openvpn трафик не идёт через vpn

0

0

Здравствуйте. Помогите, пожалуйста, понять в чём проблема. Настроен openvpn+freeradius. Клиент коннектится к openvpn серверу, получает ip, но не получает remote gateway; трафик не идёт через vpn-сервер.

Вот конфиг openvpn сервера:

local x.x.x.x # ip этого openvpn сервера
port 1194
proto tcp
dev tun0
ca ca.crt
cert server.crt
key server.key  
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
push "redirect-gateway def1"
status openvpn-status.log
log         openvpn.log
verb 6
tcp-queue-limit 256
status /etc/openvpn/openvpn-status.log
plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.cnf 
client-cert-not-required

Конфиг клиента:

client
dev tun
proto tcp
remote x.x.x.x # ip openvpn сервера
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
auth-user-pass
comp-lzo
reneg-sec 0
verb 3
# log-append /var/log/openvpn.log

p.s. iptables:

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  10.8.0.0/24          anywhere             to:x.x.x.x

x.x.x.x - адрес сервера.

p.p.s. в /etc/sysctl.conf присутствует параметр net.ipv4.ip_forward=1

Ссылка

←	Странная проблема с очередями в Asterisk

выкинуть часть ssh host keys

→

Если x.x.x.x везде адрес сервера, то понятно почему не работает.

если адрес для туннеля выдается динамический, то SNAT нужно заменить на masquerade

vel ★★★★★
(15.07.15 16:34:57 MSK)

Ответ на: комментарий от vel 15.07.15 16:34:57 MSK

Спасибо за ответ. SNAT Заменил на masquerade, так верно. Но ошибка была не в том. (Я просто уже раньше сделал masquerade и попменял на SNAT, поэкспериментировать). Ошибка была в том, что я внешний ip проверял в фаерфоксе, и где-то кеши короче хранятся так, что если ты заходишь на сайт который IP определяет, потом подклчаешь vpn а потом жмёшь f5 то Ip будет старый. Всю голову сломал, думал не работает шарманка. Оказалось, надо было переоткрыть браузер.

Piter_prbg
(15.07.15 21:36:11 MSK) автор топика

Ответ на: комментарий от Piter_prbg 15.07.15 21:36:11 MSK

на старых ядрах обычно помогало «ip ro flush table cache» при подъеме туннелей.

vel ★★★★★
(15.07.15 21:45:47 MSK)

Ответ на: комментарий от vel 15.07.15 21:45:47 MSK

а на новых? )

Piter_prbg
(16.07.15 09:40:59 MSK) автор топика

Ответ на: комментарий от Piter_prbg 16.07.15 09:40:59 MSK

а на новых (с 3.6) его нет.

соединения открытые до подъема vpn обычно ломаются. Чтобы сохранить их работоспособность нужно иметь достаточно хитрый iptables.

vel ★★★★★
(16.07.15 09:45:44 MSK)
Последнее исправление: vel 16.07.15 09:50:24 MSK (всего исправлений: 1)

Ссылка

покури маны. если хочешь пустить через впн весь трафик то воп канект должен подменять у клиента маршрут по умолчанию.

Renegade
(17.07.15 10:54:32 MSK)

Ответ на: комментарий от Renegade 17.07.15 10:54:32 MSK

да, спасибо, это всё было сделано, ошибка найдена, как я уже написал, надо было переоткрывать браузер.

Piter_prbg
(24.07.15 15:34:18 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Странная проблема с очередями в Asterisk

Admin

выкинуть часть ssh host keys

→

Похожие темы