Настройка vpn на vps

0

2

Надоело что провайдер режет торренты. Заказал vps, установил openvpn

конфиг сервера(не полный)

port 1194
proto udp
dev tun
server 192.168.2.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"

ifconfig сервера

eth0          inet addr:000.000.107.23  Bcast:000.000.107.63  Mask:255.255.255.192
tun0          inet addr:192.168.2.1  P-t-P:192.168.2.2  Mask:255.255.255.255

route сервера

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         000.000.107.1    0.0.0.0         UG    0      0        0 eth0
000.000.107.0    *               255.255.255.192 U     0      0        0 eth0
192.168.2.0     192.168.2.2     255.255.255.0   UG    0      0        0 tun0
192.168.2.2     *               255.255.255.255 UH    0      0        0 tun0

iptables сервера

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source 000.000.107.23

конфиг клиента(не полный)

remote 000.000.107.23
redirect-gateway def1
port 1194
dev tun
proto udp

ifconfig клиента

ppp0          inet addr:000.000.182.184  P-t-P:10.64.64.64  Mask:255.255.255.255
tun0          inet addr:192.168.2.6  P-t-P:192.168.2.5  Mask:255.255.255.255

route клиента

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.2.5     128.0.0.0       UG    0      0        0 tun0
default         *               0.0.0.0         U     0      0        0 ppp0
10.64.64.64     *               255.255.255.255 UH    0      0        0 ppp0
128.0.0.0       192.168.2.5     128.0.0.0       UG    0      0        0 tun0
192.168.2.0     192.168.2.5     255.255.255.0   UG    0      0        0 tun0
192.168.2.1     192.168.2.5     255.255.255.255 UGH   0      0        0 tun0
192.168.2.5     *               255.255.255.255 UH    0      0        0 tun0

При этом первый маршрут «убивает» всю связь но если закомментировать redirect-gateway def1 в конфиге клиента, то сервер vpn(192.168.2.1) пингуется. Следовательно проблема в маршутах на клиенте, но что именно нужно сделать не знаю. Для начала, мне нужно что бы весь траффик шел через vpn(просто что бы понять как это сделать), затем поднять там прокси и пустить через него траффик торрента(или прокси поднимать не обазательно а можно обойтись правилом iptables?).

Спасибо за любую помощь.

Ссылка

←	Прокси сервер с плавной регуляцией пропускной способности

Не переключается ядро на OpenVZ (Debian Wheezy)

→

Заказал vps

начнем с того что некоторые хостеры режут vpn

snaf ★★★★★
(18.09.15 04:07:14 MSK)

Ответ на: комментарий от snaf 18.09.15 04:07:14 MSK

я же говорю, сервер vpn пингуется, тоннель поялвяется.

lucky_guy ★★★
(18.09.15 10:53:20 MSK) автор топика

Ссылка

Вангую проблему из-за ppp и маршрута по умолчанию без шлюза. Если убрать

redirect-gateway def1

подключиться, а затем сделать

ip r d default dev ppp0
ip r a <vpn.server.external.ip> dev ppp0
ip r a default via 192.168.2.1 dev tun0

то пакеты должны по умолчанию пойти на впн-сервер.

А дальше сделать на впн-сервере

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

и получится классический нат.

Только вот какой vps-провайдер позволит держать у себя торренты?

koi-sama
(18.09.15 23:55:45 MSK)

Ответ на: комментарий от koi-sama 18.09.15 23:55:45 MSK

Стало лучше! Теперь обрубается не вся сеть, связь с vps остаётся, но в мир не пускает даже с таким правилом:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Может дело в openvpn? Кстати в статус логе появляется интересная запись

OpenVPN CLIENT LIST
Updated,Fri Sep 18 18:03:35 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
anon,000.000.32.10:39073,6563,6773,Fri Sep 18 18:02:35 2015
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.0/24,anon,000.000.32.10:39073,Fri Sep 18 18:02:40 2015
192.168.2.6,anon,000.000.32.10:39073,Fri Sep 18 18:02:40 2015
GLOBAL STATS
Max bcast

полный конфиг

cat server.conf | grep -v '^ *#' $1 | grep -v '^ *$'
;local a.b.c.d
port 1194
;proto tcp
proto udp
;dev tap
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 192.168.2.0 255.255.255.0
route 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge
push "route 192.168.2.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 208.67.222.222"
;client-to-client
;duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
max-clients 10
persist-key
persist-tun
status /var/log/openvpn-status.log
;log         openvpn.log
;log-append  openvpn.log
log /var/log/openvpn.log
verb 3
;mute 20

А на счет торрентов - там то того траффика 300кбит/с.

lucky_guy ★★★
(19.09.15 01:09:16 MSK) автор топика

Ответ на: комментарий от lucky_guy 19.09.15 01:09:16 MSK

На всякий случай, в /proc/sys/net/ipv4/ip_forward маршрутизация разрешена?

koi-sama
(19.09.15 18:05:10 MSK)

Ответ на: комментарий от koi-sama 19.09.15 18:05:10 MSK

Да, ipv6 на всякий случай тоже.

lucky_guy ★★★
(19.09.15 18:55:38 MSK) автор топика

Ответ на: комментарий от lucky_guy 19.09.15 18:55:38 MSK

Тогда - брать tcpdump и смотреть что куда ходит, начиная с tun0 клиента.

Кстати, записей вида 10.8.0.0/24 (с маской), равно как и двух записей для одного клиента в таблице маршрутизации openvpn я не видел ни разу. Правда, у меня и tun-сервер всего один.

koi-sama
(19.09.15 22:17:49 MSK)