LINUX.ORG.RU
решено ФорумAdmin

openvpn трафик не идёт через vpn

 


0

0

Здравствуйте. Помогите, пожалуйста, понять в чём проблема. Настроен openvpn+freeradius. Клиент коннектится к openvpn серверу, получает ip, но не получает remote gateway; трафик не идёт через vpn-сервер.

Вот конфиг openvpn сервера:

local x.x.x.x # ip этого openvpn сервера
port 1194
proto tcp
dev tun0
ca ca.crt
cert server.crt
key server.key  
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
push "redirect-gateway def1"
status openvpn-status.log
log         openvpn.log
verb 6
tcp-queue-limit 256
status /etc/openvpn/openvpn-status.log
plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.cnf 
client-cert-not-required

Конфиг клиента:

client
dev tun
proto tcp
remote x.x.x.x # ip openvpn сервера
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
auth-user-pass
comp-lzo
reneg-sec 0
verb 3
# log-append /var/log/openvpn.log

p.s. iptables:

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  10.8.0.0/24          anywhere             to:x.x.x.x
x.x.x.x - адрес сервера.

p.p.s. в /etc/sysctl.conf присутствует параметр net.ipv4.ip_forward=1

Если x.x.x.x везде адрес сервера, то понятно почему не работает.

если адрес для туннеля выдается динамический, то SNAT нужно заменить на masquerade

vel ★★★★★ ()
Ответ на: комментарий от vel

Спасибо за ответ. SNAT Заменил на masquerade, так верно. Но ошибка была не в том. (Я просто уже раньше сделал masquerade и попменял на SNAT, поэкспериментировать). Ошибка была в том, что я внешний ip проверял в фаерфоксе, и где-то кеши короче хранятся так, что если ты заходишь на сайт который IP определяет, потом подклчаешь vpn а потом жмёшь f5 то Ip будет старый. Всю голову сломал, думал не работает шарманка. Оказалось, надо было переоткрыть браузер.

Piter_prbg ()
Ответ на: комментарий от Piter_prbg

на старых ядрах обычно помогало «ip ro flush table cache» при подъеме туннелей.

vel ★★★★★ ()
Ответ на: комментарий от Piter_prbg

а на новых (с 3.6) его нет.

соединения открытые до подъема vpn обычно ломаются. Чтобы сохранить их работоспособность нужно иметь достаточно хитрый iptables.

vel ★★★★★ ()
Последнее исправление: vel (всего исправлений: 1)

покури маны. если хочешь пустить через впн весь трафик то воп канект должен подменять у клиента маршрут по умолчанию.

Renegade ()
Ответ на: комментарий от Renegade

да, спасибо, это всё было сделано, ошибка найдена, как я уже написал, надо было переоткрывать браузер.

Piter_prbg ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.