LINUX.ORG.RU
ФорумAdmin

openvpn, iptables. проблемы с форвардингом.

 ,


0

1

Всем привет.
Для начала:

eth1      Link encap:Ethernet  HWaddr 00:15:5d:15:cb:0f
          inet addr:192.168.11.251  Bcast:192.168.11.255  Mask:255.255.255.128
          inet6 addr: fe80::215:5dff:fe15:cb0f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10579005 errors:0 dropped:4537886 overruns:0 frame:0
          TX packets:829963 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5675815562 (5.6 GB)  TX bytes:217801020 (217.8 MB)

eth2      Link encap:Ethernet  HWaddr 00:15:5d:15:cb:10
          inet addr:X.X.X.X  Bcast:X.X.X.X  Mask:255.255.255.252
          inet6 addr: fe80::215:5dff:fe15:cb10/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4462347 errors:0 dropped:833827 overruns:0 frame:0
          TX packets:3965476 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:811107969 (811.1 MB)  TX bytes:2404853474 (2.4 GB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3024900 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3024900 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:400069187 (400.0 MB)  TX bytes:400069187 (400.0 MB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Настроил openvpn сервер, коннекчусь к нему клиентом, все ок — пингуется интерфейс tun1, остальные интерфейсы недоступны. Интерфейс eth2-Интернет, eth1-локалка. Нужно чтобы клиенты ovpn могли ходить и туда и туда. Строка
net.ipv4.ip_forward=1
в /etc/sysctl.conf присутствует. Вот правила iptables:
#! /sbin/iptables-restore
# Generated by iptables-save v1.4.12 on Mon Jan 11 00:34:56 2016
*filter
:INPUT ACCEPT [4:244]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1203:159105]
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1140 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i tun1 -j ACCEPT
-A INPUT -i eth2 -p tcp -m multiport --dports 22 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth2  -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i tun1 -o eth2 -j ACCEPT
-A FORWARD -i tun1 -o eth1 -j ACCEPT
COMMIT
# Completed on Mon Jan 11 #! /sbin/iptables-restore
 Mon Jan 11 00:34:57 2016
Подскажите пожвлуйста, что я не учел..

Проверяй на клиенте маршруты.

vel ★★★★★ ()

Угу роутинг. Т.е. настройки openvpn. Если нужна помощь, конфиг openvpn в студию и если есть настройки для клиентов в client config dir то один из не рабочих для примера тоже.

anc ★★★★★ ()
Ответ на: комментарий от anc

конфиг:

dev tun1
port 1140
proto udp

tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
auth SHA1
cipher BF-CBC

server 10.10.10.0 255.255.255.0
ifconfig 10.10.10.1 10.10.10.2

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem

client-to-client
client-config-dir /etc/openvpn/ccd
comp-lzo
persist-tun
persist-key
verb 9
keepalive 10 120
ifconfig-pool-persist ipp.txt

log-append /var/log/openvpn_tun.log
status /var/log/openvpn_status_tun.log

sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"
настройки клиента из ccd:
#disable
ifconfig-push 10.10.10.9 10.10.10.10
iroute 10.10.10.0  255.255.255.0
push "route 192.168.11.128 255.255.255.128"

borschov ()
Ответ на: комментарий от borschov

Кто клиент ? На нем посмотри таблицу маршрутизации после подъема vpn! Убедись, что маршруты в твою сеть есть.

на клиенте «ping 192.168.11.251» работает ?

«sysctl net.ipv4.conf.all.rp_filter=2» не помогает ?

vel ★★★★★ ()
Ответ на: комментарий от borschov

Вот это совсем не по месту iroute 10.10.10.0 255.255.255.0
т.е. не нужно от слова совсем

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от vel

Клиент на андроиде (подключены еще пара учеток к аналогичным серверам, и все ок).
Маршрут есть:

10.10.10.8/255.255.255.252 dev tun0
Да работает, пингуется. Нет, не помогло.
# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=2

borschov ()

Довать iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE на сервер и push «redirect-gateway def1» в конфиг.

anonymous ()
Ответ на: комментарий от anonymous

не, IMHO остальный из сети 129.168.11.128/25 не могут правильно отправить ответ.

Надо на какой-нибудь машине в сети 129.168.11.128/25 ( но не .251) сделать tracepath/traceroute до 10.10.10.9.

vel ★★★★★ ()
Ответ на: комментарий от anc

на мое «на клиенте «ping 192.168.11.251» работает ?»

был ответ ДА.

Но список маршрутов с адройда хотелось бы увидить.

vel ★★★★★ ()
Ответ на: комментарий от vel
10.10.10.8/255.255.255.252 dev tun0
192.168.11.0/255.255.255.192 dev wlan0
default via 192.168.11.1 dev wlan0

сделал tracert до 10.10.10.9, результат меня удивил (маршрутизация о которой я не подозревал), завтра буду разбираться.

borschov ()
Ответ на: комментарий от borschov

Вот это:

push "route 192.168.11.128 255.255.255.128"
не сработало, а должно было. Вы iroute убрали?

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.