LINUX.ORG.RU
решено ФорумAdmin

помогите с маршрутизацией OpenVpn

 


0

1

Всем привет , если есть знатоки помогите. Год назад настроил вместе с «anc» маршрутизацию по топологии net30. настроили и iptables все работало ,но пришло время переехать на другой сервер , и не смотря на то , что я повторил все в точности настройки - не работает (( Вроде все просто , но не работает. Вот схемка : https://yadi.sk/i/QDS5M3iBq9K6Ow



Последнее исправление: ruchechnik (всего исправлений: 1)
Помощь по бэкапу и восстановлению VPS (restic\rclone , но можно что другое)
Передача значений переменных.
Ответ на: комментарий от Pinkbyte

конфиг сервера 

port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
auth SHA512
topology net30
server 10.8.0.0 255.255.255.0
push "dhcp-option DNS *.*.247.2"
#route 10.8.1.0 255.255.255.0
#route 10.8.2.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
route 192.168.8.0 255.255.255.0
route 192.168.3.0 255.255.255.0
client-config-dir /etc/openvpn/client
keepalive 10 120
cipher AES-256-CBC
push "route 10.8.0.0 255.255.255.0"
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

iptables -vn -L : 

                                                                     
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)                                                            
 pkts bytes target     prot opt in     out     source               destination                           
21246 3723K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194     
 715K   70M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 
22                                                                                                        
 411K   47M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 
22                                                                                                        
 105M   14G ispmgr_deny_ip  all  --  *      *       0.0.0.0/0            0.0.0.0/0                        
 105M   14G ispmgr_allow_ip  all  --  *      *       0.0.0.0/0            0.0.0.0/0                       
 105M   14G ispmgr_allow_sub  all  --  *      *       0.0.0.0/0            0.0.0.0/0                      
 105M   14G ispmgr_deny_sub  all  --  *      *       0.0.0.0/0            0.0.0.0/0                       
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ispmgr_
limit_req src                                                                                             
 411K   47M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 
22                                                                                                        
22431  938K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53       
 4401  302K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53       
  77M 7655M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,E
STABLISHED                                                                                                
 5918  285K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW multi
port dports 35000:35999                                                                                   
2793K  160M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW multi
port dports 20:22,25,80,443,110,143,465,587,993,995,53,3306,5432,1500                                     
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW multi
port dports 53                                                                                            
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,EST
ABLISHED                                                                                                  
 6455  342K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0                             
16010  961K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                             
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt
:22                                                                                                       
  25M 6402M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-
host-prohibited                                                                                           
                                                                                                          
Chain FORWARD (policy ACCEPT 1343 packets, 962K bytes)                                                    
 pkts bytes target     prot opt in     out     source               destination                           
    0     0 ACCEPT     all  --  *      *       10.8.0.21            192.168.1.0/24                        
    0     0 ACCEPT     all  --  *      *       192.168.1.0/24       10.8.0.21                             
                                                                                                          
Chain OUTPUT (policy ACCEPT 21901 packets, 28M bytes)                                                     
 pkts bytes target     prot opt in     out     source               destination                           
                                                                                                          
Chain f2b-sshd (3 references)                                                                             
 pkts bytes target     prot opt in     out     source               destination                           
    0     0 REJECT     all  --  *      *       87.117.51.37         0.0.0.0/0            reject-with icmp-
port-unreachable                                                                                          
1234K  141M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                             
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                             
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                             
                                                                                                          
Chain ispmgr_allow_ip (1 references)                                                                      
 pkts bytes target     prot opt in     out     source               destination                           
                                                                                                          
Chain ispmgr_allow_sub (1 references)                                                                     
 pkts bytes target     prot opt in     out     source               destination                           
                                                                                                          
Chain ispmgr_deny_ip (1 references)                                                                       
 pkts bytes target     prot opt in     out     source               destination                           
                                                                                                          
Chain ispmgr_deny_sub (1 references)                                                                      
 pkts bytes target     prot opt in     out     source               destination                           
                                                                                                          
Chain ispmgr_limit_req (0 references)                                                                     
 pkts bytes target     prot opt in     out     source               destination

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

на всякий случай iptabes-save: 

# Generated by iptables-save v1.4.21 on Thu Jul  4 14:37:21 2019                                          
*nat                                                                                                      
:PREROUTING ACCEPT [190059:34475525]                                                                      
:INPUT ACCEPT [19238:1021802]                                                                             
:OUTPUT ACCEPT [6009:411363]                                                                              
:POSTROUTING ACCEPT [6060:414423]                                                                         
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source *.*.*.78                                   
COMMIT 
# Generated by iptables-save v1.4.21 on Thu Jul  4 14:37:21 2019                                          
*filter                                                                                                   
:INPUT ACCEPT [0:0]                                                                                       
:FORWARD ACCEPT [0:0]                                                                                     
:OUTPUT ACCEPT [439:304959]                                                                               
:f2b-sshd - [0:0]                                                                                         
:ispmgr_allow_ip - [0:0]                                                                                  
:ispmgr_allow_sub - [0:0]                                                                                 
:ispmgr_deny_ip - [0:0]                                                                                   
:ispmgr_deny_sub - [0:0]                                                                                  
:ispmgr_limit_req - [0:0]                                                                                 
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT                                                             
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd                                                      
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd                                                      
-A INPUT -j ispmgr_deny_ip                                                                                
-A INPUT -j ispmgr_allow_ip                                                                               
-A INPUT -j ispmgr_allow_sub                                                                              
-A INPUT -j ispmgr_deny_sub                                                                               
-A INPUT -m set --match-set ispmgr_limit_req src -j DROP                                                  
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd                                                      
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT                                                               
-A INPUT -p udp -m udp --dport 53 -j ACCEPT                                                               
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT                                             
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 35000:35999 -j ACCEPT                    
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 20:22,25,80,443,110,143,465,587,993,995,5
3,3306,5432,1500 -j ACCEPT                                                                                
-A INPUT -p udp -m conntrack --ctstate NEW -m multiport --dports 53 -j ACCEPT                             
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT                                                   
-A INPUT -p icmp -j ACCEPT                                                                                
-A INPUT -i lo -j ACCEPT                                                                                  
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT                                          
-A INPUT -j REJECT --reject-with icmp-host-prohibited                                                     
-A FORWARD -s 10.8.0.21/32 -d 192.168.1.0/24 -j ACCEPT                                                    
-A FORWARD -s 192.168.1.0/24 -d 10.8.0.21/32 -j ACCEPT                                                    
-A f2b-sshd -s 87.117.51.37/32 -j REJECT --reject-with icmp-port-unreachable                              
-A f2b-sshd -j RETURN                                                                                     
-A f2b-sshd -j RETURN                                                                                     
-A f2b-sshd -j RETURN

в дополнение подолню, роутер 192.168.1.1 имеющий локальный адрес в сети ovpn 10.8.0.5 его веб морда открывается по его локальному адресу, если я захожу в впн с мобильного с мобильной сети, но при этом 192.168.1.1 не открывается

sysctl -a , его выкладывать ? там реальная портянка ((

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

sysctl -a , его выкладывать ?

Покажи хотя бы чему равно net.ipv4.ip_forward

но при этом 192.168.1.1 не открывается

Нужно смотреть таблицу маршрутизации на клиенте. Если с ней всё окей - смотреть где затыкается трассировка до адреса 192.168.1.1 с клиента

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

немного разобрался , но не до конца. благо сервер с которого перебираюсь , работает. что я заметил : клиент 10.8.0.6 за которым роутер , почемуто не аносирует его ( роутер 192.168.1.1) , в логах это видно 

HEADER,CLIENT_LIST,Common Name,Real Address,Virtual Address,Virtual IPv6 Address,Bytes Received,Bytes Sent,Connected Since,Connected Since (time_t),Username,Client ID,Peer ID
CLIENT_LIST,nout,91.193.176.225:21807,10.8.0.22,,5867,5606,Thu Jul  4 17:56:27 2019,1562252187,UNDEF,3,1
CLIENT_LIST,labratory,94.25.171.52:13112,10.8.0.6,,5067,4364,Thu Jul  4 18:01:47 2019,1562252507,UNDEF,5,0
HEADER,ROUTING_TABLE,Virtual Address,Common Name,Real Address,Last Ref,Last Ref (time_t)
ROUTING_TABLE,10.8.0.6,labratory,94.25.171.52:13112,Thu Jul  4 18:01:48 2019,1562252508
ROUTING_TABLE,10.8.0.22,nout,91.193.176.225:21807,Thu Jul  4 17:56:27 2019,1562252187

на рабочем сервере нормальная картина в логах : 

Virtual Address,Common Name,Real Address,Last Ref
192.168.1.0/24,keen,94.25.171.52:8356,Thu Jul  4 15:52:38 2019
10.8.0.6,keen,94.25.171.52:8356,Thu Jul  4 15:52:38 2019
GLOBAL STATS
Max bcast/mcast queue length,2

на обоих серверах одинаковые конфиги клинетов за которыми этот роутер 

push 10.8.0.6 10.8.0.5
iroute 192.168.1.0 255.255.255.0

ну что за нах ((( ?!

ruchechnik
() автор топика
Ответ на: комментарий от ruchechnik

Спасибо всем кто откликнулся , разобрался , Были проблемы с правами на OpenVpn и на папку client ! будьте внимательны !!! Рад был видеть ANCa )))!!

ruchechnik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Помощь по бэкапу и восстановлению VPS (restic\rclone , но можно что другое)
Admin
Передача значений переменных.