Цепочка openvpn из трёх серверов

Ты сначала задачу сформулируй нормально - сетевую связность чего с чем, и на каком уровне, ты хочешь обеспечить? И каким именно образом ты решил это сделать?

Клиент подключается к первому серверу, трафик от клиента идёт к первому серверу, от первого сервера на второй, от второго на третий, а от третьего в Интернет. Всё это я хотел бы сделать с помощью openvpn.

ip a
ip r
iptables-save
с каждого сервера

Первый сервер:

ip a ; ip -r - http://paste.debian.net/79255/

iptables-save - http://paste.debian.net/79256/

Второй сервер:

ip a ; ip r - http://paste.debian.net/79258/ в iptables-save ничего вообще нет пока что.

google => doublevpn config

Почти вся поисковая выдача по этому запросу забита рекламой всяких контор с doublevpn :(

Что уж, никто не знает?

Знают, но башка болит и читать километровые конфиги лениво(ты бы хоть комментарии вырезал). Общая идея такая:

client:

tun0(vpn1): 10.0.0.1/30
routes:
10.0.2.0/30 via 10.0.0.2 dev tun0
default via 10.0.2.2
-----------
server1:

tun0(vpn1): 10.0.0.2/30
tun1(vpn2): 10.0.1.1/30
routes:
10.0.2.0/30 via 10.0.1.2
-----------
server2:

tun0(vpn2): 10.0.1.2/30
tun1(vpn3): 10.0.2.1/30
routes:
10.0.0.0/30 via 10.0.1.1
-----------
server3:

tun0(vpn3): 10.0.2.2/30
eth1: 1.2.3.4
routes:
10.0.0.0/30 via 10.0.2.1
iptables -t nat -A POSTROUTING -s 10.0.0.0/30 -o eth1 -j MASQUERADE

Я так понимаю, что в server1 строка «tun0(vpn1): 10.0.0.2/30» обозначает адрес сервера vpn? Но у меня не получается настроить, в силу незнания, адрес 10.0.0.2. Не подскажете как это сделать? При указании server 10.0.0.2 в конфиге сервера, openvpn отказывается запускаться.

tun0(vpn1): 10.0.0.2/30 обозначает, что на server1 у интерфейса tun0, созданного в рамках vpn-соединения vpn1 (я их пронуменовал, чтобы не путсться), имется ip-адрес 10.0.0.2 с маской сети /30.

В man openvpn про параметр server написано:

--server 10.8.0.0 255.255.255.0 expands as follows:

mode server
tls-server
push «topology [topology]»

if dev tun AND (topology == net30 OR topology == p2p):
ifconfig 10.8.0.1 10.8.0.2
if !nopool:
ifconfig-pool 10.8.0.4 10.8.0.251
route 10.8.0.0 255.255.255.0
if client-to-client:
push «route 10.8.0.0 255.255.255.0»
else if topology == net30:
push «route 10.8.0.1»

if dev tap OR (dev tun AND topology == subnet):
ifconfig 10.8.0.1 255.255.255.0
if !nopool:
ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0
push «route-gateway 10.8.0.1»

То есть он раскрывается в кучу других параметров, в зависимости от типа туннеля и прочих настроек.

Тебе скорее всего нужен --ifconfig.

Вообще, советую разобрать идущие вместе с openvpn примеры, найдя каждый параметр в мануале и прочитав, что он делает, а потом уже писать свои собственные конфиги.

Ничего страшного в этом нет, openvpn достаточно простой, это ты ещё ipsec не видел.

То есть если на server1 у интерфейса tun0 будет адрес 10.0.0.1, а в конфиге будет такая строчка:

server 10.0.0.0 255.255.255.0

Будут ли работоспособны те route-команды, которые вы указали? Или их необходимо будет изменять, в соответствии с изменением адресов? Потому что решения, как изменить адрес сервера, я не нашёл. Если в конфиге указывать

ifconfig 10.0.0.2

то сервер просто не стартует. Если указывать

ifconfig 10.0.0.2 10.0.0.1

то сервер стартует, но интерфейс tun0 всё-равно имеет адрес 10.0.0.1

Простите мне моё незнание. :(

server2: tun0(vpn2): 10.0.1.2/30 tun1(vpn3): 10.0.2.1/30 routes: 10.0.0.0/30 via 10.0.1.1

подскажи плиз куда что писать , я пробовал в tun0.conf

dev tun0
secret tun1.key
remote 46.29.18.231
#server 10.0.1.2 255.255.255.0
ifconfig 10.0.1.2 10.0.1.1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
script-security 2
log /var/log/messages
verb 3
#up /etc/openvpn/up.sh

dev tun1
secret tun1.key
remote 111.111.111.111
ifconfig 10.0.0.2 10.0.0.1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
script-security 2
up /etc/openvpn/up.sh

#!/bin/bash
/sbin/ip route add 10.0.0.0/24 via 10.0.1.1  dev tun1