LINUX.ORG.RU

Centos iptables

 , ,


0

1

Подскажите. Centos 7, настроил vpn сервер. Принимает локальных виндовозных клиентов по udp 7777, ip подсеть vpn 10.8.8.0 Клиенты подключаются, выходят в инет все ок.

Понадобилось чтобы трафик клиентов шел еще через один vpn сервер.

В Centos 7 ввел

openvpn --config my.ovpn
Все подключилось, Centos выходит в инет через vpn.(p.s подсеть 10.8.0.0)

Проверяю:

curl 2ip.ru
Все отлично ip vpn сервера. все ок

Теперь последовательно:

service openvpn@server stop
openvpn --config my.ovpn
curl 2ip.ru
service openvpn@server start
service openvpn@server status
(все ок)

На виндовозных клиентах пытаюсь подключится к Centos 7 по vpn и после долгих попыток ничего не получается.

iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:7777

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.8.8.0/24          0.0.0.0/0  #винда         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.8.8.0/24          0.0.0.0/0  #винда

Вопрос, что нужно сделать чтобы связка "винда -vpn- Centos 7 -vpn- Vpn server заработала? Я банально не понимаю почему клиенты не коннектятся?

netstat -ntlup | grep vpn
udp        0      0 0.0.0.0:7777           0.0.0.0:*    #винда                       2779/openvpn        
udp        0      0 0.0.0.0:40502           0.0.0.0:*                           2596/openvpn 

Причем если отключиться от vpn сервера, то виндовозные клиенты могут коннектится

Маршруты в простое:

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1      0.0.0.0         UG    100    0        0 enp0s3 #локальный инет шлюз
10.8.8.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0  #винда
192.168.1.0      0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
Адаптеры:
ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.5  netmask 255.255.255.0  broadcast 192.168.1.255  #локальный инет 
        inet6 fe80::a70:27ff:fe47:8446  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:47:84:46  txqueuelen 1000  (Ethernet)
        RX packets 327  bytes 23926 (23.3 KiB)
        RX errors 0  dropped 14  overruns 0  frame 0
        TX packets 45  bytes 4275 (4.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.8.1  netmask 255.255.255.0  destination 10.8.8.1  #винда
        inet6 fe80::b31c:87dd:b549:ce87  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3  bytes 144 (144.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Адаптеры после подключения Centos 7 к vpn серверу:

ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.5  netmask 255.255.255.0  broadcast 192.168.1.255  #локальный инет 
        inet6 fe80::a00:27ff:fe47:8446  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:47:84:46  txqueuelen 1000  (Ethernet)
        RX packets 1162  bytes 85842 (83.8 KiB)
        RX errors 0  dropped 14  overruns 0  frame 0
        TX packets 126  bytes 16073 (15.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.8.1  netmask 255.255.255.0  destination 10.8.8.1   #винда
        inet6 fe80::b31c:834d:b549:ce87  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3  bytes 144 (144.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun1: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.8  netmask 255.255.255.0  destination 10.8.0.8  #подключение к vpn серверу в инете 
        inet6 fe80::afe4:343d:3a1b:3655  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 23  bytes 1814 (1.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 28  bytes 1978 (1.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Маршруты после подключения Centos 7 к vpn серверу:

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface                                                
0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun1   #подключение к vpn серверу в инете                                               
0.0.0.0         192.168.1.1      0.0.0.0         UG    100    0        0 enp0s3  #локальный инет                                        
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun1    #подключение к vpn серверу в инете                                               
10.8.8.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0  #винда
192.168.1.0      0.0.0.0         255.255.255.0   U     100    0        0 enp0s3  #локальный инет
55.10.140.61    192.168.1.1      255.255.255.255 UGH   0      0        0 enp0s3  #ip адрес vpn сервера в инете
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun1   #локальный ip адрес vpn сервера в инете

p.s если есть howto пошагово, скиньте пож-та , будет быстрее сделать по гайду



Последнее исправление: LiveInno (всего исправлений: 11)

Клиенты подключаются из локальной сети или из инета? Если второе, то что у вас с маршрутами, когда поднят «ещё через один VPN-сервер»? Вам, походу, нужно policy routing.

P.S. Если вы предыдущую тему оформили нормально, почему здесь развели кашу? Читать ведь правила iptables неудобно, и вобще ″iptables-save″ удобнее, чем ″iptables -L″.

mky ★★★★★
()
Ответ на: комментарий от mky

Клиенты подключаются из локальной сети или из инета?

Локально. Указал недочеты и оформил как надо вопрос

LiveInno
() автор топика

Не вижу в этих данных то, что може помешать подключится винде.

Попробуйт посмотреть пытается ли вобще винда устанавливать тунель, посмотрите вывод tcpdump на сервере, типа:

tcpdump -i enp0s3 -n -nn udp and host 192.168.1.x

где вместо 192.168.1.x подставить ip-адрес виндового клиента. Если там будут пакеты туда и обратно по 7777 порту, то надо копать openvpn, а если тишина, то смотреть что-то другое, допустим DNS.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.