Pablo

Новая прошивка не помогла. Я немножко поисследовал проблему. Пинги идут из подсети сервера, на роутере-клиенте пинги есть, направление верное, но от адресата ответа нет. Вайршарком на конечной машине пинги видно, но "no responce found". Роутинг на конечной машине. C:\Users\psychov>route print =========================================================================== Interface List 15...58 fb 84 9d 42 e3 ......Intel(R) Dual Band Wireless-AC 3165 11...fc 45 96 26 dd fa ......Realtek PCIe GBE Family Controller 1...........................Software Loopback Interface 1 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.235 20 0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.228 25 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.5.0 255.255.255.0 On-link 192.168.5.235 276 192.168.5.0 255.255.255.0 On-link 192.168.5.228 281 192.168.5.228 255.255.255.255 On-link 192.168.5.228 281 192.168.5.235 255.255.255.255 On-link 192.168.5.235 276 192.168.5.255 255.255.255.255 On-link 192.168.5.235 276 192.168.5.255 255.255.255.255 On-link 192.168.5.228 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.5.235 276 224.0.0.0 240.0.0.0 On-link 192.168.5.228 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.5.235 276 255.255.255.255 255.255.255.255 On-link 192.168.5.228 281 =========================================================================== Persistent Routes: None

в ccd стандартно iroute 192.168.*.0 255.255.255.0 А в локалке я, честно говоря, не знаю, что может быть не так. Стоял до К-1010 Асус Олеговской прошивкой и OpenVPN. Все ходило, все работало. Поставил Кинетик, начался геморрой. На стороне клиентов в подсетках вообще ничего не менялось. Только на самих клиентах шифрование поменяли да ключи.

Я пришел к мнению, что это либо глюк, либо баг. при вот таком конфиге topology subnet server 10.8.0.0 255.255.255.0 client-to-client client-config-dir /storage route 192.168.2.0 255.255.255.0 route 192.168.3.0 255.255.255.0 route 192.168.4.0 255.255.255.0 route 192.168.5.0 255.255.255.0 route 192.168.6.0 255.255.255.0 push "route 192.168.1.0 255.255.255.0" push "route 192.168.2.0 255.255.255.0" push "route 192.168.3.0 255.255.255.0" push "route 192.168.4.0 255.255.255.0" push "route 192.168.5.0 255.255.255.0" push "route 192.168.6.0 255.255.255.0" поднимаются маршруты 192.168.1.0/24 0.0.0.0 Home 10.131.116.0/22 0.0.0.0 ISP 192.168.6.0/24 10.8.0.2 OpenVPN0 192.168.5.0/24 10.8.0.2 OpenVPN0 192.168.4.0/24 10.8.0.2 OpenVPN0 192.168.3.0/24 10.8.0.2 OpenVPN0 192.168.2.0/24 10.8.0.2 OpenVPN0 10.8.0.0/24 0.0.0.0 OpenVPN0 Пробовал удалять маршрут из конфига и писать его статикой через морду, шлюз подставляется верный, результат нулевой.

Может быть вы сможете подсказать? Инженерно все завелось, все работает, но в наличии странная ситуация. От сервера сами клиенты пингуются, в сетях клиентов часть пингуется (это IP-телефон), остальное не пингуется. Причем, это во всех подсетях клиентов. С самих клиентов в их подсетях пингуется всё. Файрволлы везде поотключал. Что это может быть? Уже глаз замылился и дергается.

О, я тоже попробую, а какая прошивка? UPD. У меня пять первых клиентов поднялись, все видно,спасибо за помощь.

вы меня, конечно, простите, но ТС осилил и этот мануал, и перечитал все остальное. Т.к. кинетик покупался с целью не ходить в CLI и не писать туда старт-скрипты и прочие дроп реджекты и маскарады, то я просто жду развития событий. Асус, который сдох, и вместо которого и был куплен Кинетик был настроен именно так - с ccd, iroute и т.д. Правда, версия была старовата, в последних версиях OpenVPN, когда в хидерах знаки поменялись, перестали клиенты ходить, да мне и не надо было.

в общем, на текущий момент ответ — никак. Т.е., полноценного сервера не получить, в лучшем случае точка-точка, только соединение двух (и не более) подсетей, как мне ответили в саппорте, я правильно понимаю?

Спасибо за подробное объяснение. Просмотра файлов это тут (картинка)? Как тут пойти в просмотр? Извините за дурацкий вопрос. >То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется. Т.е., если имеем клиента 192.168.х.0/24, то при пуше маршрутов из iroute сервера будет видна сеть 192.168.х.0/24 или нет? В текущих прошивках это можно как-то сделать вообще?

Про /storage. Если я правильно понимаю, то все файлы, которые показываются в веб-интерфейсе, лежат в /flash Т.е., руками создаем там где-то папочку, и кладем ccd? Вопрос - где его создавать. Оно при перезагрузке не удалится? Как положить каталог/файлы из веб-морды?

Вот, что мне ответил сегодня саппорт. По клиент-клиент более-менее понятно. А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов. По iroute - делаем стандартно, как в большом OpevVPN? > - залить ccd-файл клиента в storage можно даже через web. Можно тут подробнее? На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду. Давайте обсудим.

Получилось (но это не точно ). А то в еще одной теме просто вся тема удалилась.

Пока бодаемся с саппортом, находимся ровно на той же стадии. Если хотите, пришлю селфтесты, скажите, куда. Айсолэйт-прайвит не помог.

конечно, пробовал, ноль эмоций, результат тот же.

Добрый день. Заменил предыдущий роутер на Keenetic Start KN-1110 (2.11.C.0.0-1), настроил IPSec VPN до N-1010( 2.10.C.2.0-4, за ним сервер Астериск). С выключенным туннелем картина та же, просто для общей информации. На клиенте Астериска стали дропаться вызовы - входящие и исходящие через время=retransmission timeout. Астериск-клиент подключается мимо туннелля, напрямую на внешний IP N-1010 в логе Астериска, соответственно, [2018-03-11 18:43:58] DEBUG[63821] chan_sip.c: Destroying SIP dialog 2cb70d2e5ebbdde37ac3b52560efd129@x.y.2.236:5060 [2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: ** SIP timers: Rescheduling retransmission 6 to 3200 ms (t1 100 ms (Retrans id #3938)) [2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: Trying to put 'SIP/2.0 200' onto UDP socket destined for 109.248.174.225:35000 [2018-03-11 18:43:59] DEBUG[65375] manager.c: Running action 'Login' [2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: ** SIP timers: Rescheduling retransmission 5 to 4000 ms (t1 500 ms (Retrans id #3912)) [2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: Trying to put 'REGISTER si' onto UDP socket destined for 188.246.162.118:5060 [2018-03-11 18:44:01] DEBUG[65384] manager.c: Running action 'Login' [2018-03-11 18:44:02] DEBUG[63821] chan_sip.c: ** SIP timers: Rescheduling retransmission 7 to 4000 ms (t1 100 ms (Retrans id #3938)) [2018-03-11 18:44:02] DEBUG[63821] chan_sip.c: Trying to put 'SIP/2.0 200' onto UDP socket destined for 109.248.174.225:35000 [2018-03-11 18:44:02] WARNING[63821] chan_sip.c: Retransmission timeout reached on transmission 2036724461@192_168_2_66 for seqno 3 (Critical Response) -- See https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions Packet timed out after 6399ms with no response [2018-03-11 18:44:02] WARNING[63821] chan_sip.c: Hanging up call 2036724461@192_168_2_66 - no reply to our critical packet (see https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions). [2018-03-11 18:44:02] DEBUG[65369] channel.c: Didn't get a frame from channel: SIP/100-00000010 [2018-03-11 18:44:02] DEBUG[65369] res_rtp_asterisk.c: Setting the marker bit due to a source update [2018-03-11 18:44:02] DEBUG[65369] channel.c: Bridge stops bridging channels SIP/100-00000010 and SIP/904-00000011 [2018-03-11 18:44:02] DEBUG[65369] channel.c: Soft-Hanging up channel 'SIP/100-00000010' [2018-03-11 18:44:02] DEBUG[65369] pbx.c: Launching 'Macro' [2018-03-11 18:44:02] VERBOSE[65369] pbx.c: -- Executing [h@macro-dial-one:1] Macro("SIP/100-00000010", "hangupcall,") in new stack На сервере все порты прокинуты, т.к., кроме этого клиента без нареканий работают еще четыре клиента. У всех одна конфигурация, все Сименсы Гигасеты. В связи с этим возникает вопрос, что докрутить в настройке клиента Кинетик Старт, чтобы он нормально пропускал ACK (мне кажется, что вопрос именно в этом)? Спасибо.

Я случайно удалил/скрыл свой прошлый пост. Линия 903 не работает 904 работает на исходящие (self-test) Линия 903 отваливается на входящих через пять секунд (self-test-2) А в этом прилагаю тесты. UPD. Но у меня нету тут опции "Настройки", как вложить и скрыть файлы?

а я не знаю, что это и где это написать.

Господа, я сейчас специально купил Кинетик Старт, поднял на нем клиента, от него вижу подсеть за сервером, от сервера клиент кинетик не виден. Возникает вопрос, это у меня кривые руки или не у меня.

Вообще все отключено. И он не один такой, их несколько, никуда не идет.

Я боюсь, что и CCD не поможет, тут, по ходу, вопрос не в маршрутизации. Сверхъестественное что-то.

Мне тоже непонятно, тем более, что пакеты в обратную сторону ходят с асуса и из подсети. /home/root # traceroute 192.168.1.11 traceroute to 192.168.1.11 (192.168.1.11), 30 hops max, 38 byte packets 1 10.8.0.1 (10.8.0.1) 49.872 ms 44.314 ms 64.646 ms 2 192.168.1.11 (192.168.1.11) 63.771 ms 39.631 ms 66.036 ms C:\Users\psychov>tracert 192.168.1.11 Трассировка маршрута к HPMICROSERVER [192.168.1.11] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс mi_zhp5 [192.168.6.1] 2 37 ms 39 ms 43 ms 10.8.0.1 3 89 ms 86 ms 69 ms HPMICROSERVER [192.168.1.11] Трассировка завершена. Что делать, ума не приложу.

Да, еще хочу добавить, вчера пробовал на Асусе сделать вообще фулл ACCEPT, безрезультатно, на 10.8.0.3. идут пакеты, на 192.168.6.1 - нет.

Я предположил, что пакеты идут с маркером private от Кинетика, а Асус их не роутит поэтому. Можно ли сделать так, чтобы убрать эти маркеры, и Асус роутил? Да, хочу добавить. Кинетик был куплен взамен сдохшего Асуса, на котором был поднят OpenVPN 2.2.0, все прекрасно работало. Конфигурации клиентов в данном случае не менялись, за исключением сертификатов. Поэтому есть неиллюзорная вероятность, что вопрос не в IPTABLES

легко сказать, там асус какой-то с падавановской прошивкой. А в Кинетике это отменить или разрешить можно как-то? А то этих клиентов сильно больше, чем один. Есть такая возможность?

Я не очень разбираюсь в командах Кинетика, хотя чем-то похоже на IOS цисковский. Настраивал по мануалу с офсайта, в конце дисциплинированно сделал interface OpenVPN0 no ip globalinterface OpenVPN0 security-level private system configuration save Может, так не надо было?

запускали, конец туннеля пинги ловит (10.8.0.3), но на 192.168.6.1 не приходит абсолютно ничего. Все файрволы и прочее, естественно, выключены.