OpenVPN. Как добавить маршрут до узла через узел в сети OpenVPN?

Question

[Dmytro Yunh]

Добрый час хабровчане.

Прошу помощи в настройке маршрута к принтерам в сети маршрутизатора 10.0.1.0/24.
Постановка задачи:
Обеспечить возможность печати с Сервера 1С (172.16.254.132) расположенного в Main DC, на принтеры подключенные к сети в одном из филиалов M01

Что имеем:

Маршрутизатор TP-LINK (192.168.0.1) на стоковой прошивке
Маршрутизатор Apple Time Capsule (10.0.1.1) на стоковой прошивке
Сервер OpenVPN (172.16.254.1) поднят на виртуалке с CentOS 7
Сервер 1С (172.16.254.132) поднят на виртуалке Windows Server 2008R2
Принтеры пока не подключены, работу маршрута с сервера 1С (172.16.254.132) можно проверить трассировкой маршрута к маршрутизатору (10.0.1.1)
Доступы между узлов в сети OpenVPN (172.16.254.0/24) функционируют штатно.

Направление печати изображено красными стрелками на картинке.

Что пробовал:
1. На сервере 1С (172.16.254.132) добавлял маршрут:
# route -p add 10.0.1.1 mask 255.255.255.0 172.16.254.101 metric 1 if 17
if 17 это как раз интерфейс с поднятым TAP для OpenVPN
Но, при трассировке, пакеты заворачиваются сначала в 192.168.0.1 и естественно там и пропадают.

Вывод route print с сервера 1С (172.16.254.132)

===========================================================================
Список интерфейсов
17...00 ff 2f 16 07 69 ......TAP-Windows Adapter V9
16...00 0c 29 95 19 64 ......vmxnet3 Ethernet Adapter #2
11...00 0c 29 95 19 5a ......vmxnet3 Ethernet Adapter
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.132 5
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.254.0 255.255.255.0 On-link 172.16.254.132 276
172.16.254.132 255.255.255.255 On-link 172.16.254.132 276
172.16.254.255 255.255.255.255 On-link 172.16.254.132 276
192.168.0.0 255.255.255.0 On-link 192.168.0.132 261
192.168.0.132 255.255.255.255 On-link 192.168.0.132 261
192.168.0.255 255.255.255.255 On-link 192.168.0.132 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.132 261
224.0.0.0 240.0.0.0 On-link 172.16.254.132 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.132 261
255.255.255.255 255.255.255.255 On-link 172.16.254.132 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.0.1.1 255.255.255.0 172.16.254.101 1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
17 276 fe80::/64 On-link
17 276 fe80::d9c7:bf09:d25f:b0a8/128
On-link
1 306 ff00::/8 On-link
17 276 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Вывод трассировки с сервера 1С к 10.0.1.1

Трассировка маршрута к 10.0.1.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.

2. На сервере OpenVPN, в файлике ccd, для клиента сервер1с прописывал строку:
push "route 10.0.1.0 255.255.255.0 172.16.254.101 1"
Результат аналогичен с добавлением маршрута на сервере 1С

Подскажите плиз куда копать дальше.
Заранее спасибо.

Answer 1

[Pavel Horoshilov]

Так а Apple Time и TP-Link напрямую соединены что ли или шлюзом каким-то? или это провайдерский L3VPN?

Comments

[Dmytro Yunh]

Так ну нет же, они смотрят портами WAN в мир, все VPN соединения выполнены через сервер OpenVPN (172.16.254.1)
Синие стрелочки на схеме всенаправленные, просто так получилось нарисовать.

[Pavel Horoshilov]

Dmytro Yunh, может быть add 10.0.1.0 mask 255.255.255.0 172.16.254.1?

[Dmytro Yunh]

Pavel Horoshilov, но 172.16.254.1 не знает маршрута к 10.0.1.1, 10.0.1.1 находится же за 172.16.254.101, относительно 172.16.254.132
Попробую изменить команду на:
# route -p add 10.0.1.0 mask 255.255.255.0 172.16.254.101 metric 1 if 17

[Dmytro Yunh]

Что же, изменение команды ни к чему не привело.
Но включив маршрутизацию пакетов на машине 172.16.254.101, пакеты стали сразу теряться на первом же хопе.

Вывод route print на сервере 1С (172.16.254.132)

===========================================================================
Список интерфейсов
17...00 ff 2f 16 07 69 ......TAP-Windows Adapter V9
16...00 0c 29 95 19 64 ......vmxnet3 Ethernet Adapter #2
11...00 0c 29 95 19 5a ......vmxnet3 Ethernet Adapter
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.132 5
10.0.1.0 255.255.255.0 172.16.254.101 172.16.254.132 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.254.0 255.255.255.0 On-link 172.16.254.132 276
172.16.254.132 255.255.255.255 On-link 172.16.254.132 276
172.16.254.255 255.255.255.255 On-link 172.16.254.132 276
192.168.0.0 255.255.255.0 On-link 192.168.0.132 261
192.168.0.132 255.255.255.255 On-link 192.168.0.132 261
192.168.0.255 255.255.255.255 On-link 192.168.0.132 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.132 261
224.0.0.0 240.0.0.0 On-link 172.16.254.132 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.132 261
255.255.255.255 255.255.255.255 On-link 172.16.254.132 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.0.1.0 255.255.255.0 172.16.254.101 1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
17 276 fe80::/64 On-link
17 276 fe80::d9c7:bf09:d25f:b0a8/128
On-link
1 306 ff00::/8 On-link
17 276 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Трассировка к 10.0.1.1 с 172.16.254.132

Трассировка маршрута к 10.0.1.1 с максимальным числом прыжков 30

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.

Answer 2

[ValdikSS]

Вам нужен либо OpenVPN в режиме TAP (L2, а не L3 TUN), либо укажите в ccd-файле параметр iroute.
Ваш вопрос разобран в документации OpenVPN, прочтите её.

Comments

[Dmytro Yunh]

Так в данном случае как раз используется TAP режим.

[ValdikSS]

Dmytro Yunh, очевидно, у вас что-то не так с маршрутизацией, по меньшей мере, на сервере 1C. Вы добавили маршрут через VPN, а пакеты идут через роутер. Разбирайтесь с маршрутизацией на компьютере.

[Dmytro Yunh]

ValdikSS, спасибо КЭП, очень дельно

[ValdikSS]

Dmytro Yunh, я без сарказма: что-то не так в вашей ОС. Я не разбираюсь в Windows, но, вероятно, нужно маршрут из «постоянных маршрутов» сделать активным.
Проблема не в VPN как таковом. На сетевом уровне вы, вроде бы, всё сделали правильно.

[Dmytro Yunh]

ValdikSS, так я бы не против чтоб маршруты затягивались из OpenVPN.
Кстати, при добавлении маршрута на сервер 1С:
#route -p add 10.0.1.0 mask 255.255.255.0 172.16.254.101 metric 1 if 17
Начало трассировки обнадеживает, но дальше что-то идёт не так...

Трассировка маршрута к 10.0.1.1 с сервера 172.16.254.132

Трассировка маршрута к 10.0.1.1 с максимальным числом прыжков 30

1 10 ms * 6 ms ADMIN-ПК [172.16.254.101]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.

[Pavel Horoshilov]

Dmytro Yunh, ну вот, дальше админ-пк уже должен в кспд передать пакет, но почему-то остановился, если на админ-пк в routeprint сети 10.0.1.0 и 172.16.254.0 на онлинке, то более маршрутов вроде не нужно, на админ-пк включена маршрутизация? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter (REG_DWORD), 1 должно быть

[Dmytro Yunh]

Pavel Horoshilov, на 172.16.254.101 маршрутизация включена, данный параметр реестра установлен в 1

Вывод route print с 172.16.254.101:

[Pavel Horoshilov]

Dmytro Yunh, так а с этого пк трассировка до 10.0.1.1 проходит? если да то походу надо думать какой маршрут в пк прописать, или мб фаервол отключить попробовать?

[Dmytro Yunh]

Pavel Horoshilov, т.к. ПК 172.16.254.101 непосредственно находится в сети роутера 10.0.0.1, трассировка должна быть, по факту смогу проверить уже завтра в рабочее время, т.к. оборудование выключено.

[Pavel Horoshilov]

Dmytro Yunh, так-то оно да, не ясно пока почему на пк дропается

[Dmytro Yunh]

Pavel Horoshilov, с машины 172.16.254.101 трассировка проходит, как и пинг:

Трассировка к [10.0.1.1]

Трассировка маршрута к AIRPORT-TIME-CA [10.0.1.1]
с максимальным числом прыжков 30:

1 4 ms <1 мс 4 ms AIRPORT-TIME-CA [10.0.1.1]

Трассировка завершена.

Ping узла [10.0.1.1]

Обмен пакетами с 10.0.1.1 по с 32 байтами данных:
Ответ от 10.0.1.1: число байт=32 время=1мс TTL=255
Ответ от 10.0.1.1: число байт=32 время=1мс TTL=255
Ответ от 10.0.1.1: число байт=32 время=3мс TTL=255
Ответ от 10.0.1.1: число байт=32 время=1мс TTL=255

Статистика Ping для 10.0.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 3 мсек, Среднее = 1 мсек

Ну и трассировка с машины [172.16.254.132] к [10.0.1.1]:

Трассировка маршрута к 10.0.1.1 с максимальным числом прыжков 30

1 13 ms * 6 ms admin-пк [172.16.254.101]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.

Файрвол на [172.16.254.101] потушил.
И вот что с этой заразой делать...

[Pavel Horoshilov]

Dmytro Yunh, да уж, вообще ниче не ясно, нет маршрутизации именно между виртуальным хостом openvpn и кспд, на роутере 10.0.1.1 есть обратный маршрут в vpn подсеть через пк?
ip route 172.16.254.0 mask 255.255.255.0 10.0.1.4

[Dmytro Yunh]

Pavel Horoshilov, маршрута на роутере 10.0.1.1 нет, пока не получается получить доступ к настройкам капсулы, работаем над этим.