LINUX.ORG.RU
решено ФорумAdmin

OpenVPN за NAT-ом не не хочет маршрутизировать на win клиенте (linux и android прекрасно работают)

 , , ,


0

2

Здравствуйте, прошу помощи у профи (сам я уже перелопатил кучу мануалов - не чего не выходит)
Проблема заключается в том, что необходимо организовать для клиентов выход в WEB через OpenVPN (защищенный), а сделать этого для Win клиентов не получается…
Причем Android клиент и Linux клиенты отрабатывают превосходно!!!
Но обо всем по порядку:
Есть офис подключенный к интернету через аппаратный шлюз c NAT (Шлюз) на нем настроена переадресация 1194 на сервер OpenVPN (OpenVPN сервер)
OpenVPN сервер работает на UbuntuServer 17.04 со всеми обновлениями
Все ключи и сертификаты в порядке
В iptables добавлено правило 

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Включен форвардинг пакетов 
sysctl net.ipv4.ip_forward=1
Необходимо обеспечить подключение как внешнего клиента с динамическим IP, так и внутреннего (Внутренний клиент) подключенного в локальную сет через WiFi

Топология сети http://nash-teatr.com/images/banners/topolog.jpg

Настройки

Настройки серевера(server.conf) 

log /var/log/openvpn/server.log
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/win10vpn.crt
key /etc/openvpn/win10vpn.key  # This file should be kept secret
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
route-gateway 10.8.0.1
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
status openvpn-status.log
verb 3
explicit-exit-notify 1

Настройки клиента (client.ovpn) 

dev tun
proto udp
remote 192.168.0.114 1194
nobind
persist-key
persist-tun
ca ca.crt
cert "c:\\Program Files\\OpenVPN\\config\\hort.crt"
key hort.key
# compress lz4-v2
comp-lzo
verb 3

Работа Win7 клиента (openvpn-install-2.4.3-I602.exe установлены все компоненты) запущен под админом 


C:\Users\User>route print
===========================================================================
Список интерфейсов
 17...00 ff cd 34 d6 5b ......TAP-Windows Adapter V9
 16...b4 74 9f e9 fe 6e ......Сетевой адаптер Broadcom 802.11n
 15...e8 11 32 95 9e b5 ......Realtek PCIe GBE Family Controller
 13...b4 74 9f 8e cc dc ......Устройства Bluetooth (личной сети)
  1...........................Software Loopback Interface 1
 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 11...00 00 00 00 00 00 00 e0 Туннельный адаптер Microsoft Teredo
 29...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.113     25
          0.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6     20
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6     20
      192.168.0.0    255.255.255.0         On-link     192.168.0.113    281
    192.168.0.113  255.255.255.255         On-link     192.168.0.113    281
    192.168.0.114  255.255.255.255      192.168.0.1    192.168.0.113     25
    192.168.0.255  255.255.255.255         On-link     192.168.0.113    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.113    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.113    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276
===========================================================================
Постоянные маршруты:
  Отсутствует


C:\Users\User>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : core-i3
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-CD-34-D6-5B
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::71e0:a877:4da9:60c0%17(Основной
   IPv4-адрес. . . . . . . . . . . . : 10.8.0.6(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 27 августа 2017 г. 19:27:09
   Срок аренды истекает. . . . . . . . . . : 27 августа 2018 г. 19:27:08
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.8.0.5
   IAID DHCPv6 . . . . . . . . . . . : 285278157
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-2F-80-AC-E8-11-32-95-9

   DNS-серверы. . . . . . . . . . . : 8.8.8.8
   NetBios через TCP/IP. . . . . . . . : Включен

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевой адаптер Broadcom 802.11n
   Физический адрес. . . . . . . . . : B4-74-9F-E9-FE-6E
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::cdd3:699:5b31:c865%16(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.113(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 27 августа 2017 г. 19:00:20
   Срок аренды истекает. . . . . . . . . . : 27 августа 2017 г. 21:15:33
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DHCP-сервер. . . . . . . . . . . : 192.168.0.1
   IAID DHCPv6 . . . . . . . . . . . : 364147871
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-2F-80-AC-E8-11-32-95-9

   DNS-серверы. . . . . . . . . . . : 195.58.1.173
                                       194.226.144.116
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : E8-11-32-95-9E-B5
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Ethernet adapter Сетевое подключение Bluetooth:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Устройства Bluetooth (личной сети)
   Физический адрес. . . . . . . . . : B4-74-9F-8E-CC-DC
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{6BE73222-321D-4200-8C9F-851218051375}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 12:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Туннельный адаптер Microsoft Teredo
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{CD34D65B-92E6-4B85-BF8D-646BF69201C5}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да



C:\Users\User>ping 10.8.0.1

Обмен пакетами с 10.8.0.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.

Статистика Ping для 10.8.0.1:
    Пакетов: отправлено = 1, получено = 0, потеряно = 1
    (100% потерь)
Control-C
^C
C:\Users\User>ping 192.168.0.114

Обмен пакетами с 192.168.0.114 по с 32 байтами данных:
Ответ от 192.168.0.114: число байт=32 время=3мс TTL=64
Ответ от 192.168.0.114: число байт=32 время=2мс TTL=64

Статистика Ping для 192.168.0.114:
    Пакетов: отправлено = 2, получено = 2, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 2мсек, Максимальное = 3 мсек, Среднее = 2 мсек
Control-C
^C
C:\Users\User>ping e1.ru
При проверке связи не удалось обнаружить узел e1.ru.
Проверьте имя узла и повторите попытку.


C:\Users\User>tracert 192.168.0.114

Трассировка маршрута к 192.168.0.114 с максимальным числом прыжков 30

  1     2 ms     3 ms    <1 мс  192.168.0.1
  2     1 ms     1 ms     1 ms  192.168.0.114

Трассировка завершена.

Логи OpenVPN клиента 

Sun Aug 27 19:27:07 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Sun Aug 27 19:27:07 2017 Windows version 6.1 (Windows 7) 64bit
Sun Aug 27 19:27:07 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Sun Aug 27 19:27:07 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun Aug 27 19:27:07 2017 Need hold release from management interface, waiting...
Sun Aug 27 19:27:07 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'state on'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'log all on'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'echo all on'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'hold off'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'hold release'
Sun Aug 27 19:27:07 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:27:07 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Aug 27 19:27:07 2017 UDP link local: (not bound)
Sun Aug 27 19:27:07 2017 UDP link remote: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:27:07 2017 MANAGEMENT: >STATE:1503844027,WAIT,,,,,,
Sun Aug 27 19:27:08 2017 MANAGEMENT: >STATE:1503844028,AUTH,,,,,,
Sun Aug 27 19:27:08 2017 TLS: Initial packet from [AF_INET]192.168.0.114:1194, sid=fd6f65a5 e6285c91
Sun Aug 27 19:27:08 2017 VERIFY OK: depth=1, C=RU, ST=UR, L=Yakaterinburg, O=TerraZS, OU=IT, CN=AMD64, name=Win10vpn, emailAddress=hort@terrazs.com
Sun Aug 27 19:27:08 2017 VERIFY KU OK
Sun Aug 27 19:27:08 2017 Validating certificate extended key usage
Sun Aug 27 19:27:08 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Aug 27 19:27:08 2017 VERIFY EKU OK
Sun Aug 27 19:27:08 2017 VERIFY OK: depth=0, C=RU, ST=UR, L=Yakaterinburg, O=TerraZS, OU=IT, CN=AMD64, name=Win10vpn, emailAddress=hort@terrazs.com
Sun Aug 27 19:27:08 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Sun Aug 27 19:27:08 2017 [AMD64] Peer Connection Initiated with [AF_INET]192.168.0.114:1194
Sun Aug 27 19:27:09 2017 MANAGEMENT: >STATE:1503844029,GET_CONFIG,,,,,,
Sun Aug 27 19:27:09 2017 SENT CONTROL [AMD64]: 'PUSH_REQUEST' (status=1)
Sun Aug 27 19:27:09 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,compress lz4-v2,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM'
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: timers and/or timeouts modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: compression parms modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: route options modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: peer-id set
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: adjusting link_mtu to 1625
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: data channel crypto options modified
Sun Aug 27 19:27:09 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Sun Aug 27 19:27:09 2017 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Aug 27 19:27:09 2017 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Aug 27 19:27:09 2017 interactive service msg_channel=0
Sun Aug 27 19:27:09 2017 ROUTE_GATEWAY 192.168.0.1/255.255.255.0 I=16 HWADDR=b4:74:9f:e9:fe:6e
Sun Aug 27 19:27:09 2017 open_tun
Sun Aug 27 19:27:09 2017 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{CD34D65B-92E6-4B85-BF8D-646BF69201C5}.tap
Sun Aug 27 19:27:09 2017 TAP-Windows Driver Version 9.21 
Sun Aug 27 19:27:09 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {CD34D65B-92E6-4B85-BF8D-646BF69201C5} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Aug 27 19:27:09 2017 Successful ARP Flush on interface [17] {CD34D65B-92E6-4B85-BF8D-646BF69201C5}
Sun Aug 27 19:27:09 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Aug 27 19:27:09 2017 MANAGEMENT: >STATE:1503844029,ASSIGN_IP,,10.8.0.6,,,,
Sun Aug 27 19:27:14 2017 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Sun Aug 27 19:27:14 2017 C:\Windows\system32\route.exe ADD 192.168.0.114 MASK 255.255.255.255 192.168.0.1 IF 16
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 MANAGEMENT: >STATE:1503844034,ADD_ROUTES,,,,,,
Sun Aug 27 19:27:14 2017 C:\Windows\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Aug 27 19:27:14 2017 Initialization Sequence Completed
Sun Aug 27 19:27:14 2017 MANAGEMENT: >STATE:1503844034,CONNECTED,SUCCESS,10.8.0.6,192.168.0.114,1194,,
Sun Aug 27 19:33:12 2017 [AMD64] Inactivity timeout (--ping-restart), restarting
Sun Aug 27 19:33:12 2017 SIGUSR1[soft,ping-restart] received, process restarting
Sun Aug 27 19:33:12 2017 MANAGEMENT: >STATE:1503844392,RECONNECTING,ping-restart,,,,,
Sun Aug 27 19:33:12 2017 Restart pause, 5 second(s)
Sun Aug 27 19:33:17 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:33:17 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Aug 27 19:33:17 2017 UDP link local: (not bound)
Sun Aug 27 19:33:17 2017 UDP link remote: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:33:17 2017 MANAGEMENT: >STATE:1503844397,WAIT,,,,,,

Работа Linux клиента (конфигурация идентична за исключением путей к файлам) все прекрасно работает 

root@deepin:/home/hort# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.5        128.0.0.0       UG    0      0        0 tun0
default         192.168.0.1     0.0.0.0         UG    600    0        0 wlp1s0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
128.0.0.0       10.8.0.5        128.0.0.0       UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp1s0
192.168.0.114   0.0.0.0         255.255.255.255 UH    0      0        0 wlp1s0

root@deepin:/home/hort# ifconfig
enp2s0f2: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 80:ee:73:9c:02:f8  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 649  bytes 53627 (52.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 649  bytes 53627 (52.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.6  netmask 255.255.255.255  destination 10.8.0.5
        inet6 fe80::1117:7263:1034:5b9b  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 4497  bytes 3815676 (3.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3784  bytes 568619 (555.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.111  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::fb61:7952:96c4:9747  prefixlen 64  scopeid 0x20<link>
        ether 28:e3:47:21:8d:29  txqueuelen 1000  (Ethernet)
        RX packets 5832847  bytes 8348902321 (7.7 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3100797  bytes 301900465 (287.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


traceroute to e1.ru (212.193.163.6), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  1.804 ms  3.388 ms  3.600 ms
 2  192.168.0.1 (192.168.0.1)  4.736 ms  4.896 ms  4.930 ms

Прошу любой помощи!!! Перепробовал, кажется уже все!!! Заранее спасибо!



Последнее исправление: BigBadHort (всего исправлений: 8)
Лимит трафика для пользователей squid
Настройка маршрутизации.

Вендузятник должен страдать.

anonymous
()

У вас из под винды пингуется 10.8.0.6? Если ни один из адресов openvpn сервера не пингуется из винды, то вся эта куча информации преждевременна, тунель просто из под винды не работает, а не то, что выход в инет через него.

mky ★★★★★
()
Ответ на: комментарий от mky

Поддержу и дополню.
1. Возможно всякие вин fw/антивири - смотрите tcpdump на сервере ovpn
2. Описывалась проблема, возникшая из-за разных версий клиента/сервера. В целом для ovpn это не свойственно (сам ни разу не попадал), но вот как-то народ столкнулся, попробуйте использовать одинаковые версии.

anc ★★★★★
()
Ответ на: комментарий от anc

антивири отсутствуют, winбренбмауэр отключен

а как одинаковые версии использовать? на сервере ubuntu, на клиенте win7 (установлена последняя версия с официального сайта openvpn-install-2.4.3-I602.exe)..

подскажите как использовать именно tcpdump на сервере ovpn?

BigBadHort
() автор топика
Ответ на: комментарий от BigBadHort

Ну хоть сама себя винда пингует.

openvpn в ваших настройках выделяет на клиента подсеть из 4-х адресов (10.8.0.4/30 конкретно в этом случае). 10.8.0.5 в этой подсети, и этот адрес openvpn берёт себе, 10.8.0.6 назначает клиенту.

А 10.8.0.1 это адрес tun/tap инетрфейса на сервере.

mky ★★★★★
()
Ответ на: комментарий от mky

не пойму где именно это настраивается - если будет больше клиентов то получится затык, я правильно понял?

BigBadHort
() автор топика
Ответ на: комментарий от mky

Может еще каких то правил не хватает?

Вот мой iptables 

root@ubuser17:/etc/openvpn# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.8.0.0/24          anywhere

BigBadHort
() автор топика
Ответ на: комментарий от mky

вот что выдает tcpdump 

root@ubuser17:/etc/openvpn# tcpdump -n -i eth0 udp port 1194
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
18:42:20.155210 IP 192.168.0.114.1194 > 192.168.0.111.65017: UDP, length 37
18:42:30.205130 IP 192.168.0.114.1194 > 192.168.0.111.65017: UDP, length 37
18:42:40.219172 IP 192.168.0.114.1194 > 192.168.0.111.65017: UDP, length 37
18:42:50.259605 IP 192.168.0.114.1194 > 192.168.0.111.65017: UDP, length 37

BigBadHort
() автор топика
Ответ на: комментарий от BigBadHort

Я пока что вобще не понял, почему в у вас сервер считает, что он сервер, в вашем конфиге сервера нет ни ″mode server″, ни ″server 10.8.0.0 255.255.255.0″. Поэтому непонятно, сколько именно ip-адресов готов выделить openvpn server клиентам.

mky ★★★★★
()
Ответ на: комментарий от BigBadHort

Это во время запущенного с винды пинга на 10.8.0.5? Потому что эти пакеты больше похоже на keepalive запросы от сервера клиенту. На которые, впрочем, тоже нет ответа.

Копать правила в таблице nat рано, у вас не работает тунель от windows клиента, проблемы дальнейшей маршрутизации пакетов пока не наблюдается.

mky ★★★★★
()
Ответ на: комментарий от mky

Мой косяк - пропустил строчку при копировании!

отредактировал исходное сообщение добавил 

server 10.8.0.0 255.255.255.0

BigBadHort
() автор топика
Ответ на: комментарий от mky

Так может проблема маршрутизации на клиенте win?

если убрать

push "redirect-gateway def1 bypass-dhcp"

на сервере

то на win клиенте 10.8.0.1 начинает пинговаться, но пинг внешнего адреса идет мимо тунеля

BigBadHort
() автор топика
Ответ на: комментарий от BigBadHort

а как одинаковые версии использовать?

Смотрим какая на сервере, такую же и ставим на винде. Ваш КО.

anc ★★★★★
()
Ответ на: комментарий от anc

Кажется нащупал что то интересное:

Логи с сервер при подключении linux клиента

Wed Aug 30 21:53:45 2017 us=915177 192.168.0.113:46563 [tratra] Peer Connection Initiated with [AF_INET]192.168.0.113:46563
Wed Aug 30 21:53:45 2017 us=915219 tratra/192.168.0.113:46563 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Aug 30 21:53:45 2017 us=915274 tratra/192.168.0.113:46563 MULTI: Learn: 10.8.0.6 -> tratra/192.168.0.113:46563
Wed Aug 30 21:53:45 2017 us=915291 tratra/192.168.0.113:46563 MULTI: primary virtual IP for tratra/192.168.0.113:46563: 10.8.0.6
RWed Aug 30 21:53:46 2017 us=961519 tratra/192.168.0.113:46563 PUSH: Received control message: 'PUSH_REQUEST'
Wed Aug 30 21:53:46 2017 us=962039 tratra/192.168.0.113:46563 SENT CONTROL [tratra]: 'PUSH_REPLY,route 0.0.0.0 10.8.0.1,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.$
Wed Aug 30 21:53:46 2017 us=962146 tratra/192.168.0.113:46563 Data Channel MTU parms [ L:1550 D:1372 EF:50 EB:406 ET:0 EL:3 ]
Wed Aug 30 21:53:46 2017 us=962642 tratra/192.168.0.113:46563 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Aug 30 21:53:46 2017 us=962736 tratra/192.168.0.113:46563 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key

Логи с сервер при подключении win клиента

Wed Aug 30 21:57:19 2017 us=401376 192.168.0.111:55492 [tratra] Peer Connection Initiated with [AF_INET]192.168.0.111:55492
Wed Aug 30 21:57:19 2017 us=401405 tratra/192.168.0.111:55492 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Aug 30 21:57:19 2017 us=401439 tratra/192.168.0.111:55492 MULTI: Learn: 10.8.0.6 -> tratra/192.168.0.111:55492
Wed Aug 30 21:57:19 2017 us=401450 tratra/192.168.0.111:55492 MULTI: primary virtual IP for tratra/192.168.0.111:55492: 10.8.0.6
RWed Aug 30 21:57:20 2017 us=655728 tratra/192.168.0.111:55492 PUSH: Received control message: 'PUSH_REQUEST'
Wed Aug 30 21:57:20 2017 us=655811 tratra/192.168.0.111:55492 SENT CONTROL [tratra]: 'PUSH_REPLY,route 0.0.0.0 10.8.0.1,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.$
Wed Aug 30 21:57:20 2017 us=655840 tratra/192.168.0.111:55492 Data Channel MTU parms [ L:1550 D:1372 EF:50 EB:406 ET:0 EL:3 ]
Wed Aug 30 21:57:20 2017 us=655947 tratra/192.168.0.111:55492 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Aug 30 21:57:20 2017 us=655965 tratra/192.168.0.111:55492 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
WWRRRRRWed Aug 30 21:57:20 2017 us=765154 tratra/192.168.0.111:55492 MULTI: bad source address from client [::], packet dropped

MULTI: bad source address from client [::], packet dropped - что бы это значило?

BigBadHort
() автор топика
Ответ на: комментарий от anc

посмотрел тему - действительно та же ситуация

Активные маршруты: 

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     20
это дефолтный маршрут на который уходит весь траффик не попадающий под остальные правила. А адрес впн сервера у тебя 10.8.0.1. Попробуй после подключения к впн вручную удалить его и добавить маршрут что бы было так: 
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.8.0.1         10.8.0.6     20

BigBadHort
() автор топика
Ответ на: комментарий от BigBadHort

WWRRRRRWed

А это вообще что было? Остальное тоже поправили?

anc ★★★★★
()
Ответ на: комментарий от BigBadHort

Это я скопировал из соседней темы - это не работает...

BigBadHort
() автор топика
Ответ на: Так может проблема маршрутизации на клиенте win? от BigBadHort

Возможно, проблема в маршруте 

 192.168.0.114  255.255.255.255      192.168.0.1    192.168.0.113     25

который в локальной сети не нужен, и, возможно, что 192.168.0.1 шлёт icmp redirect и винду это смущает или ещё что. Проверьте работу при нахождении win-клиента и openvpn сервера в разных ip-сетях.

mky ★★★★★
()
14 октября 2017 г.
Ответ на: комментарий от mky

Решено

Решение наконец таки найдено!!!

Цитата из https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Цитировать If your VPN setup is over a wireless network, where all clients and the server are on the same wireless subnet, add the local flag:

push «redirect-gateway local def1»

Вся собака порылась таки в этом!!!

ну и до кучи рабочие правила для сервера

iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -A FORWARD -d 10.8.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 192.168.0.114

BigBadHort
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Лимит трафика для пользователей squid
Admin
Настройка маршрутизации.