https://89.19.215.112/openforum/vsluhforumID1/89356.html Добрый день, коллеги,<br><br>У меня следующая проблема:<br><br>Есть удаленный сервер (домашний, на Ubuntu Server 10.04), на котором установлен OpenVPN.<br>Сеть на нем огранизована следующим образом:<br>Сервер (192.168.1.2\10.10.0.1)<br>DSL модем (192.168.1.1)<br>10.10.0.0 - сеть между компами.<br>192.168.1.0 - сеть между серверами и модемами (остальные не столько важны, ибо пока не работают)<br><br>root@debserver:~# ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:0e:a6:80:a2:39<br> inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0<br> inet6 addr: fe80::20e:a6ff:fe80:a239/64 Scope:Link<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:11994336 errors:0 dropped:0 overruns:0 frame:0<br> TX packets:8166594 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:1000<br> RX bytes:1970817508 (1.9 GB) TX bytes:941126176 (941.1 MB)<br> Interrupt:22<br><br>eth1 Link encap:Ethernet HWaddr 00:14:d1:10:ad:7a<br> inet addr:10.10.0. https://89.19.215.112/openforum/vsluhforumID1/89356.html#24 Mon, 19 Jul 2010 10:45:03 GMT Все, разобрался с рекурсией и оно таки заработало!<br><br>reader, огромное спасибо за все ваши советы и за потраченное время! Даже не знаю, чтобы я без вас делал! Мне искренне приятно, что есть все таки люди, которые готовы и могут помочь в непростых ситуациях.<br><br>Вопрос можно считать закрытым.<br> https://89.19.215.112/openforum/vsluhforumID1/89356.html#23 Fri, 16 Jul 2010 12:51:35 GMT &gt;[оверквотинг удален]<br>&gt;listening on tun0, link-type RAW (Raw IP), capture size 96 bytes <br>&gt;15:22:28.002695 IP 10.8.0.6.42477 &gt; debserver.domain: 49478+ A? ya.ru. (23)<br>&gt;15:22:28.003138 IP debserver.domain &gt; 10.8.0.6.42477: 49478 Refused- 0/0/0 (23)<br>&gt;15:22:28.142308 IP 10.8.0.6.54099 &gt; debserver.domain: 54895+ A? ya.ru.home. (28)<br>&gt;15:22:28.142555 IP debserver.domain &gt; 10.8.0.6.54099: 54895 NXDomain*- 0/1/0 (69)<br>&gt;15:22:34.161654 IP 10.8.0.6.35744 &gt; debserver.domain: 50212+ A? az.home. (25)<br>&gt;15:22:34.161975 IP debserver.domain &gt; 10.8.0.6.35744: 50212*- 1/1/1 A 10.10.0.101 (74)<br>&gt;<br>&gt;откуда он взял debserver.domain?... Нигде не нашел упоминание о "domain", домен в <br>&gt;сети - "home". <br><br>:) debserver.domain - это машина debserver порт domain ( 53 )<br>запустите tcpdump с ключом -n<br><br><br> https://89.19.215.112/openforum/vsluhforumID1/89356.html#22 Fri, 16 Jul 2010 12:45:26 GMT &gt;[оверквотинг удален]<br>&gt;root@debserver:~# tshark -i tun0 <br>&gt;Running as user "root" and group "root". This could be dangerous. <br>&gt;Capturing on tun0 <br>&gt; 0.000000 10.8.0.6 -&gt; 10.10.0.1 DNS Standard query A ya.ru<br>&gt; 0.000304 10.10.0.1 -&gt; 10.8.0.6 DNS Standard query response, Refused<br>&gt; 0.138222 10.8.0.6 -&gt; 10.10.0.1 DNS Standard query A ya.ru.home<br>&gt; 0.138485 10.10.0.1 -&gt; 10.8.0.6 DNS Standard query response, No such name<br>&gt;<br>&gt;Притом с самого сервера проблем нет. <br>&gt;Возможно надо добавить какое-то правило в iptables?<br><br>а запросы в том числе и рекурсивные запросы и на этих серверах для 10.8.0.6 разрешены?<br> <br>&gt;[оверквотинг удален]<br>&gt;listening on tun0, link-type RAW (Raw IP), capture size 96 bytes <br>&gt;15:22:28.002695 IP 10.8.0.6.42477 &gt; debserver.domain: 49478+ A? ya.ru. (23)<br>&gt;15:22:28.003138 IP debserver.domain &gt; 10.8.0.6.42477: 49478 Refused- 0/0/0 (23)<br>&gt;15:22:28.142308 IP 10.8.0.6.54099 &gt; debserver.domain: 54895+ A? ya.ru.home. (28)<br>&gt;15:22:28.142555 IP debserver.domain &gt; 10. https://89.19.215.112/openforum/vsluhforumID1/89356.html#21 Fri, 16 Jul 2010 10:32:40 GMT &gt;[оверквотинг удален]<br>&gt;у клиента остались DNS адреса, на них он и обращается, но так <br>&gt;как default gateway вы изменили на ip vpn-сервера, то и обращения <br>&gt;идут через vpn-сервер. <br>&gt;<br>&gt;правильно, а вы разве не этого хотели? <br>&gt;<br>&gt;<br>&gt;не понял, **.***.129.15 - это адрес вашей подсети? <br>&gt;10.8.0.6 обратился к **.***.129.15 как к DNS серверу <br>&gt;<br><br>Оно почти заработало, но, почему-то упорно отказывается резолвить имена. По IP заходит и пингует без проблем, но резолвить не хочет.<br>В /etc/resolv.conf прописал 10.10.0.1 и 192.168.1.2 (это адреса на обоих интерфейсах сервера), но резолвить не хочет все равно:<br><br>root@debserver:~# tshark -i tun0<br>Running as user "root" and group "root". This could be dangerous.<br>Capturing on tun0<br> 0.000000 10.8.0.6 -&gt; 10.10.0.1 DNS Standard query A ya.ru<br> 0.000304 10.10.0.1 -&gt; 10.8.0.6 DNS Standard query response, Refused<br> 0.138222 10.8.0.6 -&gt; 10.10.0.1 DNS Standard query A ya.ru.home<br> 0.138485 10.10.0.1 -&gt; 10.8.0.6 DNS Standard query response, N https://89.19.215.112/openforum/vsluhforumID1/89356.html#20 Fri, 16 Jul 2010 06:41:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;сеть 10.10.0.0/24 доступна vpn-клиенту? <br>&gt;&gt;<br>&gt;&gt;а если с vpn-клиента обращаться по IP в инет, что происходит? <br>&gt;<br>&gt;Да, dns(bind9) на 10.10.0.1 существует. <br>&gt;Сеть доступна, пинги на все компы данной подсети с клиента проходят. <br>&gt;<br>&gt;&gt;vpn-клиенту выдаете dns 10.10.0.1, он к нему обращается? <br>&gt;<br>&gt;В том то и дело, что нет. И как раз этого я <br><br>попробуйте добавить его ручками<br><br>&gt;не пойму, ибо в роутах он прописан, а обращения по какой-то <br>&gt;причине идут в шлюз рабочей сети, и начинают стучатся кудо-то не <br>&gt;ясно куда: <br><br>у клиента остались DNS адреса, на них он и обращается, но так как default gateway вы изменили на ip vpn-сервера, то и обращения идут через vpn-сервер.<br>&gt;<br>&gt;<br>&gt;09:42:21.022547 IP 10.8.0.6.37151 &gt; **.***.130.15.domain: 6797+ A? www.ip-as.ru. (30)<br>&gt;09:42:21.023866 IP 10.8.0.6.44385 &gt; **.***.12.9.domain: 6420+ PTR? 15.130.***.**.in-addr.arpa. (44)<br>&gt;09:42:25.962525 IP 10.8.0.6.57995 &gt; **.***.12.9.domain: 13991+ A? www.opennet.ru.eu.work_domain.net. (45)<br>&gt;<br>&gt;И мне кажет https://89.19.215.112/openforum/vsluhforumID1/89356.html#19 Fri, 16 Jul 2010 05:56:05 GMT &gt;специально проверил , с пол пинка. <br>&gt;<br>&gt;отличия от вашего: <br>&gt;интерфейс tap, клиент под linux. <br>&gt;единственный нюанс - клиент не захотел брать адрес DNS сервера, прописывал ручками. <br>&gt;<br>&gt;<br>&gt;дополнительные модули подгружать не пришлось. <br>&gt;echo 1 &gt; /proc/sys/net/ipv4/ip_dynaddr - не понадобилось (на внешке ip постоянный).<br><br>Клиент у меня тоже linux (ubuntu 10.04), ip сервера тоже внешний статический.<br> https://89.19.215.112/openforum/vsluhforumID1/89356.html#18 Fri, 16 Jul 2010 05:54:11 GMT &gt;причем тут ICMP? <br>&gt;при dns запросах используется udp, и так как шлюз по умолчанию вы <br>&gt;изменили, то запросы должны идти по vpn-каналу, а там прокси их <br>&gt;не увидит и ICMP кстати тоже. <br><br>Логично...<br><br>&gt;dns 10.10.0.1 вообще существует? <br>&gt;сеть 10.10.0.0/24 доступна vpn-клиенту? <br>&gt;<br>&gt;а если с vpn-клиента обращаться по IP в инет, что происходит? <br><br>Да, dns(bind9) на 10.10.0.1 существует.<br>Сеть доступна, пинги на все компы данной подсети с клиента проходят.<br><br>&gt;vpn-клиенту выдаете dns 10.10.0.1, он к нему обращается? <br><br>В том то и дело, что нет. И как раз этого я не пойму, ибо в роутах он прописан, а обращения по какой-то причине идут в шлюз рабочей сети, и начинают стучатся кудо-то не ясно куда:<br><br><br>09:42:21.022547 IP 10.8.0.6.37151 &gt; **.***.130.15.domain: 6797+ A? www.ip-as.ru. (30)<br>09:42:21.023866 IP 10.8.0.6.44385 &gt; **.***.12.9.domain: 6420+ PTR? 15.130.***.**.in-addr.arpa. (44)<br>09:42:25.962525 IP 10.8.0.6.57995 &gt; **.***.12.9.domain: 13991+ A? www.opennet.ru.eu.work_domain.net. (45)<br><br>И мне кажется, п https://89.19.215.112/openforum/vsluhforumID1/89356.html#17 Wed, 14 Jul 2010 18:54:30 GMT специально проверил , с пол пинка.<br><br>отличия от вашего:<br>интерфейс tap, клиент под linux. <br>единственный нюанс - клиент не захотел брать адрес DNS сервера, прописывал ручками.<br><br>дополнительные модули подгружать не пришлось.<br>echo 1 &gt; /proc/sys/net/ipv4/ip_dynaddr - не понадобилось (на внешке ip постоянный).<br><br> https://89.19.215.112/openforum/vsluhforumID1/89356.html#16 Wed, 14 Jul 2010 13:00:28 GMT &gt;&gt;после ya.ru нет точки, поэтому проверяется и такой вариант. <br>&gt;&gt;при этом на 10.8.0.6 адрес ya.ru резолвится правильно? <br>&gt;&gt;nslookup ya.ru <br>&gt;<br>&gt;Проблема в том, что рабочий прокси блокирует мне трафик ICMP Echo запросы, <br>&gt;и результат я могу видеть только через tcpdump на сервере. Кстати <br>&gt;говоря, как раз судя по нему, ya.ru не резолвится. Упорно ломится <br>&gt;на какие-то рабочие сервера, вероятно через шлюз, вместо сервера, и дальше <br>&gt;дело не идет: <br><br>причем тут ICMP?<br>при dns запросах используется udp, и так как шлюз по умолчанию вы изменили, то запросы должны идти по vpn-каналу, а там прокси их не увидит и ICMP кстати тоже.<br><br>vpn-клиенту выдаете dns 10.10.0.1, он к нему обращается? <br>dns 10.10.0.1 вообще существует?<br>сеть 10.10.0.0/24 доступна vpn-клиенту? <br><br>а если с vpn-клиента обращаться по IP в инет, что происходит?<br><br><br>&gt;[оверквотинг удален]<br>&gt;16:15:10.949439 IP 10.8.0.6.53630 &gt; **.***.1.241.8000: Flags [S], seq 3702367402, win 5840, options [mss 1366,sackOK,TS val 5037582 ecr 0,nop,wscale 6], len