openvpn, iptables. проблемы с форвардингом.

0

1

Всем привет.
Для начала:

eth1      Link encap:Ethernet  HWaddr 00:15:5d:15:cb:0f
          inet addr:192.168.11.251  Bcast:192.168.11.255  Mask:255.255.255.128
          inet6 addr: fe80::215:5dff:fe15:cb0f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10579005 errors:0 dropped:4537886 overruns:0 frame:0
          TX packets:829963 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5675815562 (5.6 GB)  TX bytes:217801020 (217.8 MB)

eth2      Link encap:Ethernet  HWaddr 00:15:5d:15:cb:10
          inet addr:X.X.X.X  Bcast:X.X.X.X  Mask:255.255.255.252
          inet6 addr: fe80::215:5dff:fe15:cb10/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4462347 errors:0 dropped:833827 overruns:0 frame:0
          TX packets:3965476 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:811107969 (811.1 MB)  TX bytes:2404853474 (2.4 GB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3024900 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3024900 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:400069187 (400.0 MB)  TX bytes:400069187 (400.0 MB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Настроил openvpn сервер, коннекчусь к нему клиентом, все ок — пингуется интерфейс tun1, остальные интерфейсы недоступны. Интерфейс eth2-Интернет, eth1-локалка. Нужно чтобы клиенты ovpn могли ходить и туда и туда. Строка

net.ipv4.ip_forward=1

в /etc/sysctl.conf присутствует. Вот правила iptables:

#! /sbin/iptables-restore
# Generated by iptables-save v1.4.12 on Mon Jan 11 00:34:56 2016
*filter
:INPUT ACCEPT [4:244]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1203:159105]
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1140 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i tun1 -j ACCEPT
-A INPUT -i eth2 -p tcp -m multiport --dports 22 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth2  -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i tun1 -o eth2 -j ACCEPT
-A FORWARD -i tun1 -o eth1 -j ACCEPT
COMMIT
# Completed on Mon Jan 11 #! /sbin/iptables-restore
 Mon Jan 11 00:34:57 2016

Подскажите пожвлуйста, что я не учел..

Ссылка

←	SSD непонятка с TRIM

Объясните по поводу Jingle relay nodes

→

Проверяй на клиенте маршруты.

vel ★★★★★
(31.01.16 19:09:41 MSK)

Ссылка

Угу роутинг. Т.е. настройки openvpn. Если нужна помощь, конфиг openvpn в студию и если есть настройки для клиентов в client config dir то один из не рабочих для примера тоже.

anc ★★★★★
(31.01.16 20:33:53 MSK)

Ответ на: комментарий от anc 31.01.16 20:33:53 MSK

конфиг:

dev tun1
port 1140
proto udp

tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
auth SHA1
cipher BF-CBC

server 10.10.10.0 255.255.255.0
ifconfig 10.10.10.1 10.10.10.2

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem

client-to-client
client-config-dir /etc/openvpn/ccd
comp-lzo
persist-tun
persist-key
verb 9
keepalive 10 120
ifconfig-pool-persist ipp.txt

log-append /var/log/openvpn_tun.log
status /var/log/openvpn_status_tun.log

sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"

настройки клиента из ccd:

#disable
ifconfig-push 10.10.10.9 10.10.10.10
iroute 10.10.10.0  255.255.255.0
push "route 192.168.11.128 255.255.255.128"

borschov ★
(31.01.16 20:58:28 MSK) автор топика

Ответ на: комментарий от borschov 31.01.16 20:58:28 MSK

Кто клиент ? На нем посмотри таблицу маршрутизации после подъема vpn! Убедись, что маршруты в твою сеть есть.

на клиенте «ping 192.168.11.251» работает ?

«sysctl net.ipv4.conf.all.rp_filter=2» не помогает ?

vel ★★★★★
(31.01.16 21:50:59 MSK)

Ответ на: комментарий от borschov 31.01.16 20:58:28 MSK

Вот это совсем не по месту iroute 10.10.10.0 255.255.255.0
т.е. не нужно от слова совсем

anc ★★★★★
(31.01.16 22:18:18 MSK)
Последнее исправление: anc 31.01.16 22:18:58 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от vel 31.01.16 21:50:59 MSK

Клиент на андроиде (подключены еще пара учеток к аналогичным серверам, и все ок).
Маршрут есть:

10.10.10.8/255.255.255.252 dev tun0

Да работает, пингуется. Нет, не помогло.

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=2

borschov ★
(31.01.16 22:23:54 MSK) автор топика

Довать iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE на сервер и push «redirect-gateway def1» в конфиг.

anonymous
(31.01.16 22:38:23 MSK)

Ответ на: комментарий от anonymous 31.01.16 22:38:23 MSK

не, IMHO остальный из сети 129.168.11.128/25 не могут правильно отправить ответ.

Надо на какой-нибудь машине в сети 129.168.11.128/25 ( но не .251) сделать tracepath/traceroute до 10.10.10.9.

vel ★★★★★
(31.01.16 23:18:00 MSK)

Ответ на: комментарий от borschov 31.01.16 22:23:54 MSK

Так а на 192.168.11.128/25 маршрут есть?

anc ★★★★★
(31.01.16 23:19:21 MSK)

Ссылка

Ответ на: комментарий от vel 31.01.16 23:18:00 MSK

Он же написал «остальные интерфейсы недоступны» так что все ближе.

anc ★★★★★
(31.01.16 23:20:15 MSK)

Ответ на: комментарий от anc 31.01.16 23:20:15 MSK

на мое «на клиенте «ping 192.168.11.251» работает ?»

был ответ ДА.

Но список маршрутов с адройда хотелось бы увидить.

vel ★★★★★
(31.01.16 23:23:25 MSK)

Ответ на: комментарий от vel 31.01.16 23:23:25 MSK

10.10.10.8/255.255.255.252 dev tun0
192.168.11.0/255.255.255.192 dev wlan0
default via 192.168.11.1 dev wlan0

сделал tracert до 10.10.10.9, результат меня удивил (маршрутизация о которой я не подозревал), завтра буду разбираться.

borschov ★
(31.01.16 23:36:25 MSK) автор топика

Ответ на: комментарий от borschov 31.01.16 23:36:25 MSK

Вот это:

push "route 192.168.11.128 255.255.255.128"

не сработало, а должно было. Вы iroute убрали?

anc ★★★★★
(01.02.16 00:03:17 MSK)

Ссылка

Ответ на: комментарий от vel 31.01.16 23:23:25 MSK

Сорри, невнимательно прочитал.

anc ★★★★★
(01.02.16 00:04:14 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SSD непонятка с TRIM

Admin

Объясните по поводу Jingle relay nodes

→

Похожие темы