OenVPN, раздача платного vpn клиентам.

0

1

Я в этой теме новенький =)
В общем купил себе подписку nordVPN почитал инструкцию, все предельно ясно. Подключил все работает. Но у меня сервер раздает инет еще многим девайсам, и на них интернет вообще пропал (сеть продолжает работать). Дистр opensuse 42.2, настроено все через wicked, Network manager не предлагать. У меня на сервере еще дофига всего, и NM не подходит.
Я так понимаю что надо где-то в брендмауре ковыряться, но я даже не знаю за что браться, а мануалы все про настройку собственного VPN и прочее.

Ссылка

←	на 7 часов был выключен сетевой интерфейс - где искать причину?

Удаление файлов созданных в предыдущем слое Docker.

→

здравствуйте. Я наркоман и написал тут какой-то поток сознания после очередной дозы. Не могли бы вы мне помочь.

~~zgen~~ ★★★★★
(25.05.17 11:19:21 MSK)
Последнее исправление: zgen 25.05.17 11:19:29 MSK (всего исправлений: 1)

Ответ на: комментарий от zgen 25.05.17 11:19:21 MSK

Привет наркоман.
Что тебе не ясно?
Купил подписку NordVPN --> настроил openVPN как клиент --> работает на сервере --> надо чтоб раздавалось всем в моей сети. Куда уж понятнее? Или прими еще ментатов что ли.

teisatsu
(25.05.17 11:39:35 MSK) автор топика

Ответ на: комментарий от teisatsu 25.05.17 11:39:35 MSK

Сделай NAT. https://www.howtoforge.com/nat_iptables

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

anonymous00 ★★
(25.05.17 11:47:41 MSK)
Последнее исправление: anonymous00 25.05.17 11:49:13 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous00 25.05.17 11:47:41 MSK

«Маскарад» настроен, у меня так и раздается интернет. Я вот и не понимаю почему впн не «раздается». Я склоняюсь к ДНС, но со стороны клиента при включениии впн на сервере не пингуется даже 8.8.8.8. На сервере же повторюсь работает всё.

teisatsu
(25.05.17 12:24:04 MSK) автор топика

Ответ на: комментарий от teisatsu 25.05.17 12:24:04 MSK

так покажи нам вывод iptables-save, а то телепаты в отпуске

JB ★★★★★
(25.05.17 12:30:49 MSK)

Ответ на: комментарий от JB 25.05.17 12:30:49 MSK

# Generated by iptables-save v1.4.21 on Thu May 25 14:34:48 2017
*nat
:PREROUTING ACCEPT [187899:10206329]
:INPUT ACCEPT [688:46965]
:OUTPUT ACCEPT [98913:9787060]
:POSTROUTING ACCEPT [11675:1147329]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu May 25 14:34:48 2017
# Generated by iptables-save v1.4.21 on Thu May 25 14:34:48 2017
*raw
:PREROUTING ACCEPT [1492220:315128209]
:OUTPUT ACCEPT [1869723:2366253516]
-A PREROUTING -i lo -j CT --notrack
-A OUTPUT -o lo -j CT --notrack
COMMIT
# Completed on Thu May 25 14:34:48 2017
# Generated by iptables-save v1.4.21 on Thu May 25 14:34:48 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1865670:2365588247]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
-A INPUT -i eth0 -j input_int
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -j forward_int
-A FORWARD -i eth1 -j forward_ext
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_ext -i eth1 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -m pkttype ! --pkt-type unicast -j DROP
-A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_int -i eth0 -o eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -m pkttype ! --pkt-type unicast -j DROP
-A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -j reject_func
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -m pkttype ! --pkt-type unicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Thu May 25 14:34:48 2017

teisatsu
(25.05.17 12:41:12 MSK) автор топика

Ответ на: комментарий от anonymous00 25.05.17 11:47:41 MSK

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

Только вместо eth0 поставить pppX от openvpn.

anonymous
(25.05.17 12:55:17 MSK)

Ответ на: комментарий от teisatsu 25.05.17 12:41:12 MSK

...
-A forward_ext -i eth1 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
...
-A forward_int -i eth0 -o eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

И тут добавить аналогичные правила для pppX от openvpn

anonymous
(25.05.17 12:56:39 MSK)

Ответ на: комментарий от anonymous 25.05.17 12:56:39 MSK

Спасибо, в общем примерно ясно куда копать теперь. Но у меня еще и DHCP, DNS настроены там тоже надо все менять, как я понял.
И мне немного не ясно как оно будет понимать тогда что надо раздавать в eth0 весь этот бардак. Может лучше создать мост pppX и eth0 и на него настраивать все? Говорю же я знания у меня поверхностные, сейчас в процессе изучения считай.

teisatsu
(25.05.17 13:07:05 MSK) автор топика