VPS и OPENVPN нет интернета.

0

3

Доброго времени суток. Помогите пожалуйста разобраться? Есть VPS на котором поднят OPENVPN сервер и клиентская машина win7 c OPENVPN клиентом vpn вяжется я получаю адрес из сети которую задал 172.16.0.0 255.255.252.0 после подключения пингую только шлюз 172.16.0.1 в настройках сервера есть «redirect-gateway def1» попробовал добавить маршрут route add -net 172.16.0.0 netmask 255.255.252.0 gw (ip сервера) не помогло

Хочу интернет...подскажите каким образом поступить?

Ссылка

←	centos 7. разрешение tty.

Долгое время ожидания ответа от nginx

→

Подозреваю что ваш VPS с openvpn не настроен раздавать интернет клиентам openvpn-сервера.
Покажите вывод

iptables -nvL -t nat

~~zaharov~~ ★
(29.08.14 13:14:41 MSK)

Ответ на: комментарий от zaharov 29.08.14 13:14:41 MSK

[root@testvpn ~]# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 204 packets, 10543 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 161 packets, 14068 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 161 packets, 14068 bytes)
 pkts bytes target     prot opt in     out     source               destination

zvergpincher
(29.08.14 13:19:13 MSK) автор топика

Ответ на: комментарий от zvergpincher 29.08.14 13:19:13 MSK

NAT есть и работает, это хорошо.
Можно вывод route print на клиентской машине до и после подключения к опенвпн ?
И еще, если на клиенте подключение выполняется с помощью openvpnGui, попробуйте запустить его с правами администратора(правый клик- запуск от админа) не важно что ваша учетка админская. Сталкивался с ситуацией когда он не мог заменить маршрут по-умолчанию, хоть и запускался в учтеке с админскими правами, выше описанный способ решал.

~~zaharov~~ ★
(29.08.14 13:29:15 MSK)

Ответ на: комментарий от zvergpincher 29.08.14 13:19:13 MSK

похоже что я погорячился что нат настроен.
Не вижу правила в POSTROUTING должно быть что-то вроде

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    9   973 MASQUERADE  all  --  *      wlp3s0  0.0.0.0/0            0.0.0.0/0

где - wlp3s0 - имя сетевого интерфейса на котором работает nat

~~zaharov~~ ★
(29.08.14 13:39:54 MSK)

Ответ на: комментарий от zaharov 29.08.14 13:39:54 MSK

Спасибо!

Не подскажете как правильно его прописать? не так?

iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.252.0 -o eth0 -j SNAT --to-source (ip vps)

zvergpincher
(29.08.14 13:57:04 MSK) автор топика

Ответ на: комментарий от zaharov 29.08.14 13:29:15 MSK

route print

после

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.8     10
          0.0.0.0        128.0.0.0       172.16.0.5       172.16.0.6     30
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0       172.16.0.5       172.16.0.6     30
       172.16.0.1  255.255.255.255       172.16.0.5       172.16.0.6     30
       172.16.0.4  255.255.255.252         On-link        172.16.0.6    286
       172.16.0.6  255.255.255.255         On-link        172.16.0.6    286
       172.16.0.7  255.255.255.255         On-link        172.16.0.6    286
     178.21.11.73  255.255.255.255      192.168.1.1      192.168.1.8     10
      192.168.1.0    255.255.255.0         On-link       192.168.1.8    266
      192.168.1.8  255.255.255.255         On-link       192.168.1.8    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.8    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.8    266
        224.0.0.0        240.0.0.0         On-link        172.16.0.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.8    266
  255.255.255.255  255.255.255.255         On-link        172.16.0.6    286
===========================================================================

до

===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.8     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link       192.168.1.8    266
      192.168.1.8  255.255.255.255         On-link       192.168.1.8    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.8    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.8    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.8    266
===========================================================================

zvergpincher
(29.08.14 14:01:52 MSK) автор топика

Ссылка

Ответ на: Спасибо! от zvergpincher 29.08.14 13:57:04 MSK

Возможно, что-то вроде: iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.252.0 -j MASQUERADE

nyashka1488
(29.08.14 14:17:49 MSK)

Ответ на: Спасибо! от zvergpincher 29.08.14 13:57:04 MSK

И, да, было бы неплохо проверить в sysctl.conf параметр net.ipv4.ip_forward = 1

nyashka1488
(29.08.14 14:18:59 MSK)

Ответ на: комментарий от nyashka1488 29.08.14 14:18:59 MSK

ip forward

обязательно уже установлен!

zvergpincher
(29.08.14 14:22:05 MSK) автор топика

Ссылка

Ответ на: комментарий от nyashka1488 29.08.14 14:17:49 MSK

iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.252.0 -j MASQUERADE

не помогает! Спасибо!

zvergpincher
(29.08.14 14:23:56 MSK) автор топика

Ответ на: iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.252.0 -j MASQUERADE от zvergpincher 29.08.14 14:23:56 MSK

Самое интересное что

с vps не идет пинг ping -I tun0 8.8.8.8 пусто!

zvergpincher
(29.08.14 14:42:01 MSK) автор топика

Ответ на: Самое интересное что от zvergpincher 29.08.14 14:42:01 MSK

выхлоп iptables -L -n можно?

nyashka1488
(29.08.14 14:59:47 MSK)

Ответ на: комментарий от nyashka1488 29.08.14 14:59:47 MSK

выхлоп

[root@testvpn ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:1194
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3188
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

zvergpincher
(29.08.14 15:01:27 MSK) автор топика

Ответ на: выхлоп от zvergpincher 29.08.14 15:01:27 MSK

что выдает

tracert 8.8.8.8

на клиенте

~~zaharov~~ ★
(29.08.14 16:03:25 MSK)

Ответ на: комментарий от zaharov 29.08.14 16:03:25 MSK

gateway openvpn

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

  1    48 ms    48 ms     *     172.16.0.1
  2  172.16.0.1  сообщает: Заданный узел недоступен.

zvergpincher
(29.08.14 16:21:28 MSK) автор топика

Ответ на: gateway openvpn от zvergpincher 29.08.14 16:21:28 MSK

Сделай для теста: iptables -F INPUT и iptables -F FORWARD и снова tracert -d 8.8.8.8

nyashka1488
(29.08.14 16:23:18 MSK)

Ответ на: комментарий от nyashka1488 29.08.14 16:23:18 MSK

Красота! Все отработало

А теперь бы узнать что я сделал? В iptables я не силен!

zvergpincher
(29.08.14 16:27:33 MSK) автор топика

Ответ на: Красота! Все отработало от zvergpincher 29.08.14 16:27:33 MSK

Почистил цепочки FORWARD и INPUT таблицы filter.

nyashka1488
(29.08.14 16:31:31 MSK)

Ответ на: комментарий от nyashka1488 29.08.14 16:31:31 MSK

Перезапуск iptables все убил

Как сохранить все что наработано с вашей помощью?

zvergpincher
(29.08.14 16:37:01 MSK) автор топика

Ответ на: комментарий от nyashka1488 29.08.14 16:31:31 MSK

Приблизительно понял

 iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.252.0 -j MASQUERADE

iptables -F INPUT

iptables -F FORWARD

zvergpincher
(29.08.14 16:40:11 MSK) автор топика

Ссылка

Ответ на: Перезапуск iptables все убил от zvergpincher 29.08.14 16:37:01 MSK

А какой дистрибутив установлен на VPS? Я думаю, достаточно будет добавить в текущий список правил: iptables -A FORWARD -s 172.16.0.0/24 -j ACCEPT

nyashka1488
(29.08.14 16:42:07 MSK)

Ответ на: комментарий от nyashka1488 29.08.14 16:42:07 MSK

CentOs

КентОсь.

zvergpincher
(29.08.14 16:42:47 MSK) автор топика

Ответ на: CentOs от zvergpincher 29.08.14 16:42:47 MSK

Если не изменяет память: /etc/sysconfig/iptables

nyashka1488
(29.08.14 16:43:55 MSK)

Ответ на: комментарий от nyashka1488 29.08.14 16:43:55 MSK

Да именно там

Спасибо большое вам и конечно zaharov за ваши ответы. Вы мне очень помогли.

zvergpincher
(29.08.14 16:45:25 MSK) автор топика

Ссылка

Ответ на: комментарий от nyashka1488 29.08.14 16:43:55 MSK

А можно еще один вопрос?

Если я захочу на этом же VPS установить squid у меня получится (если я буду долго пытаться) перенаправить траффик на squid с openvpn или не стоит и пытаться?

zvergpincher
(29.08.14 17:11:59 MSK) автор топика

Ответ на: А можно еще один вопрос? от zvergpincher 29.08.14 17:11:59 MSK

http (80 порт tcp )получится

~~zaharov~~ ★
(29.08.14 17:14:22 MSK)

Ответ на: комментарий от zaharov 29.08.14 17:14:22 MSK

Получилось!

Еще раз большое спасибо! Вы сделали мой сегодняшний день просто счастливым!

zvergpincher
(29.08.14 17:25:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	centos 7. разрешение tty.

Admin