LINUX.ORG.RU
ФорумSecurity

openvpn вроде работает, но на сайты не пускает, а IP тот же

 ,


0

1

вот по этому конфигу настроил:
https://wiki.debian.org/OpenVPN

в итоге как будто бы подключилось
но
1. ip НЕ меняется, вот тут: https://myip.ru/
2. сайты НЕ открываются (если systemctl stop openvpn-client@client, то работают)
3. в логах визуально ошибок не видно, куда копать не ясно

в iptables правила все удалил, везде ACCEPT
Squid на том же сервере проксирует всё ок (щас отключён), на сервер не грешу

там зачем-то советуют форвардить трафик, но это только для IOS/Android:
Forward traffic to provide access to the Internet on the Server
In Server enable runtime IP forwarding:
echo 1 > /proc/sys/net/ipv4/ip_forward

Edit /etc/sysctl.conf uncomment the following line to make it permanent:
net.ipv4.ip_forward = 1

короче, не понятно, что ему не хватает?
сделано всё как в инструкции...
сервер Debian, клиент Ubuntu


Звездный час Linux, возможно, и настанет

вот по этому конфигу настроил:
https://wiki.debian.org/OpenVPN

Предполагаю что это не конфиг, а мануал (инструкция)

ip НЕ меняется, вот тут: https://myip.ru/

У меня другой. Не такой как у тебя.

И так, для решения проблемы в консоли сервера openvpn достаточно ввести

iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE
Shprot ★★
()
Последнее исправление: Shprot (всего исправлений: 1)
Ответ на: комментарий от Shprot

после исполнения в правилах всё равно пусто:

Chain INPUT (policy ACCEPT 309K packets, 489M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 2477 packets, 166K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 237K packets, 488M bytes)
 pkts bytes target     prot opt in     out     source               destination

tip78
() автор топика
Ответ на: комментарий от tip78

после исполнения в правилах всё равно пусто

Ты показываешь цепочки, а надо ещё таблицы. Если быть ещё точнее, то таблицу nat. Я на nftables перешёл, поэтому сейчас не вспомню как точно посмотреть, но скорее всего как рекомендует @l0stparadise сделай.

P.S> в твоей инструкции кстати есть пункт с nft. Я бы рекомендовал использовать его ибо iptables - RIP.

Shprot ★★
()
Ответ на: комментарий от tip78

Лучше показывать вывод iptables-save там и все таблицы и все цепочки.

И нужно добавить MASQUERADE-правило, как в инструкции, а не ту ерунду с ″-o tun0″ как ранее посоветовали. Естественно, что вместо $IF_MAIN нужно подставить правильно имя сетевого интерфейса сервера. И вместо $YOUR_OPENVPN_SUBNET нужно указать подсеть, выделеную для openvpn-тунеля.

mky ★★★★★
()
Ответ на: комментарий от l0stparadise

server

$ ip l
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:16:05:3d:28:be brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    altname ens3
37: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 500
    link/none


$ iptables -t nat --list-rules
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o tun0 -j MASQUERADE


client
$ ps aux|grep vpn
root      202357  0.3  0.1  13508  8832 ?        Ss   04:11   0:00 /usr/sbin/openvpn --suppress-timestamps --nobind --config client.conf

$ ip l
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN mode DEFAULT group default qlen 1000
    link/ether bc:e9:2f:89:e2:7d brd ff:ff:ff:ff:ff:ff
3: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DORMANT group default qlen 1000
    link/ether 70:66:55:e9:dd:33 brd ff:ff:ff:ff:ff:ff
4: lxcbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:16:3e:00:00:00 brd ff:ff:ff:ff:ff:ff
11: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 500
    link/none 


$ iptables -t nat --list-rules 
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT

tip78
() автор топика
Ответ на: комментарий от mky

вот это всё надо применить?

In Server enable runtime IP forwarding:
echo 1 > /proc/sys/net/ipv4/ip_forward

Edit /etc/sysctl.conf uncomment the following line to make it permanent:
net.ipv4.ip_forward = 1

Execute the following command in server for testing (Old way):
IF_MAIN=eth0
IF_TUNNEL=tun0
YOUR_OPENVPN_SUBNET=10.9.8.0/24
#YOUR_OPENVPN_SUBNET=10.8.0.0/16 # if using server.conf from sample-server-config
iptables -A FORWARD -i $IF_MAIN -o $IF_TUNNEL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $YOUR_OPENVPN_SUBNET -o $IF_MAIN -j ACCEPT
iptables -t nat -A POSTROUTING -s $YOUR_OPENVPN_SUBNET -o $IF_MAIN -j MASQUERADE

tip78
() автор топика
Последнее исправление: tip78 (всего исправлений: 1)
Ответ на: комментарий от tip78

ip_forward надо, но, вроде, вы уже делали ″echo 1 > /proc...″

Если у вас в iptables политика (-P) ACCEPT, то FORWARD правила не нужны. Вам нужно MASQUERADE правило (последняя строка):

iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE

Если вы назначили другие адреса для тунеля, то поменять 10.9.8.0.

mky ★★★★★
()
Звездный час Linux, возможно, и настанет
Security