LINUX.ORG.RU
ФорумAdmin

Как сделать proxy из openvpn?

 ,


1

1

Здравствуйте люди добрые.

У меня ни как не получается сделать proxy из openvpn.

Есть debian 7 На нем поднимаю два опенвпн соединения (не уверен что так правильно потому что я так понимаю второе соединение поднимается через первое) Потом запускаю два 3proxy сервера на разных портах, в external прописываю ip tun0-00 и tun1-00 соответственно Пробую разными браузерами с прописаными этими прокси на этих разных портах проверять работу интернета, работает только один (впрочем я так и предполагал)

Потом еще пробовал после установки соединения опенвпн удалять маршруты которые он прописывает в конце установки соединения, после обоих соединений так делал, потом соответсвенно запускаю опять две штуки 3proxy. В итоге захожу на 2ip.ru с обоих портов прокси и вижу что интернет идет в обход опенвпн.

Еще пробовал изучать iptables, думал что можно вообще без 3proxy перенаправлять пакеты на tun0-00 и tun1-00, тоже не получилось, и для меня iptables очень сложно показалось, не понимаю толком.

Подскажите пожалуйста как можно сделать такой сервер, чтоб в нем поднять пару openvpn и заходить через них в интернет одновременно используя прокси на разных портах которые будут соответствовать разным openvpn соединениям в этом сервере. За решение под ключ готов заплатить.

Еще пробовал изучать iptables, думал что можно вообще без 3proxy перенаправлять пакеты на tun0-00 и tun1-00,

Да можно.

тоже не получилось, и для меня iptables очень сложно показалось, не понимаю толком.

iptables tutorial - есть на русском. И это вы еще доки по iproute2 не читали.
Гуглите «подключение инет два провайдера» в вашем случае это будет два ovpn если я правильно понял задачу.
ЗЫ А вообще каникулы скоро закончатся. Вам о других предметах думать пора.

anc ★★★★★
()
Ответ на: комментарий от anc

Я вот не администратор системный, по этому вопросом не владею в должной мере, решил обратиться на форум специализированный, найти специалиста, и вот мне посчастливилось встретить Вас. Но то что есть на русском руководство iptables я и так знаю и читал (не особо помогло). А то что каникулы скоро кончатся - это мощная шутка ;-) У Петросяна подробатываете в свободное время от построения таблиц маршрутизации?

simbatron
() автор топика
Ответ на: комментарий от simbatron

Давай, ты нормально сформулируешь, что ты хочешь получить, а потом уже будем думать, как это сделать. Мало ли, может ты гланды через жопу удалить пытаешься...

Отсутствие чётко сформулированного ТЗ - повод обозвать собеседника школотой. Так что ты сам провоцируешь нападки на тебя.

dhameoelin ★★★★★
()
Ответ на: комментарий от simbatron

Но то что есть на русском руководство iptables я и так знаю и читал (не особо помогло).

Так тут тебе надо читать policy routing howto, это отдельная от iptables система. Ну и принципы маршрутизации понять. Хороший шанс что-то выучить, на свежую голову после каникул самое то.

anonymous
()
Ответ на: комментарий от dhameoelin

Давайте попробую более подробно обьяснить.

В настоящее время ситуация такая: Есть компьютер, на нем виртуалбокс и одна виртуальная машина. В виртуальной машине один сетевой адаптер (тип сетевой мост), операционная система debian 7 В debian соответственно есть eth0 ctatic с ip адресом 192.168.1.101 В debian запускаю openvpn и так подключаюсь к vpn сетверу в США и соответственно получаю внешний IP сервера США - под этим IP меня видят сайты на которые я захожу. В debian запускаю 3proxy на ip 192.168.1.101 порт 10001 В windows на хозяйской машине в браузере делаю настройки проксисервера ip 192.168.1.101 порт 10001 и захожу на сайт 2ip.ru и вижу что интернет работает и ip сервера в США Это было все просто и все работает.

Теперь нужно в debian подключиться через openvpn еще к одному серверу (например в германии) поднять прокси ip 192.168.1.101 порт 10002 уже для этого подключения, в хозяйской машине на windows в другом браузере настроить прокси ip 192.168.1.101 порт 10002 зайти на сайт 2ip.ru и увидеть что интернет опять работает и ip сервера из германии. Таким образом чтоб одновременно можно было на хозяйской машине в разных браузерах в интернет ходить под разными IP Кроме того если удастся реализовать такую конструкцию расчитываю потом увеличивать таким же образом количество внешних IP

Я думаю что используя какие то настройки сети в debian (iptables, route ...) можно это реализовать вообще без 3proxy, но как зделать пока не знаю.

П.С. Я ни сколько не обижаюсь на нападки, даже заводит маленько), только про каникулы - это уж как то слишком толсто и затаскано, тем более попутно не давая ни какой полезной информации, примитивно), тролить нужно тонки и остроумно.

simbatron
() автор топика
Ответ на: комментарий от simbatron

Тебе выше уже посоветовали ознакомиться с маршрутизацией подробнее - тогда тебе можно будет не плодить прокси вообще, а трафик распределять маршрутами по IP назначения. Если же ты хочешь настолько странный вариант, что для тебя критичны имена сайтов/хостов - тогда всё распределение трафика можно сделать на уровне прокси. Но это будет действовать только на http(s). Предлагаю скомбинировать роутинг и проксирование (для отдельных сайтов).

Давай RTFM и уже конкретные вопросы задавай.

P.S.: и тем не менее, от упоминания каникул у тебя пригорело)

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Изучаю по маленьку все направления которые могли бы решить задачу. Мне на другом форуме предложили сделать так: Ну я не проверял, но примерно как то так. Второй прокси запускаем под пользователем proxy2 (создаем его сначала), чтобы был критерий для маркировки трафика.

Маркируем весь трафик этого пользователя единичкой

# iptables -A PREROUTING -t mangle -m owner --uid-owner=proxy2 -j MARK --set-mark 1

Создаем дополнительную таблицу маршрутизации для маркированного единичкой

# echo 201 proxy2.out >> /etc/iproute2/rt_tables # ip rule add fwmark 1 table proxy2.out # ip rule ls Создаем маршрут по умолчанию для маркированного трафика

# /sbin/ip route add default via <ваш второй ip> dev tun1-00 table proxy2.out Первый прокси не маркируется и он должен пойти по основному маршруту по умолчанию, проверьте что он один и нужный.

# route -n

Я изучаю, пробую такой способ, но как ты правильно заметил «лучше будет не плодить прокси вообще, а трафик распределять маршрутами по IP назначения» - и это изучаю в первую очередь, но как то трудно для понимания пока.

RTFM — четырёхбуквенный акроним. Read The Fucking Manual (рус. Читайте грёбаную инструкцию) — употребляемый в Интернете ответ на тривиальный вопрос. Не думаю что моя задача тривиальная. Акроним прикольный)) как нибудь тоже кого нибудь порадую)

simbatron
() автор топика
Ответ на: комментарий от simbatron

Read The Following Manual <man_name>

В оригинале как-то так было. И я тебе уже две темы обрисовал, про которые почитать желательно.

Да, объясни, почему ты так сложно всё делаешь? Прокси, маркировки...
Я бы всё сделал чисто на маршрутизации по соответствующим интерфейсам VPN. Типа: 

route add -net 1.1.1.0/24 dev tun0
route add -net 2.2.2.0/24 dev tun1
route add -host 3.3.3.3/32 dev tun2
Чем такой вариант не нравится-то, я не пойму?

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)
Ответ на: комментарий от simbatron

RTFM — четырёхбуквенный акроним. Read The Fucking Manual

Fucking - появилось гораздо позже, впрочем вам об этом уже написали.

Не думаю что моя задача тривиальная.

Тривиальная.

anc ★★★★★
()
Ответ на: комментарий от dhameoelin

Как это поможет решить задачу? В зависимости от порта с которого идет запрос направить трафик через нужный VPN? Вы не читали какую задачу я пытаюсь решить?

simbatron
() автор топика
Ответ на: комментарий от dhameoelin

Отписался от темы. Ибо надоело. ТСу - осилить man route. Остальным - збагойздвия.

Я пробую осилить, но это как бы не моя тема, сложно дается, не специалист я(( А что, специалиста мне найти тут не судьба?

simbatron
() автор топика
Ответ на: комментарий от simbatron

специалиста мне найти тут не судьба?

С этим - в раздел Job.

В зависимости от порта с которого идет запрос направить трафик через нужный VPN? Вы не читали какую задачу я пытаюсь решить?

Нет, в зависимости от того, к какому хосту ты хочешь обратиться - трафик отправляется через нужный VPN. Осиль сначала это. Потом проще будет в маркировку.

P.S.: теперь точно ушёл

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)
Ответ на: комментарий от dhameoelin

Нет, в зависимости от того, к какому хосту ты хочешь обратиться - трафик отправляется через нужный VPN. Осиль сначала это. Потом проще будет в маркировку.

Так а чего там осиливать то? В зависимости от хоста и так каждый сделать может без осиливаний. Только мне это не нужно, мне нужно в зависимости от порта.

Кроме того я думал что может силами iptables без прокси серверов удастся перенаправлять пакеты.

simbatron
() автор топика
Ответ на: комментарий от simbatron

силами iptables без прокси серверов удастся перенаправлять пакеты

На основании какого критерия разделять трафик?

ArcFi
()
Ответ на: комментарий от ArcFi

Думаю что можно по порту разделять --sport В разных браузерах прописан один ip и разные порты (10001, 10002, ...)

simbatron
() автор топика
Ответ на: комментарий от ArcFi

Сложновато. Сейчас пробую с использованием прокси и маркировкой пакетов по pid делать. Если не получится, буду копать в сторону network namespaces.

simbatron
() автор топика
Ответ на: комментарий от simbatron

Что то не получается.

делаю:

iptables -A OUTPUT -t mangle -m owner --uid-owner=1001 -j MARK --set-mark 1

ip rule add fwmark 1 table 201

/sbin/ip route add default via 10.6.0.142 dev tun0 table 201

iptables -A OUTPUT -t mangle -m owner --uid-owner=1002 -j MARK --set-mark 2

ip rule add fwmark 2 table 202

/sbin/ip route add default via 10.6.0.158 dev tun1 table 202

Интернет перестает работать.

tcpdump -i any -n -vvv '(tcp or udp) and (! port 22 and ! port 443 and ! port 50413 and ! port 137 and ! port 138)'

выдает что то такое:

22:44:40.717624 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48) 192.168.1.101.10001 > 192.168.1.21.50818: Flags [S.], cksum 0x83ed (incorrect -> 0xbbe2), seq 3709677915, ack 3372696901, win 14600, options [mss 1460,nop,nop,sackOK], length 0

22:44:40.717638 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48) 192.168.1.101.10001 > 192.168.1.21.50813: Flags [S.], cksum 0x83ed (incorrect -> 0xf056), seq 3119676783, ack 2228694045, win 14600, options [mss 1460,nop,nop,sackOK], length 0

22:44:41.517577 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48) 192.168.1.101.10001 > 192.168.1.21.50820: Flags [S.], cksum 0x83ed (incorrect -> 0xb489), seq 666647556, ack 2371826429, win 14600, options [mss 1460,nop,nop,sackOK], length 0

22:44:41.916718 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48) 192.168.1.101.10001 > 192.168.1.21.50821: Flags [S.], cksum 0x83ed (incorrect -> 0x0c61), seq 3272199845, ack 1385162757, win 14600, options [mss 1460,nop,nop,sackOK], length 0

^C

190 packets captured

190 packets received by filter

0 packets dropped by kernel

Если удалить маркировку пакетов, то интернет идет через один vpn

simbatron
() автор топика
Ответ на: комментарий от simbatron

1. т.к. о настройках вашего ovpn мы ничего не знаем и ip r s table all не видели, могу лишь предположить ошибка в адресах в команде ip route add default via
2. и что-то еще мне подсказывает вы nat тоже забыли
3. tcpdump у вас вообще про что-то другое там ip из сети 192.168 а не 10.6

anc ★★★★★
()
Ответ на: комментарий от anc

root@debian-101:~# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 10.6.0.158 128.0.0.0 UG 0 0 0 tun1

0.0.0.0 10.6.0.142 128.0.0.0 UG 0 0 0 tun0

0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

10.6.0.142 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

10.6.0.158 0.0.0.0 255.255.255.255 UH 0 0 0 tun1

104.245.37.228 192.168.1.1 255.255.255.255 UGH 0 0 0 eth0

128.0.0.0 10.6.0.158 128.0.0.0 UG 0 0 0 tun1

128.0.0.0 10.6.0.142 128.0.0.0 UG 0 0 0 tun0

167.114.129.116 192.168.1.1 255.255.255.255 UGH 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

root@debian-101:~# ip r s table all

default via 10.6.0.142 dev tun0 table 201

default via 10.6.0.158 dev tun1 table 202

0.0.0.0/1 via 10.6.0.158 dev tun1

0.0.0.0/1 via 10.6.0.142 dev tun0

default via 192.168.1.1 dev eth0

10.6.0.142 dev tun0 proto kernel scope link src 10.6.0.141

10.6.0.158 dev tun1 proto kernel scope link src 10.6.0.157

104.245.37.228 via 192.168.1.1 dev eth0

128.0.0.0/1 via 10.6.0.158 dev tun1

128.0.0.0/1 via 10.6.0.142 dev tun0

167.114.129.116 via 192.168.1.1 dev eth0

192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.101

local 10.6.0.141 dev tun0 table local proto kernel scope host src 10.6.0.141

local 10.6.0.157 dev tun1 table local proto kernel scope host src 10.6.0.157

broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1

local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1

local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1

broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1

broadcast 192.168.1.0 dev eth0 table local proto kernel scope link src 192.168.1.101

local 192.168.1.101 dev eth0 table local proto kernel scope host src 192.168.1.101

broadcast 192.168.1.255 dev eth0 table local proto kernel scope link src 192.168.1.101

fe80::/64 dev eth0 proto kernel metric 256

default via fe80::1 dev eth0 proto kernel metric 1024 expires 124sec hoplimit 64

unreachable default dev lo table unspec proto kernel metric 4294967295 error -101

local ::1 via :: dev lo table local proto none metric 0

local fe80::a00:27ff:fe6f:3e16 via :: dev lo table local proto none metric 0

ff00::/8 dev eth0 table local metric 256

unreachable default dev lo table unspec proto kernel metric 4294967295 error -101

root@debian-101:~# cat /proc/sys/net/ipv4/ip_forward

1

192.168.1.21 - это компьютер на котором открыт браузер, в котором настроено на использование прокси 192.168.1.101:10001, а 192.168.1.101 - это тот самый сервер debian который я пытаюсь настроить.

simbatron
() автор топика
Ответ на: комментарий от anc

Вот кусок:

11:02:42.508631 IP (tos 0x0, ttl 64, id 2661, offset 0, flags [DF], proto TCP (6), length 155) 192.168.1.101.45956 > 167.114.129.116.443: Flags [P.], cksum 0xf3bb (correct), seq 4721:4824, ack 852, win 25424, options [nop,nop,TS val 1267441 ecr 25285629], length 103

11:02:42.666252 IP (tos 0x0, ttl 53, id 22282, offset 0, flags [DF], proto TCP (6), length 52) 167.114.129.116.443 > 192.168.1.101.45956: Flags [.], cksum 0x581d (correct), seq 852, ack 4824, win 330, options [nop,nop,TS val 25285691 ecr 1267441], length 0

11:02:43.636512 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.101.10001 > 192.168.1.21.54521: Flags [S.], cksum 0x83f1 (incorrect -> 0x83b3), seq 3647823149, ack 2979744316, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0

11:02:43.637308 IP (tos 0x0, ttl 64, id 2662, offset 0, flags [DF], proto TCP (6), length 155) 192.168.1.101.45956 > 167.114.129.116.443: Flags [P.], cksum 0x0bcf (correct), seq 4824:4927, ack 852, win 25424, options [nop,nop,TS val 1267723 ecr 25285691], length 103

11:02:43.794318 IP (tos 0x0, ttl 53, id 22283, offset 0, flags [DF], proto TCP (6), length 52) 167.114.129.116.443 > 192.168.1.101.45956: Flags [.], cksum 0x5582 (correct), seq 852, ack 4927, win 330, options [nop,nop,TS val 25285973 ecr 1267723], length 0

11:02:43.835271 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.101.10001 > 192.168.1.21.54522: Flags [S.], cksum 0x83f1 (incorrect -> 0xb0c2), seq 4257553154, ack 3702722535, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0

11:02:43.835902 IP (tos 0x0, ttl 64, id 2663, offset 0, flags [DF], proto TCP (6), length 155) 192.168.1.101.45956 > 167.114.129.116.443: Flags [P.], cksum 0x50c3 (correct), seq 4927:5030, ack 852, win 25424, options [nop,nop,TS val 1267773 ecr 25285973], length 103

11:02:43.993048 IP (tos 0x0, ttl 53, id 22284, offset 0, flags [DF], proto TCP (6), length 52) 167.114.129.116.443 > 192.168.1.101.45956: Flags [.], cksum 0x54b7 (correct), seq 852, ack 5030, win 330, options [nop,nop,TS val 25286023 ecr 1267773], length 0

11:02:44.132747 IP (tos 0x0, ttl 53, id 22285, offset 0, flags [DF], proto TCP (6), length 123) 167.114.129.116.443 > 192.168.1.101.45956: Flags [P.], cksum 0x989e (correct), seq 852:923, ack 5030, win 330, options [nop,nop,TS val 25286058 ecr 1267773], length 71

11:02:44.171269 IP (tos 0x0, ttl 64, id 2664, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.101.45956 > 167.114.129.116.443: Flags [.], cksum 0xeb1a (incorrect -> 0xf1f2), seq 5030, ack 923, win 25424, options [nop,nop,TS val 1267857 ecr 25286058], length 0

11:02:44.884463 IP (tos 0x0, ttl 51, id 43533, offset 0, flags [DF], proto TCP (6), length 123) 104.245.37.228.992 > 192.168.1.101.45525: Flags [P.], cksum 0x783f (correct), seq 923:994, ack 853, win 260, options [nop,nop,TS val 1073514787 ecr 1267283], length 71

11:02:44.885208 IP (tos 0x0, ttl 64, id 55224, offset 0, flags [DF], proto TCP (6), length 123) 192.168.1.101.45525 > 104.245.37.228.992: Flags [P.], cksum 0x023c (correct), seq 853:924, ack 994, win 15688, options [nop,nop,TS val 1268035 ecr 1073514787], length 71

11:02:45.065685 IP (tos 0x0, ttl 51, id 43534, offset 0, flags [DF], proto TCP (6), length 52) 104.245.37.228.992 > 192.168.1.101.45525: Flags [.], cksum 0xd72d (correct), seq 994, ack 924, win 260, options [nop,nop,TS val 1073514832 ecr 1268035], length 0

11:02:45.263352 IP (tos 0x0, ttl 128, id 23181, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.21.54521 > 192.168.1.101.10001: Flags , cksum 0xd363 (correct), seq 2979744315, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

11:02:45.263408 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.101.10001 > 192.168.1.21.54521: Flags [S.], cksum 0x83f1 (incorrect -> 0x83b3), seq 3647823149, ack 2979744316, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0

11:02:45.264174 IP (tos 0x0, ttl 64, id 2665, offset 0, flags [DF], proto TCP (6), length 155) 192.168.1.101.45956 > 167.114.129.116.443: Flags [P.], cksum 0xa6f4 (correct), seq 5030:5133, ack 923, win 25424, options [nop,nop,TS val 1268130 ecr 25286058], length 103

11:02:45.421263 IP (tos 0x0, ttl 53, id 22286, offset 0, flags [DF], proto TCP (6), length 52) 167.114.129.116.443 > 192.168.1.101.45956: Flags [.], cksum 0x513f (correct), seq 923, ack 5133, win 330, options [nop,nop,TS val 25286380 ecr 1268130], length 0

11:02:45.513723 IP (tos 0x0, ttl 128, id 23266, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.21.54522 > 192.168.1.101.10001: Flags , cksum 0xe29f (correct), seq 3702722534, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

11:02:45.513782 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.101.10001 > 192.168.1.21.54522: Flags [S.], cksum 0x83f1 (incorrect -> 0xb0c2), seq 4257553154, ack 3702722535, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0

11:02:45.514503 IP (tos 0x0, ttl 64, id 2666, offset 0, flags [DF], proto TCP (6), length 155) 192.168.1.101.45956 > 167.114.129.116.443: Flags [P.], cksum 0x04c3 (correct), seq 5133:5236, ack 923, win 25424, options [nop,nop,TS val 1268192 ecr 25286380], length 103

11:02:45.671949 IP (tos 0x0, ttl 53, id 22287, offset 0, flags [DF], proto TCP (6), length 52) 167.114.129.116.443 > 192.168.1.101.45956: Flags [.], cksum 0x505b (correct), seq 923, ack 5236, win 330, options [nop,nop,TS val 25286443 ecr 1268192], length 0

^C

229 packets captured

234 packets received by filter

0 packets dropped by kernel

simbatron
() автор топика
Ответ на: комментарий от anc

1. Давайте исключим 167.114.129.116 из tcpdump 

tcpdump -i any -n -vvv '(tcp or udp) and (! host 167.114.129.116 and ! port 22 and ! port 50413 and ! port 137 and ! port 138)'

2. Кусок (tcpdump) для сравнения когда mark есть, и второй кусок когда нет.

ниже

3. Используйте плиз [code ] из www.linux.org.ru/help/lorcode.md

прошу прощения, не знал.

simbatron
() автор топика
Ответ на: комментарий от anc 
14:58:14.615327 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.101.10001 > 192.168.1.21.52828: Flags [S.], cksum 0x83f1 (incorrect -> 0x85b2), seq 292432682, ack 1326295915, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0
14:58:14.616133 IP (tos 0x0, ttl 64, id 3750, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0xee39 (correct), seq 1545:1648, ack 1229, win 32044, options [nop,nop,TS val 247681 ecr 4064722328], length 103
14:58:14.718239 IP (tos 0x0, ttl 50, id 41788, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x37d2 (correct), seq 1229, ack 1648, win 553, options [nop,nop,TS val 4064722526 ecr 247681], length 0
14:58:14.739012 IP (tos 0x0, ttl 55, id 4641, offset 0, flags [DF], proto TCP (6), length 123)
    109.123.101.192.443 > 192.168.1.101.37881: Flags [P.], cksum 0x802d (correct), seq 71:142, ack 72, win 260, options [nop,nop,TS val 3291996690 ecr 246960], length 71
14:58:14.739683 IP (tos 0x0, ttl 64, id 26685, offset 0, flags [DF], proto TCP (6), length 123)
    192.168.1.101.37881 > 109.123.101.192.443: Flags [P.], cksum 0x834f (correct), seq 72:143, ack 142, win 26472, options [nop,nop,TS val 247712 ecr 3291996690], length 71
14:58:14.814407 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.101.10001 > 192.168.1.21.52829: Flags [S.], cksum 0x83f1 (incorrect -> 0x70cd), seq 694293510, ack 1000329965, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0
14:58:14.815013 IP (tos 0x0, ttl 64, id 3751, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0xe802 (correct), seq 1648:1751, ack 1229, win 32044, options [nop,nop,TS val 247731 ecr 4064722526], length 103
14:58:14.829769 IP (tos 0x0, ttl 55, id 4642, offset 0, flags [DF], proto TCP (6), length 52)
    109.123.101.192.443 > 192.168.1.101.37881: Flags [.], cksum 0xed2b (correct), seq 142, ack 143, win 260, options [nop,nop,TS val 3291996713 ecr 247712], length 0
14:58:14.917510 IP (tos 0x0, ttl 50, id 41789, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x3707 (correct), seq 1229, ack 1751, win 553, options [nop,nop,TS val 4064722576 ecr 247731], length 0
14:58:15.067993 IP (tos 0x0, ttl 50, id 41790, offset 0, flags [DF], proto TCP (6), length 123)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [P.], cksum 0x72d8 (correct), seq 1229:1300, ack 1751, win 553, options [nop,nop,TS val 4064722614 ecr 247731], length 71
14:58:15.068057 IP (tos 0x0, ttl 64, id 3752, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [.], cksum 0xdb54 (incorrect -> 0xbb57), seq 1751, ack 1300, win 32044, options [nop,nop,TS val 247794 ecr 4064722614], length 0
14:58:15.615415 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
    192.168.1.101.10001 > 192.168.1.21.52817: Flags [S.], cksum 0x83ed (incorrect -> 0xd5f6), seq 1498855764, ack 348574577, win 14600, options [mss 1460,nop,nop,sackOK], length 0
14:58:15.616071 IP (tos 0x0, ttl 64, id 3753, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0x774b (correct), seq 1751:1854, ack 1300, win 32044, options [nop,nop,TS val 247931 ecr 4064722614], length 103
14:58:15.717876 IP (tos 0x0, ttl 50, id 41791, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x34c9 (correct), seq 1300, ack 1854, win 553, options [nop,nop,TS val 4064722776 ecr 247931], length 0
14:58:15.814401 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
    192.168.1.101.10001 > 192.168.1.21.52821: Flags [S.], cksum 0x83ed (incorrect -> 0x0188), seq 2255326577, ack 374777112, win 14600, options [mss 1460,nop,nop,sackOK], length 0
14:58:15.814445 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
    192.168.1.101.10001 > 192.168.1.21.52816: Flags [S.], cksum 0x83ed (incorrect -> 0xc28e), seq 1622401889, ack 1644128311, win 14600, options [mss 1460,nop,nop,sackOK], length 0
14:58:15.815112 IP (tos 0x0, ttl 64, id 3754, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0x9437 (correct), seq 1854:1957, ack 1300, win 32044, options [nop,nop,TS val 247981 ecr 4064722776], length 103
14:58:15.917074 IP (tos 0x0, ttl 50, id 41792, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x33fe (correct), seq 1300, ack 1957, win 553, options [nop,nop,TS val 4064722826 ecr 247981], length 0
14:58:15.917152 IP (tos 0x0, ttl 64, id 3755, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0xab28 (correct), seq 1957:2060, ack 1300, win 32044, options [nop,nop,TS val 248006 ecr 4064722826], length 103
14:58:16.019732 IP (tos 0x0, ttl 50, id 41793, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x3364 (correct), seq 1300, ack 2060, win 553, options [nop,nop,TS val 4064722852 ecr 248006], length 0
simbatron
() автор топика
Ответ на: комментарий от anc

очистил iptables 

14:58:14.739012 IP (tos 0x0, ttl 55, id 4641, offset 0, flags [DF], proto TCP (6), length 123)
    109.123.101.192.443 > 192.168.1.101.37881: Flags [P.], cksum 0x802d (correct), seq 71:142, ack 72, win 260, options [nop,nop,TS val 3291996690 ecr 246960], length 71
14:58:14.739683 IP (tos 0x0, ttl 64, id 26685, offset 0, flags [DF], proto TCP (6), length 123)
    192.168.1.101.37881 > 109.123.101.192.443: Flags [P.], cksum 0x834f (correct), seq 72:143, ack 142, win 26472, options [nop,nop,TS val 247712 ecr 3291996690], length 71
14:58:14.814407 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.101.10001 > 192.168.1.21.52829: Flags [S.], cksum 0x83f1 (incorrect -> 0x70cd), seq 694293510, ack 1000329965, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0
14:58:14.815013 IP (tos 0x0, ttl 64, id 3751, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0xe802 (correct), seq 1648:1751, ack 1229, win 32044, options [nop,nop,TS val 247731 ecr 4064722526], length 103
14:58:14.829769 IP (tos 0x0, ttl 55, id 4642, offset 0, flags [DF], proto TCP (6), length 52)
    109.123.101.192.443 > 192.168.1.101.37881: Flags [.], cksum 0xed2b (correct), seq 142, ack 143, win 260, options [nop,nop,TS val 3291996713 ecr 247712], length 0
14:58:14.917510 IP (tos 0x0, ttl 50, id 41789, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x3707 (correct), seq 1229, ack 1751, win 553, options [nop,nop,TS val 4064722576 ecr 247731], length 0
14:58:15.067993 IP (tos 0x0, ttl 50, id 41790, offset 0, flags [DF], proto TCP (6), length 123)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [P.], cksum 0x72d8 (correct), seq 1229:1300, ack 1751, win 553, options [nop,nop,TS val 4064722614 ecr 247731], length 71
14:58:15.068057 IP (tos 0x0, ttl 64, id 3752, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [.], cksum 0xdb54 (incorrect -> 0xbb57), seq 1751, ack 1300, win 32044, options [nop,nop,TS val 247794 ecr 4064722614], length 0
14:58:15.615415 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
    192.168.1.101.10001 > 192.168.1.21.52817: Flags [S.], cksum 0x83ed (incorrect -> 0xd5f6), seq 1498855764, ack 348574577, win 14600, options [mss 1460,nop,nop,sackOK], length 0
14:58:15.616071 IP (tos 0x0, ttl 64, id 3753, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0x774b (correct), seq 1751:1854, ack 1300, win 32044, options [nop,nop,TS val 247931 ecr 4064722614], length 103
14:58:15.717876 IP (tos 0x0, ttl 50, id 41791, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x34c9 (correct), seq 1300, ack 1854, win 553, options [nop,nop,TS val 4064722776 ecr 247931], length 0
14:58:15.814401 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
    192.168.1.101.10001 > 192.168.1.21.52821: Flags [S.], cksum 0x83ed (incorrect -> 0x0188), seq 2255326577, ack 374777112, win 14600, options [mss 1460,nop,nop,sackOK], length 0
14:58:15.814445 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
    192.168.1.101.10001 > 192.168.1.21.52816: Flags [S.], cksum 0x83ed (incorrect -> 0xc28e), seq 1622401889, ack 1644128311, win 14600, options [mss 1460,nop,nop,sackOK], length 0
14:58:15.815112 IP (tos 0x0, ttl 64, id 3754, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0x9437 (correct), seq 1854:1957, ack 1300, win 32044, options [nop,nop,TS val 247981 ecr 4064722776], length 103
14:58:15.917074 IP (tos 0x0, ttl 50, id 41792, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x33fe (correct), seq 1300, ack 1957, win 553, options [nop,nop,TS val 4064722826 ecr 247981], length 0
14:58:15.917152 IP (tos 0x0, ttl 64, id 3755, offset 0, flags [DF], proto TCP (6), length 155)
    192.168.1.101.47797 > 88.150.192.138.443: Flags [P.], cksum 0xab28 (correct), seq 1957:2060, ack 1300, win 32044, options [nop,nop,TS val 248006 ecr 4064722826], length 103
14:58:16.019732 IP (tos 0x0, ttl 50, id 41793, offset 0, flags [DF], proto TCP (6), length 52)
    88.150.192.138.443 > 192.168.1.101.47797: Flags [.], cksum 0x3364 (correct), seq 1300, ack 2060, win 553, options [nop,nop,TS val 4064722852 ecr 248006], length 0

simbatron
() автор топика
Ответ на: комментарий от simbatron

А впн сервера ваши? Т.е. вы их настраивали? Если да то можно конфиг хотя бы от первого (через который работает как вы пишите) плюс файлик из ccd для этого клиента.

anc ★★★★★
()
Ответ на: комментарий от anc

Поясню мои сомнения у вас пакеты улетают с адреса 192.168.1.101, маскарада я не увидел, т.е. как минимум сервер ovpn должен знать куда слать ответ для 192.168.1.101.

anc ★★★★★
()
Ответ на: комментарий от simbatron

Чую чего-то тут не так... Ну хорошо, давайте посмотрим tcpdump без условий (tcpdump -i tunN -n -vvv) на tun в условиях когда через него работает.

anc ★★★★★
()
Ответ на: комментарий от anc

В данный момент конфигурация сервера выглядит так:

nohup openvpn /etc/openvpn/RO-Bucharest-CactusVPN-TCP.ovpn >/dev/null & 
nohup openvpn /etc/openvpn/UK-London2-CactusVPN-TCP.ovpn >/dev/null & 

eth0 Link encap:Ethernet HWaddr 08:00:27:6f:3e:16 inet addr:192.168.1.101 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fe6f:3e16/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:228 errors:1 dropped:0 overruns:0 frame:0 TX packets:117 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:31865 (31.1 KiB) TX bytes:14148 (13.8 KiB) Interrupt:10 Base address:0xd020 
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.6.0.113 P-t-P:10.6.0.114 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.6.0.217 P-t-P:10.6.0.218 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

sudo -u user1 /usr/local/3proxy/3proxy /usr/local/3proxy/10001_3proxy.cfg
iptables -A OUTPUT -t mangle -m owner --uid-owner=1001 -j MARK --set-mark 1
ip rule add fwmark 1 table 201
/sbin/ip route add default via 10.6.0.114 dev tun0 table 201
ip route add 192.168.1.0/24 dev eth0 src 192.168.1.101 table 201

sudo -u user2 /usr/local/3proxy/3proxy /usr/local/3proxy/10002_3proxy.cfg
iptables -A OUTPUT -t mangle -m owner --uid-owner=1002 -j MARK --set-mark 2
ip rule add fwmark 2 table 202
/sbin/ip route add default via 10.6.0.218 dev tun1 table 202
ip route add 192.168.1.0/24 dev eth0 src 192.168.1.101 table 202

simbatron
() автор топика
Ответ на: комментарий от anc

Трафик идет по tun1:

root@debian-101:~# tcpdump -i tun1 -n -vvv
tcpdump: listening on tun1, link-type RAW (Raw IP), capture size 65535 bytes
12:20:46.704123 IP (tos 0x0, ttl 51, id 39115, offset 0, flags [DF], proto TCP (6), length 105)
    178.63.151.224.443 > 10.6.0.217.60971: Flags [P.], cksum 0x3e6c (correct), seq 3405370790:3405370843, ack 2099505192, win 998, options [nop,nop,TS val 1871220810 ecr 21175], length 53
12:20:46.704184 IP (tos 0x0, ttl 64, id 10170, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.60971 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0x8f6c), seq 1, ack 53, win 2641, options [nop,nop,TS val 37413 ecr 1871220810], length 0
12:20:46.706384 IP (tos 0x0, ttl 51, id 39116, offset 0, flags [DF], proto TCP (6), length 52)
    178.63.151.224.443 > 10.6.0.217.60971: Flags [F.], cksum 0xd544 (correct), seq 53, ack 1, win 998, options [nop,nop,TS val 1871220810 ecr 21175], length 0
12:20:46.709059 IP (tos 0x0, ttl 64, id 10171, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.60971 > 178.63.151.224.443: Flags [F.], cksum 0x5525 (incorrect -> 0x8f69), seq 1, ack 54, win 2641, options [nop,nop,TS val 37414 ecr 1871220810], length 0
12:20:46.788600 IP (tos 0x0, ttl 51, id 20217, offset 0, flags [DF], proto TCP (6), length 105)
    178.63.151.224.443 > 10.6.0.217.51453: Flags [P.], cksum 0xfaa2 (correct), seq 709853115:709853168, ack 1379311020, win 1018, options [nop,nop,TS val 1871220831 ecr 21193], length 53
12:20:46.788662 IP (tos 0x0, ttl 64, id 59826, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.51453 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0x2070), seq 1, ack 53, win 2641, options [nop,nop,TS val 37434 ecr 1871220831], length 0
12:20:46.788994 IP (tos 0x0, ttl 51, id 20218, offset 0, flags [DF], proto TCP (6), length 52)
    178.63.151.224.443 > 10.6.0.217.51453: Flags [F.], cksum 0x6637 (correct), seq 53, ack 1, win 1018, options [nop,nop,TS val 1871220831 ecr 21193], length 0
12:20:46.789726 IP (tos 0x0, ttl 64, id 59827, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.51453 > 178.63.151.224.443: Flags [F.], cksum 0x5525 (incorrect -> 0x206e), seq 1, ack 54, win 2641, options [nop,nop,TS val 37434 ecr 1871220831], length 0
12:20:46.825643 IP (tos 0x0, ttl 51, id 54961, offset 0, flags [DF], proto TCP (6), length 105)
    178.63.151.224.443 > 10.6.0.217.60026: Flags [P.], cksum 0x8742 (correct), seq 4218006569:4218006622, ack 627030725, win 1186, options [nop,nop,TS val 1871220840 ecr 21211], length 53
12:20:46.825737 IP (tos 0x0, ttl 64, id 57100, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.60026 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0x1116), seq 1, ack 53, win 2641, options [nop,nop,TS val 37443 ecr 1871220840], length 0
12:20:46.828069 IP (tos 0x0, ttl 51, id 54962, offset 0, flags [DF], proto TCP (6), length 52)
    178.63.151.224.443 > 10.6.0.217.60026: Flags [F.], cksum 0x562c (correct), seq 53, ack 1, win 1186, options [nop,nop,TS val 1871220840 ecr 21211], length 0
12:20:46.829738 IP (tos 0x0, ttl 51, id 16484, offset 0, flags [DF], proto TCP (6), length 105)
    178.63.151.224.443 > 10.6.0.217.52526: Flags [P.], cksum 0xd3fc (correct), seq 4185424265:4185424318, ack 1404174042, win 1049, options [nop,nop,TS val 1871220841 ecr 21211], length 53
12:20:46.829785 IP (tos 0x0, ttl 64, id 12460, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.52526 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0xe889), seq 1, ack 53, win 2641, options [nop,nop,TS val 37444 ecr 1871220841], length 0
12:20:46.832577 IP (tos 0x0, ttl 64, id 12461, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.52526 > 178.63.151.224.443: Flags [F.], cksum 0x5525 (incorrect -> 0xe887), seq 1, ack 53, win 2641, options [nop,nop,TS val 37445 ecr 1871220841], length 0
12:20:46.833882 IP (tos 0x0, ttl 51, id 16485, offset 0, flags [DF], proto TCP (6), length 52)
    178.63.151.224.443 > 10.6.0.217.52526: Flags [F.], cksum 0x2e2a (correct), seq 53, ack 1, win 1049, options [nop,nop,TS val 1871220841 ecr 21211], length 0
12:20:46.833914 IP (tos 0x0, ttl 64, id 12462, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.52526 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0xe886), seq 2, ack 54, win 2641, options [nop,nop,TS val 37445 ecr 1871220841], length 0
12:20:46.834460 IP (tos 0x0, ttl 64, id 57101, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.60026 > 178.63.151.224.443: Flags [F.], cksum 0x5525 (incorrect -> 0x1112), seq 1, ack 54, win 2641, options [nop,nop,TS val 37445 ecr 1871220840], length 0
12:20:46.836953 IP (tos 0x0, ttl 51, id 3816, offset 0, flags [DF], proto TCP (6), length 105)
    178.63.151.224.443 > 10.6.0.217.36785: Flags [P.], cksum 0x0708 (correct), seq 4285350049:4285350102, ack 892325395, win 991, options [nop,nop,TS val 1871220841 ecr 21212], length 53
12:20:46.837004 IP (tos 0x0, ttl 64, id 4530, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.36785 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0xb041), seq 1, ack 53, win 2641, options [nop,nop,TS val 37446 ecr 1871220841], length 0
12:20:46.841158 IP (tos 0x0, ttl 64, id 4531, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.36785 > 178.63.151.224.443: Flags [F.], cksum 0x5525 (incorrect -> 0xb03f), seq 1, ack 53, win 2641, options [nop,nop,TS val 37447 ecr 1871220841], length 0
12:20:46.843912 IP (tos 0x0, ttl 51, id 3817, offset 0, flags [DF], proto TCP (6), length 52)
    178.63.151.224.443 > 10.6.0.217.36785: Flags [F.], cksum 0xf61c (correct), seq 53, ack 1, win 991, options [nop,nop,TS val 1871220841 ecr 21212], length 0
12:20:46.844072 IP (tos 0x0, ttl 64, id 4532, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.36785 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0xb03e), seq 2, ack 54, win 2641, options [nop,nop,TS val 37447 ecr 1871220841], length 0
12:20:46.895617 IP (tos 0x0, ttl 51, id 55217, offset 0, flags [DF], proto TCP (6), length 105)
    178.63.151.224.443 > 10.6.0.217.53806: Flags [P.], cksum 0x2213 (correct), seq 2025259126:2025259179, ack 402398397, win 1032, options [nop,nop,TS val 1871220858 ecr 21220], length 53
12:20:46.895668 IP (tos 0x0, ttl 64, id 21970, offset 0, flags [DF], proto TCP (6), length 52)
    10.6.0.217.53806 > 178.63.151.224.443: Flags [.], cksum 0x5525 (incorrect -> 0x0311), seq 1, ack 53, win 2641, options [nop,nop,TS val 37460 ecr 1871220858], length 0

simbatron
() автор топика
Ответ на: комментарий от simbatron

добавил команды: 

sysctl -w net.ipv4.conf.tun0.rp_filter=0
sysctl -w net.ipv4.conf.tun1.rp_filter=0
на порту 10002 интернет появился, маркировка работает, на порту 10001 нет.

поднял три vpn со всеми настройками и пользователями и таблицами, на порту 10003 интернет есть на других портах нет.

root@debian-101:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.6.0.118      128.0.0.0       UG    0      0        0 tun2
0.0.0.0         10.6.0.162      128.0.0.0       UG    0      0        0 tun1
0.0.0.0         10.6.0.94       128.0.0.0       UG    0      0        0 tun0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
10.6.0.94       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.6.0.118      0.0.0.0         255.255.255.255 UH    0      0        0 tun2
10.6.0.162      0.0.0.0         255.255.255.255 UH    0      0        0 tun1
88.150.154.46   192.168.1.1     255.255.255.255 UGH   0      0        0 eth0
93.115.92.240   192.168.1.1     255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.6.0.118      128.0.0.0       UG    0      0        0 tun2
128.0.0.0       10.6.0.162      128.0.0.0       UG    0      0        0 tun1
128.0.0.0       10.6.0.94       128.0.0.0       UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
212.48.93.19    192.168.1.1     255.255.255.255 UGH   0      0        0 eth0

А вот эти ip 88.150.154.46, 93.115.92.240, 212.48.93.19 - это ведь сервера какие то, может их тоже как то в таблицы 201, 202, 203 нужно прописать?

simbatron
() автор топика
Ответ на: комментарий от simbatron

Нет! Все правильно это сервера ovpn.

anc ★★★★★
()
Ответ на: комментарий от simbatron

на порту 10002 интернет появился, маркировка работает, на порту 10001 нет.

Вот отлично! Т.е. я правильно понял, маркировка пакетов стоит, но работает только тот который работает и без нее? Тогда это то о чем я писал в самом начале, не хватает nat

anc ★★★★★
()
Ответ на: комментарий от anc

Маркировка стоит на всех, работает тот tun который был подключен последним, на нем тоже маркировка работает. Как сделать nat?

simbatron
() автор топика
Ответ на: комментарий от simbatron

Видимо пакеты обратно в прокси не попадали.

Они уходили с адреса (последнего тунеля) но через интерфейс предыдущего, который о нем ничего не знает. Если бы сразу послушались и привели правильную инфу, заработало бы гораздо раньше :)

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin