Нет инета через OpenVPN

0

1

Всем привет. Патаюсь настроить OpenVPN на VPS (KVM). ПК подключается к серваку, но нет инета.

server.conf

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
duplicate-cn
keepalive 10 120
comp-lzo
;max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
verb 5

client.ovpn

client
dev tun
proto udp
remote айпишник.сервака 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3

форвардинг пробовал делать так

/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -j REJECT

и так

/sbin/iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT

и так

/sbin/iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

и так

/sbin/iptables -A FORWARD -i tun0 -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

postrouting пробовал и через маскарад

/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

и через snat

/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j SNAT --to-source айпишник_сервака

Пробовал перед этим сбрасывать все правила iptables до

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

но результата ноль.

На ПК правила iptables дефолтные (все разрешено).

С ПК ни домены ни IP не пингуются. Судя по tcpdump ПК шлет пакеты серваку, а сервак принимает. В логах openvpn ошибок нет.

Debian 8.10 amd64
OpenVPN 2.3.4
Кроме iptables больше никаких файрволов нет.

UPD: форвардинг в sysctl.conf включен

Ссылка

←	Посоветуйте CA для x509

VPN и внешний IP

→

echo 1 /proc/sys/net/ipv4/ip_forward

А потом на постоянную настрой через sysctl.

Далее настраивай NAT, MASQUERADE или SNAT.

kostik87 ★★★★★
(15.04.18 17:34:09 MSK)

Ответ на: комментарий от kostik87 15.04.18 17:34:09 MSK

Да, забыл указать, что в sysctl форвардинг включен.

zevilz ★★★
(15.04.18 17:35:40 MSK) автор топика

Ссылка

А почему у тебя в postrouting 10.10.10.0, когда в конфиге сервера openvpn указан 10.8.0.0?

Sorcus ★
(15.04.18 21:39:00 MSK)

Ответ на: комментарий от Sorcus 15.04.18 21:39:00 MSK

С 10.8.0.0 тоже не работает

zevilz ★★★
(16.04.18 13:26:33 MSK) автор топика

Ссылка

сервак принимает.

А дальше пакеты уходят на внешний интерфейс eth0?

anonymous
(16.04.18 13:47:46 MSK)

Ответ на: комментарий от anonymous 16.04.18 13:47:46 MSK

Как правильно проверить?

zevilz ★★★
(16.04.18 13:58:27 MSK) автор топика

Ответ на: комментарий от zevilz 16.04.18 13:58:27 MSK

Запустить tcpdump на eth0 должны приходить запросы с tun0. Т.е. от клиента, которые через туннель идут.

anonymous
(16.04.18 14:04:03 MSK)

Ответ на: комментарий от anonymous 16.04.18 14:04:03 MSK

Не вижу

zevilz ★★★
(16.04.18 14:43:49 MSK) автор топика

А роуты настроены? Такое чувство, что нет маршрута с интерфейса ВПН.

ldr
(17.04.18 09:19:35 MSK)

Ссылка

Ответ на: комментарий от zevilz 16.04.18 14:43:49 MSK

Что было, как решилось?

anonymous
(17.04.18 09:45:23 MSK)

Ссылка

А если попробовать заменить push "redirect-gateway def1 bypass-dhcp" на push "redirect-gateway def1" и убрать ifconfig-pool-persist ipp.txt?

Sorcus ★
(17.04.18 11:41:53 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Посоветуйте CA для x509

Admin

VPN и внешний IP

→

Похожие темы