать маршрут - то Tracert показывает:

Трассировка маршрута к 192.168.35.254 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  gw.company.com [192.168.0.254] 
  2    <1 мс    <1 мс    <1 мс  X-X-X-X.oren-sms.ru [X.X.X.X] (шлюз провайдера)
  3     1 ms    <1 мс    <1 мс  213-108-200-1.vms-online.ru [213.108.200.1] 
  4     7 ms     7 ms     7 ms  83.146.120.93 
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.

[res2001]

У вас на 0.254 трафик не заворачивается в ВПН. Никаких внешних адресов в tracert не должно быть. Кстати, на схеме вы упустили еще адресацию в ВПН. Предполагаю что и со стороны 35.254 будет происходить нечто похожее.
Смотрите настройки OpenVPN. Кто является сервером OpenVPN на вашей схеме? В OpenVPN есть соответствующие директивы, с помощью которых можно прописать маршруты к клиентской сети и маршруты к серверной сети.

[Andrey Kamynin]

res2001: да теперь вижу косяк, буду смотреть маршруты в VPN

Answer 4

[skisselev]

роутинг дело двухстороннее. С обоих концов надо смотреть и настраивать маршрут друг к другу.
на точке 192.168.0.1 пишем еще route add 192.168.35.0/24 gw 192.168.0.254. "route -p add 192.168.35.0/24 mask 255.255.255.0 192.168.0.254 - убрать. Должно быть route -p add 192.168.35.0/24 mask 255.255.255.0 192.168.0.1".

Comments

[Andrey Kamynin]

По идее смысл в том, чтобы не трогать 0.1 никоем образом, и вообще 0.1 не должен по задумке видеть 35.0/24. Далее планируется роль шлюза с 0.1 снять для 0.0/24. В принципе, благодаря совету Игоря удалось наладить односторонний маршрут для станции 0.202. Осталось только показать 35.0/24 на этот адрес. Тут как раз сомнения, что без 0.1 шлюза пройти к нему не получится.