Как я диагностирую соединение VPN, которое не передаст запросы DNS?
Моя конфигурация сети без выполнения VPN работает, как желаемый. Я сделал, чтобы Centos вышел напрямую исходящие запросы NAT'ing через IPTables. Внутренний маршрутизатор (Cisco 2600) настроен к
маршрут IP router-2600#show
Коды: - отрезанный
Шлюз последней инстанции 192.168.1.1 к сети 0.0.0.0192.168.200.0/26 is subnetted, 1 subnets
C 192.168.200.0 непосредственно соединен, FastEthernet0/0
S 192.168.1.0/24 [1/0] через 192.168.200.2
C 192.168.3.0/24 непосредственно соединен, FastEthernet1/0
S* 0.0.0.0/0 [1/0] через 192.168.1.1
Internet
192.168.200.0 192.168.3.0
+----------+ +-----------+ +------------+
| |.2 .1| |.1 .3| |
| +----------------+ +-----------------+ |
| IPTables | | Cisco | | Laptop |
| NAT/Masq | | 2600 | | |
+----------+ +-----------+ +------------+
Эта установка работает точно как ожидалось и желаемый.
Но, когда я выполняю vpnc на 192.168.200.2 хостах, основанные на UDP функции, кажется, перестали работать. А именно, я не могу сделать запросов DNS против сервера DNS, который находится в пространстве имен VPN'd, хотя я могу проверить с помощью ping-запросов тот хост.
eth0 Link encap:Ethernet HWaddr 00:E0:4C:77:4B:32
inet addr:192.168.200.2 Bcast:192.168.200.63 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:256616278 errors:0 dropped:0 overruns:0 frame:0
TX packets:428976874 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1941010246 (1.8 GiB) TX bytes:1236389787 (1.1 GiB)
Interrupt:169 Base address:0x8400
eth1 -snipped-
eth2 Link encap:Ethernet HWaddr 00:14:D1:2B:86:9F
inet addr:192.168.100.252 Bcast:192.168.100.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:546051427 errors:0 dropped:0 overruns:0 frame:0
TX packets:318999693 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1296057751 (1.2 GiB) TX bytes:3330532283 (3.1 GiB)
Interrupt:193 Base address:0xac00
lo -snipped-
tunvpn Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.31.252.222 P-t-P:172.31.252.222 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1
RX packets:162 errors:0 dropped:0 overruns:0 frame:0
TX packets:249 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:13756 (13.4 KiB) TX bytes:14324 (13.9 KiB)
Сценарий конфигурации VPN:
#!/bin/bash
IPT="/sbin/iptables"
ROUTE="/sbin/route"
INSIDE="eth0"
OUTSIDE="eth2"
SCRIPT_HOME=/opt/vpn-scripts
PIDFILE=${SCRIPT_HOME}/vpn.pid
if [ -e ${PIDFILE} ] && pgrep vpnc | grep $(cat ${PIDFILE}) ; then
echo vpnc is already running. Killing process. >> ${SCRIPT_HOME}/vpn.log
kill $(cat ${PIDFILE})
sleep 3
fi
cp /etc/resolv.conf ${SCRIPT_HOME}/resolv.conf.bak
/sbin/vpnc --debug 3 --pid-file ${PIDFILE} vpn 2>&1 >> ${SCRIPT_HOME}/vpn.log
cp ${SCRIPT_HOME}/resolv.conf.bak /etc/resolv.conf
$ROUTE del default dev tunvpn
$ROUTE add -net 172.31.252.0 netmask 255.255.255.0 dev tunvpn metric 50
echo "Deleting routes - clear previous entries"
$IPT -t nat -D POSTROUTING -o tunvpn -j MASQUERADE
$IPT -D FORWARD -i tunvpn -o $INSIDE -j ACCEPT
$IPT -D FORWARD -i $INSIDE -o tunvpn -j ACCEPT
echo "Creating routes"
$IPT -t nat -A POSTROUTING -o tunvpn -j MASQUERADE
$IPT -A FORWARD -i tunvpn -o $INSIDE -j ACCEPT
$IPT -A FORWARD -i $INSIDE -o tunvpn -j ACCEPT
Дамп TCP, работающий на сервере Centos, показывает запросы, прибывающие в предназначенный для целевого сервера DNS, но никаких ответов, когда-либо возвращаясь.
Кроме того, от маршрутизатора Centos я могу запросить внутренний DNS и получить ответ.
Когда я запрашиваю сервер DNS от Cisco 2600, хотя, он испытывает таймаут. (Когда маршрутизатор делает попытку запроса, TCPDump на шоу сервера Centos:
[root@localhost:~] sudo tcpdump src 172.31.252.11 or dst 172.31.252.11
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:35:39.861291 IP 192.168.200.1.50242 > 172.31.252.11.domain: 46+ X25? internal.lab. (28)
15:35:42.862844 IP 192.168.200.1.55077 > 172.31.252.11.domain: 47+ A? internal.lab. (28)
15:35:45.861379 IP 192.168.200.1.55077 > 172.31.252.11.domain: 47+ A? internal.lab. (28)
15:35:48.861533 IP 192.168.200.1.55077 > 172.31.252.11.domain: 47+ A? internal.lab. (28)
)
Я обычно использую tcpdump
bejesus из всего, что я могу достать; это обычно связывает проблему либо с межсетевым экраном, либо с сетевым соединением. Я не использую устройства, на которых не могу запустить tcpdump
, поэтому, если окажется, что эта Cisco замешана, у вас могут быть проблемы.
Проблема в сетевом соединении. , Я обычно просто начинаю заменять компоненты один за другим, пытаясь изолировать причину. Для решения проблем с брандмауэром нет ничего лучше, чем хороший iptables -t raw -I OUTPUT -j TRACE
, который точно покажет вам, что делает ваш брандмауэр - и, следовательно, что он делает неправильно.