LINUX.ORG.RU
ФорумAdmin

Не работает OpenVPN c " push «redirect-gateway def1»"

 , ,


0

1

Комрады, помощи прошу по настройки данного чуда. Сервер развёрнут у меня на Hyper-V дома,ОС Centos 7. Подключаюсь с Windows 7.

Конфиг сервера:
cd /etc/openvpn
mode server
tls-server
port 1194
proto udp
dev tun
log /var/log/openvpn.log
status /var/log/openvpn-status.log
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
ifconfig-pool-persist ipp.txt


server 10.8.0.0 255.255.255.0
client-to-client


#push «redirect-gateway def1 bypass-dhcp»
push «route 10.8.0.1 255.255.255.255»
push «route 10.8.0.0 255.255.255.0»
push «redirect-gateway»


push «dhcp-option DNS 77.88.8.8»
push «dhcp-option DNS 77.88.8.1»


user nobody
group nobody
keepalive 10 120
comp-lzo
persist-key
persist-tun
cipher AES-256-CBC
verb 3

При закомментированном значении push «redirect-gateway def1» в интернет ходит.


iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE - выполнял.

[root@server ~]# cat /etc/sysctl.conf net.ipv4.ip_forward = 1

Просьба не кидать тапками и подсказать где накосячил.

Ответ на: комментарий от Pinkbyte

Трассировка до ya.ru


C:\Users\user>tracert ya.ru


Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:


1 2 ms 2 ms 2 ms 10.8.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.

Gideon ()
Ответ на: Трассировка до ya.ru от Gideon

Результат tcdump

Выложить не получится так как openvpn был сконфигурирован с помощью PXE и в данный момент репозитории не доступны

Gideon ()

Таблицы роутинга с клиента и сервера покажите. С клиента до и после подключения.

anc ★★★★★ ()

Ванную что овпн удаляет def gw провайдера, но не устанавливает def gw VPN. Если за комментировать строку то ходит мимо VPN. Смотри логи, выкладывай таблицы маршрутизации до и после подключения. К интернету подключаешься через PPP?

lucky_guy ★★★ ()
Ответ на: комментарий от lucky_guy

Верно

Если закомментировать строку, ходит мимо VPN.

Gideon ()
Ответ на: комментарий от lucky_guy

openvpn.log


Tue Aug 22 21:36:41 2017 192.168.1.66:21988 [client1] Peer Connection Initiated with [AF_INET]192.168.1.66:21988
Tue Aug 22 21:36:41 2017 MULTI: new connection by client 'client1' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Aug 22 21:36:41 2017 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Tue Aug 22 21:36:41 2017 MULTI: Learn: 10.8.0.6 -> client1/192.168.1.66:21988
Tue Aug 22 21:36:41 2017 MULTI: primary virtual IP for client1/192.168.1.66:21988: 10.8.0.6
Tue Aug 22 21:36:43 2017 client1/192.168.1.66:21988 PUSH: Received control message: 'PUSH_REQUEST'
Tue Aug 22 21:36:43 2017 client1/192.168.1.66:21988 SENT CONTROL [client1]: 'PUSH_REPLY,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 77.88.8.8,dhcp-option DNS 77.88.8.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 1' (status=1)
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 TLS: Initial packet from [AF_INET]192.168.1.66:28263, sid=fbe3e7dd a3f39a24
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 VERIFY OK: depth=1, C=RU, ST=Moscow, L=Moscow, CN=root
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 VERIFY OK: depth=0, C=RU, ST=Moscow, L=Moscow, CN=client1
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 peer info: IV_VER=2.3.13
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 peer info: IV_PLAT=win
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 peer info: IV_PROTO=2
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 peer info: IV_GUI_VER=OpenVPN_GUI_10
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Tue Aug 22 21:39:53 2017 192.168.1.66:28263 [client1] Peer Connection Initiated with [AF_INET]192.168.1.66:28263
Tue Aug 22 21:39:53 2017 MULTI: new connection by client 'client1' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Aug 22 21:39:53 2017 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Tue Aug 22 21:39:53 2017 MULTI: Learn: 10.8.0.6 -> client1/192.168.1.66:28263
Tue Aug 22 21:39:53 2017 MULTI: primary virtual IP for client1/192.168.1.66:28263: 10.8.0.6
Tue Aug 22 21:39:55 2017 client1/192.168.1.66:28263 PUSH: Received control message: 'PUSH_REQUEST'
Tue Aug 22 21:39:55 2017 client1/192.168.1.66:28263 SENT CONTROL [client1]: 'PUSH_REPLY,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 77.88.8.8,dhcp-option DNS 77.88.8.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0' (status=1)
Tue Aug 22 21:45:29 2017 client1/192.168.1.66:28263 [client1] Inactivity timeout (--ping-restart), restarting
Tue Aug 22 21:45:29 2017 client1/192.168.1.66:28263 SIGUSR1[soft,ping-restart] received, client-instance restarting
Tue Aug 22 23:10:53 2017 192.168.1.66:8367 TLS: Initial packet from [AF_INET]192.168.1.66:8367, sid=9e18c98e a513925d
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 VERIFY OK: depth=1, C=RU, ST=Moscow, L=Moscow, CN=root
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 VERIFY OK: depth=0, C=RU, ST=Moscow, L=Moscow, CN=client1
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 peer info: IV_VER=2.3.13
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 peer info: IV_PLAT=win
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 peer info: IV_PROTO=2
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 peer info: IV_GUI_VER=OpenVPN_GUI_10
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Tue Aug 22 23:10:54 2017 192.168.1.66:8367 [client1] Peer Connection Initiated with [AF_INET]192.168.1.66:8367
Tue Aug 22 23:10:54 2017 client1/192.168.1.66:8367 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Tue Aug 22 23:10:54 2017 client1/192.168.1.66:8367 MULTI: Learn: 10.8.0.6 -> client1/192.168.1.66:8367
Tue Aug 22 23:10:54 2017 client1/192.168.1.66:8367 MULTI: primary virtual IP for client1/192.168.1.66:8367: 10.8.0.6
Tue Aug 22 23:10:56 2017 client1/192.168.1.66:8367 PUSH: Received control message: 'PUSH_REQUEST'
Tue Aug 22 23:10:56 2017 client1/192.168.1.66:8367 SENT CONTROL [client1]: 'PUSH_REPLY,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 77.88.8.8,dhcp-option DNS 77.88.8.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0' (status=1)
Tue Aug 22 23:16:34 2017 client1/192.168.1.66:8367 [client1] Inactivity timeout (--ping-restart), restarting
Tue Aug 22 23:16:34 2017 client1/192.168.1.66:8367 SIGUSR1[soft,ping-restart] received, client-instance restarting

Gideon ()

Вендузятник должен страдать.

anonymous ()
Ответ на: При подключении. от Gideon

1. Не увидел на скринах варианта с

push redirect-gateway def1 bypass-dhcp 
и без
push "redirect-gateway"

2. Вы что в одной сети трестируете?
3. Плиз можно без скринов а текстом сюда выкладывать? www.linux.org.ru/help/lorcode.md Вас интересует тэг [ code]

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

Log файла openvpn.log с push redirect-gateway def1 bypass-dhcp

[root@server ~]# cat /var/log/openvpn.log
Thu Aug 24 19:46:20 2017 OpenVPN 2.4.3 x86_64-redhat-linux-gnu [Fedora EPEL patc                                                                                        hed] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on J                                                                                        un 21 2017
Thu Aug 24 19:46:20 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO                                                                                         2.06
Thu Aug 24 19:46:20 2017 NOTE: your local LAN uses the extremely common subnet a                                                                                        ddress 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conf                                                                                        licts if you connect to the VPN server from public locations such as internet ca                                                                                        fes that use the same subnet.
Thu Aug 24 19:46:20 2017 Diffie-Hellman initialized with 2048 bit key
Thu Aug 24 19:46:20 2017 Failed to extract curve from certificate (UNDEF), using                                                                                         secp384r1 instead.
Thu Aug 24 19:46:20 2017 ECDH curve secp384r1 added
Thu Aug 24 19:46:20 2017 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 HWAD                                                                                        DR=00:15:5d:01:02:32
Thu Aug 24 19:46:20 2017 TUN/TAP device tun0 opened
Thu Aug 24 19:46:20 2017 TUN/TAP TX queue length set to 100
Thu Aug 24 19:46:20 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Aug 24 19:46:20 2017 /sbin/ip link set dev tun0 up mtu 1500
Thu Aug 24 19:46:20 2017 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Thu Aug 24 19:46:20 2017 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Thu Aug 24 19:46:20 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Thu Aug 24 19:46:20 2017 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Aug 24 19:46:20 2017 UDPv4 link local (bound): [AF_INET][undef]:1194
Thu Aug 24 19:46:20 2017 UDPv4 link remote: [AF_UNSPEC]
Thu Aug 24 19:46:20 2017 GID set to nobody
Thu Aug 24 19:46:20 2017 UID set to nobody
Thu Aug 24 19:46:20 2017 MULTI: multi_init called, r=256 v=256
Thu Aug 24 19:46:20 2017 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Thu Aug 24 19:46:20 2017 ifconfig_pool_read(), in='client1,10.8.0.4', TODO: IPv6
Thu Aug 24 19:46:20 2017 succeeded -> ifconfig_pool_set()
Thu Aug 24 19:46:20 2017 IFCONFIG POOL LIST
Thu Aug 24 19:46:20 2017 client1,10.8.0.4
Thu Aug 24 19:46:20 2017 Initialization Sequence Completed
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 TLS: Initial packet from [AF_INET]19                                                                                        2.168.1.66:38073, sid=3cb10b4d b24e0f8b
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 VERIFY OK: depth=1, C=RU, ST=Moscow,                                                                                         L=Moscow, CN=root
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 VERIFY OK: depth=0, C=RU, ST=Moscow,                                                                                         L=Moscow, CN=client1
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 peer info: IV_VER=2.3.13
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 peer info: IV_PLAT=win
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 peer info: IV_PROTO=2
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 peer info: IV_GUI_VER=OpenVPN_GUI_10
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 Data Channel Encrypt: Cipher 'AES-25                                                                                        6-CBC' initialized with 256 bit key
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 Data Channel Encrypt: Using 160 bit                                                                                         message hash 'SHA1' for HMAC authentication
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 Data Channel Decrypt: Cipher 'AES-25                                                                                        6-CBC' initialized with 256 bit key
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 Data Channel Decrypt: Using 160 bit                                                                                         message hash 'SHA1' for HMAC authentication
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 Control Channel: TLSv1.2, cipher TLS                                                                                        v1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Thu Aug 24 19:48:18 2017 192.168.1.66:38073 [client1] Peer Connection Initiated                                                                                         with [AF_INET]192.168.1.66:38073
Thu Aug 24 19:48:18 2017 client1/192.168.1.66:38073 MULTI_sva: pool returned IPv                                                                                        4=10.8.0.6, IPv6=(Not enabled)
Thu Aug 24 19:48:18 2017 client1/192.168.1.66:38073 MULTI: Learn: 10.8.0.6 -> cl                                                                                        ient1/192.168.1.66:38073
Thu Aug 24 19:48:18 2017 client1/192.168.1.66:38073 MULTI: primary virtual IP fo                                                                                        r client1/192.168.1.66:38073: 10.8.0.6
Thu Aug 24 19:48:20 2017 client1/192.168.1.66:38073 PUSH: Received control messa                                                                                        ge: 'PUSH_REQUEST'
Thu Aug 24 19:48:20 2017 client1/192.168.1.66:38073 SENT CONTROL [client1]: 'PUS                                                                                        H_REPLY,redirect-gateway def1 bypass-dhcp,route 10.8.0.1 255.255.255.255,route 1                                                                                        0.8.0.0 255.255.255.0,dhcp-option DNS 77.88.8.8,dhcp-option DNS 77.88.8.1,route                                                                                         10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6                                                                                         10.8.0.5,peer-id 0' (status=1)
Gideon ()
Ответ на: комментарий от anc

Log файла openvpn.log с push "redirect-gateway"

[root@server ~]# cat /var/log/openvpn.log
Thu Aug 24 19:54:19 2017 OpenVPN 2.4.3 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jun 21 2017
Thu Aug 24 19:54:19 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.06
Thu Aug 24 19:54:19 2017 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Aug 24 19:54:19 2017 Diffie-Hellman initialized with 2048 bit key
Thu Aug 24 19:54:19 2017 Failed to extract curve from certificate (UNDEF), using secp384r1 instead.
Thu Aug 24 19:54:19 2017 ECDH curve secp384r1 added
Thu Aug 24 19:54:19 2017 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 HWADDR=00:15:5d:01:02:32
Thu Aug 24 19:54:19 2017 TUN/TAP device tun0 opened
Thu Aug 24 19:54:19 2017 TUN/TAP TX queue length set to 100
Thu Aug 24 19:54:19 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Aug 24 19:54:19 2017 /sbin/ip link set dev tun0 up mtu 1500
Thu Aug 24 19:54:19 2017 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Thu Aug 24 19:54:19 2017 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Thu Aug 24 19:54:19 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Thu Aug 24 19:54:19 2017 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Aug 24 19:54:19 2017 UDPv4 link local (bound): [AF_INET][undef]:1194
Thu Aug 24 19:54:19 2017 UDPv4 link remote: [AF_UNSPEC]
Thu Aug 24 19:54:19 2017 GID set to nobody
Thu Aug 24 19:54:19 2017 UID set to nobody
Thu Aug 24 19:54:19 2017 MULTI: multi_init called, r=256 v=256
Thu Aug 24 19:54:19 2017 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Thu Aug 24 19:54:19 2017 ifconfig_pool_read(), in='client1,10.8.0.4', TODO: IPv6
Thu Aug 24 19:54:19 2017 succeeded -> ifconfig_pool_set()
Thu Aug 24 19:54:19 2017 IFCONFIG POOL LIST
Thu Aug 24 19:54:19 2017 client1,10.8.0.4
Thu Aug 24 19:54:19 2017 Initialization Sequence Completed
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 TLS: Initial packet from [AF_INET]192.168.1.66:32712, sid=48ab461f c6fc8668
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 VERIFY OK: depth=1, C=RU, ST=Moscow, L=Moscow, CN=root
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 VERIFY OK: depth=0, C=RU, ST=Moscow, L=Moscow, CN=client1
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 peer info: IV_VER=2.3.13
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 peer info: IV_PLAT=win
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 peer info: IV_PROTO=2
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 peer info: IV_GUI_VER=OpenVPN_GUI_10
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Thu Aug 24 19:54:47 2017 192.168.1.66:32712 [client1] Peer Connection Initiated with [AF_INET]192.168.1.66:32712
Thu Aug 24 19:54:47 2017 client1/192.168.1.66:32712 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Thu Aug 24 19:54:47 2017 client1/192.168.1.66:32712 MULTI: Learn: 10.8.0.6 -> client1/192.168.1.66:32712
Thu Aug 24 19:54:47 2017 client1/192.168.1.66:32712 MULTI: primary virtual IP for client1/192.168.1.66:32712: 10.8.0.6
Thu Aug 24 19:54:49 2017 client1/192.168.1.66:32712 PUSH: Received control message: 'PUSH_REQUEST'
Thu Aug 24 19:54:49 2017 client1/192.168.1.66:32712 SENT CONTROL [client1]: 'PUSH_REPLY,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 77.88.8.8,dhcp-option DNS 77.88.8.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0' (status=1)

Тестирование идёт в одной сети, верно. На компьютере на hyper-v развёрнута виртуалка с openvpn, соединение идёт через роутер.

Gideon ()
Ответ на: комментарий от lucky_guy

Выхлоп ip r при включенном openvpn

[root@server ~]# ip r
default via 192.168.1.1 dev eth0  proto static  metric 100
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.81  metric 100
Gideon ()

Чет ты перемудрил. У меня серверный конфиг такой примерно.

server 10.10.0.0 255.255.255.0
proto tcp-server
tls-server
port 12945
dev tun10

persist-key
persist-tun

cipher AES-256-CBC

auth SHA512
comp-lzo adaptive
keepalive 15 60
verb 3
tls-auth ***.key
ca ***.crt
dh dh.pem
cert ***.crt
key ***.key
status-version 2

user nobody

client-to-client

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

Вот это вот не нужно

push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"

У тебя и так подсеть server 10.8.0.0 255.255.255.0

Еще я на клиенте вижу постоянный маршрут для 0.0.0.0/0, который явно направляет трафик не туда, куда ты хочешь.

Radjah ★★★★★ ()
Последнее исправление: Radjah (всего исправлений: 1)
Ответ на: комментарий от Radjah

>>Еще я на клиенте вижу постоянный маршрут для 0.0.0.0/0, который явно направляет трафик не туда, куда ты хочешь.

Просьба подсказать как исправить путь трафика на клиенте?

Убрал в конфиге push

push"route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
Но по прежнему не ходит в интернет

Gideon ()

От администратора:

route delete -9 0.0.0.0 178.35.189.165
Ты на tap/tun интерфейсе случаем руками адреса не прописывал?

Radjah ★★★★★ ()
Ответ на: комментарий от anc

push "redirect-gateway"

C:\Users\user>route print
===========================================================================
Список интерфейсов
 22...00 ff 58 5d ed 85 ......TAP-Windows Adapter V9
 16...82 b9 a5 f5 31 1d ......Microsoft Virtual WiFi Miniport Adapter
 14...e0 b9 a5 f5 31 1d ......Atheros AR9485WB-EG Wireless Network Adapter
 12...e0 b9 a5 f6 69 9d ......Устройства Bluetooth (личной сети)
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 39...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
 40...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     20
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.66    281
     192.168.1.66  255.255.255.255         On-link      192.168.1.66    281
     192.168.1.81  255.255.255.255      192.168.1.1     192.168.1.66     25
    192.168.1.255  255.255.255.255         On-link      192.168.1.66    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
        224.0.0.0        240.0.0.0         On-link      192.168.1.66    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link      192.168.1.66    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0   178.35.189.165  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 22    276 fe80::/64                On-link
 14    281 fe80::/64                On-link
 14    281 fe80::2528:60fa:285c:eafb/128
                                    On-link
 22    276 fe80::5c8e:32c9:cb72:c4b/128
                                    On-link
  1    306 ff00::/8                 On-link
 22    276 ff00::/8                 On-link
 14    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
Gideon ()
Ответ на: комментарий от anc

push redirect-gateway def1 bypass-dhcp

C:\Users\user>route print
===========================================================================
Список интерфейсов
 22...00 ff 58 5d ed 85 ......TAP-Windows Adapter V9
 16...82 b9 a5 f5 31 1d ......Microsoft Virtual WiFi Miniport Adapter
 14...e0 b9 a5 f5 31 1d ......Atheros AR9485WB-EG Wireless Network Adapter
 12...e0 b9 a5 f6 69 9d ......Устройства Bluetooth (личной сети)
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 39...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
 40...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.66     25
          0.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6     20
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6     20
      192.168.1.0    255.255.255.0         On-link      192.168.1.66    281
     192.168.1.66  255.255.255.255         On-link      192.168.1.66    281
     192.168.1.81  255.255.255.255      192.168.1.1     192.168.1.66     25
    192.168.1.255  255.255.255.255         On-link      192.168.1.66    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
        224.0.0.0        240.0.0.0         On-link      192.168.1.66    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link      192.168.1.66    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0   178.35.189.165  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 22    276 fe80::/64                On-link
 14    281 fe80::/64                On-link
 14    281 fe80::2528:60fa:285c:eafb/128
                                    On-link
 22    276 fe80::5c8e:32c9:cb72:c4b/128
                                    On-link
  1    306 ff00::/8                 On-link
 22    276 ff00::/8                 On-link
 14    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
Gideon ()
Ответ на: комментарий от Radjah

Маршрут удалён.

Маршрут удалил, изменения в конфиг внёс. По прежнему глухо.

Gideon ()
Ответ на: комментарий от anc

push "redirect-gateway

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 22...00 ff 58 5d ed 85 ......TAP-Windows Adapter V9
 16...82 b9 a5 f5 31 1d ......Microsoft Virtual WiFi Miniport Adapter
 14...e0 b9 a5 f5 31 1d ......Atheros AR9485WB-EG Wireless Network Adapter
 12...e0 b9 a5 f6 69 9d ......Устройства Bluetooth (личной сети)
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 39...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
 40...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     20
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.66    281
     192.168.1.66  255.255.255.255         On-link      192.168.1.66    281
     192.168.1.81  255.255.255.255      192.168.1.1     192.168.1.66     25
    192.168.1.255  255.255.255.255         On-link      192.168.1.66    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
        224.0.0.0        240.0.0.0         On-link      192.168.1.66    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link      192.168.1.66    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 22    276 fe80::/64                On-link
 14    281 fe80::/64                On-link
 14    281 fe80::2528:60fa:285c:eafb/128
                                    On-link
 22    276 fe80::5c8e:32c9:cb72:c4b/128
                                    On-link
  1    306 ff00::/8                 On-link
 22    276 ff00::/8                 On-link
 14    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
Gideon ()
Ответ на: push "redirect-gateway от Gideon

Похоже на мистику, вроде все верно. Так уж пальцем в небо traceroute до 8.8.8.8 в двух вариантах покажите плиз.

anc ★★★★★ ()
Ответ на: комментарий от anc

push «redirect-gateway»

C:\Users\user>tracert 8.8.8.8

Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:

  1     9 ms     2 ms     3 ms  10.8.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *     ^C
Gideon ()
Ответ на: комментарий от anc

Выкладываю конфиг сервера

[root@server ~]# cat /etc/openvpn/server.conf
cd /etc/openvpn
mode server
tls-server
port 1194
proto udp
dev tun
log /var/log/openvpn.log
status /var/log/openvpn-status.log
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
ifconfig-pool-persist ipp.txt

server 10.8.0.0 255.255.255.0
client-to-client

push "redirect-gateway"
push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 8.8.8.8"


user nobody
group nobody
keepalive 10 120
comp-lzo
persist-key
persist-tun
cipher AES-256-CBC
verb 3
Gideon ()
Ответ на: комментарий от anc

Конфиг клиента

client 
tls-client 
dev tun 
proto udp
remote 192.168.1.81 1194 
redirect-gateway
resolv-retry infinite 
nobind 
persist-key
persist-tun 
ca ca.crt 
cert client1.crt 
key client1.key 
comp-lzo 
user nobody 
group nobody 
cipher AES-256-CBC 
verb 3
Gideon ()
Ответ на: Конфиг клиента от Gideon

1. Замечание
Сервер push "redirect-gateway"
Клиент redirect-gateway
Достаточно оставить что-то одно, push просто передает этот параметр клиенту. Обычно удобнее все-таки рулить со стороны сервера.

2. Но вот вы подтвердили что у вас не работает с любым конфигом, хотя в топике написали что работает c redirect-gateway.
Покажите выхлоп iptables-save

anc ★★★★★ ()
Ответ на: комментарий от anc

Извиняюсьза ложную информацию.

Соответствующие изменения внёс.

[root@server ~]# iptables-save
# Generated by iptables-save v1.4.21 on Thu Aug 24 23:39:56 2017
*nat
:PREROUTING ACCEPT [209:105413]
:INPUT ACCEPT [2:102]
:OUTPUT ACCEPT [32:2247]
:POSTROUTING ACCEPT [32:2247]
-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -o ens18 -j SNAT --to-source 192.          168.1.81
COMMIT
# Completed on Thu Aug 24 23:39:56 2017
# Generated by iptables-save v1.4.21 on Thu Aug 24 23:39:56 2017
*filter
:INPUT DROP [63:7074]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [188:22648]
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A OUTPUT -o tun+ -j ACCEPT
COMMIT
# Completed on Thu Aug 24 23:39:56 2017

Gideon ()
Ответ на: комментарий от anc

Я имел в виду, что если закомментить push «redirect-gateway» или «push «redirect-gateway def1 bypass-dhcp», то есть без перенаправления, то в интернет заходит, но не меняется ip адрес. А если оставить одно из значений, то доступа в интернет нет.

Gideon ()
Ответ на: комментарий от Gideon

Обычно VPN вывешивают наружу, чтобы в сеть внутреннюю из интернета ходить. Нет, для теста можно и так, если только не требуется ip-адрес на серверный поменять.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

В целом замысел в том, чтобы сёрфить инет без определения местоположения и с изменением ip адреса

Gideon ()
Ответ на: Извиняюсьза ложную информацию. от Gideon
-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -o ens18 -j SNAT --to-source 192.168.1.81

Для начала сделайте проще, почти так в топике описали iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

ЗЫ И при client-to-client смысла в ! -d 10.8.0.0/24 нет, все обрабатывается внутри ovpn т.е. до ведра не доходит.

anc ★★★★★ ()
Ответ на: комментарий от Gideon

В связи с тем что у вас синтетика, не исключаю варианта что не посылаются или не правильно обрабатывается redirect роута от шлюза 192.168.1.1 (это же ваш шлюз ? ) на сервер 192.168.1.81. Вобщем без tcpdump гадать можно долго.
Если хотите просто проверить на чистой синтетике, перед внедрением, создайте несколько виртуалок и между ними гоняйте.

anc ★★★★★ ()

Давай еще раз. У тебя в винде такой маршрут:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     20
это дефолтный маршрут на который уходит весь траффик не попадающий под остальные правила. А адрес впн сервера у тебя 10.8.0.1. Попробуй после подключения к впн вручную удалить его и добавить маршрут что бы было так:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.8.0.1         10.8.0.6     20

lucky_guy ★★★ ()
Ответ на: комментарий от anc

Всем спасибо за помощь, принял решение заново разворачивать на ubuntu. Как разверну, отпишусь. Спасибо.

Gideon ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.