LINUX.ORG.RU
решено ФорумAdmin

VPS-debian 9 + openvpn, нет доступа к внешней сети

 , , ,


0

1

Доброго дня! Помогите, пожалуйста. Установил на арендованном виртуальном выделенном сервере openvpn. Клиент на windows 8.1 подключается к серверу, выдается ip адрес 10.8.0.6. Но видимо не правильно настроил маршрутизацию на сервере так как в интернет он не пускает. Вот конфиги и состояния сервера:

Команда ip address

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever

2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 52:ac:00:eb:6b:ca brd ff:ff:ff:ff:ff:ff
inet xxx.xxx.217.192/21 brd xxx.xxx.223.255 scope global ens3
valid_lft forever preferred_lft forever
inet6 fe80::50ac:ff:feeb:6bca/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::74a3:e8c9:1202:a291/64 scope link flags 800
valid_lft forever preferred_lft forever"

Конфиг сервера
local xxx.xxx.217.192
port 1194
proto udp
dev tun
ca ca.crt
cert vpn_server.crt
key vpn_server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log

cipher AES-128-CBC
verb 3
explicit-exit-notify 1

Файл rc.local
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/32 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/32 -o ens3 -j SNAT --to-source xxx.xxx.217.192

Конфиг клиента
remote xxx.xxx.217.192 1194
client
dev tun
ping 10
comp-lzo
proto udp
tls-client
remote-cert-tls server
pkcs12 vpn.windows.p12
verb 3
pull
cipher AES-128-CBC
dh dh2048.pem
tls-auth ta.key 1

Буду очень благодарен за помощь, видимо у меня руки не оттуда.



Последнее исправление: alexandr-v95 (всего исправлений: 2)
transmission-remote не скачивает файлы без размера (пустые)
Можно ли заставить postfix маскировать исходящие адреса?

Отформатируй текст, ну непонятно ничего.

И включи ip_forward:

echo 1 > /proc/sys/net/ipv4/ip_forward

gruy ★★★★★
()
Ответ на: комментарий от gruy

Клиент Windows. Подключаюсь через оф. приложение. Как только подключается к серверу не пингуется ни с 10.8.0.1 ни с каким либо другим ip

alexandr-v95
() автор топика

у тебя IP выдаются клиентам из server конфига

 10.8.0.0 255.255.255.0

А правило для 1 IP:

iptables -t nat -A POSTROUTING -s 10.8.0.0/32 -o ens3 -j SNAT --to-source xxx.xxx.217.192

сделай маскрад на /24 подсеть

-A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE
garik_keghen ★★★★★
()
Ответ на: комментарий от garik_keghen

Так?

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE

alexandr-v95
() автор топика
Ответ на: комментарий от alexandr-v95

Покажи вывод iptables -S и iptables -L -n -t nat

Если у тебя политика FORWARD стоит в ACCEPT, то тебе не нужна. Но если ты оградился firewall-ом, то похоже на правду

garik_keghen ★★★★★
()

Не читай, сразу отвечай.

debian 9

Файл rc.local
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/32 -j ACCEPT

Добро пожаловать в новый мир «*Д», rc.local сооовсем не последним теперь стартует. Эти правила легко могут быть выкинутыми на помойку уничтожены при старте какого-нибудь firewalld и т.п.
Если нужно для первоначальной настройки/проверки, загрузились, ввели команды вручную.

anc ★★★★★
()
Ответ на: комментарий от Frost

client-to-client
нет записи

Как осилите man openvpn и поиск по ману, приходите с советами. Кстати там всего 9 (девять) строчек.

anc ★★★★★
()
Ответ на: комментарий от anc

Нужно мне было уточнить что эта подсказка по поводу:

ни с каким либо другим ip

Но спасибо, перечитаю ещё разок про 9 строк.

Frost ★★★
()
Ответ на: комментарий от Frost

Нужно мне было уточнить что эта подсказка по поводу:
ни с каким либо другим ip

Параллельно. Даже если предположить наличие client-to-client, как это по вашему мнению решит проблему ТС?

anc ★★★★★
()
Ответ на: комментарий от anc

Никак, я согласен. Но опция полезная:) C сервера пинг не проходит, между клиентами тоже. Ему с порядком запуска юнитов нужно разбираться и iptables чистить перед запуском, потом уже правила добавлять.

Frost ★★★
()
Ответ на: комментарий от Frost

Но опция полезная

Тоже не верно.
Она не может быть полезной или бесполезной.
Или наоборот
Она может быть полезной или бесполезной.
Все зависит от поставленной задачи.
Например. Мне нужно фильтровать трафик между клиентами. Она мне не позволит этого сделать - Бесполезна. Наоборот, меня это не волнует, снимет лишний оверхэд - Полезна.

anc ★★★★★
()
Ответ на: комментарий от garik_keghen

Спасибо огромное! Сначала посмотрел iptables -S, потом почитал вообще как работает iptables, очистил все правила с iptables -F, заново прописал согласно параметрам сети и всё пошло.
Всем большое спасибо!Проблема решена

alexandr-v95
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
transmission-remote не скачивает файлы без размера (пустые)
Admin
Можно ли заставить postfix маскировать исходящие адреса?