openvpn + local + удаленная local

0

2

Добрый день.

Что имеется(скрин):

1. В роутере(статический ip) проброшен порт до openvpn сервера.
2. Сервер с openvpn(10.1.0.1), машина имеет две сетевые карты и адреса:
- 2.1. 192.168.0.101 подключен к роутеру.
- 2.2. 10.4.31.17(статика) подключен к коммутатору.
3. Сервер держит на себе dhcp и несколько самописных веб сервисов, шлюз по умолчанию 10.4.31.254.
4. Так же через шлюз 10.4.31.254 пользователи сети 10.4.31.* имеют доступ к сервисам которые располагаются где то в области. Например http://10.5.45.32:9000. Нужно:
Чтобы удаленные пользователи openvpn могли получать доступ ко всем сервисам типа (http://10.5.45.32:9000) , к которым имеют доступ пользователи локальной сети.
т.е. нужно как то подменять адрес пользователей openvpn и направлять их на шлюз 10.4.31.254.
https://ibb.co/G03rn66

Ссылка

←	Свой скрипт в SystemD

фильтр трафика в сети

→

← 1 2 →

Ответ на: комментарий от anc 14.05.19 22:02:31 MSK

завтра я приложу скрины моих правил с обоих устройств(dlink router и vipnet coordinator) и обрисую схему.

andrey7690
(14.05.19 22:07:35 MSK) автор топика

Ответ на: комментарий от andrey7690 14.05.19 21:52:51 MSK

настроено много туннелей с подсетями вида 10.1.0.* и т.д. подсети вида 10.8.0.0 там нет, но я могу ошибиться

Вы уже один раз ошиблись в этой теме с префиксом /8. Вполне возможно, что если правил много, где-то «затерялся» префикс под который попала и ваша 10.8.0.0/24. Обращаю внимание что правила идут последовательно, очередность играет роль.

anc ★★★★★
(14.05.19 22:12:00 MSK)

Ссылка

Ответ на: комментарий от andrey7690 14.05.19 22:07:35 MSK

vipnet coordinator

Чёрт, тут же была ваша тема про него, так роутер2 это оно? «Чёрный ящик» «который роутит через себя». Тогда имхо, ваша первая схема отнюдь не лишена смысла. Если не добьетесь профита от «обычной схемы» попробуем наладить по другому.

anc ★★★★★
(14.05.19 22:23:55 MSK)

Ответ на: комментарий от anc 14.05.19 22:23:55 MSK

Теперь с внешней сети подключается и соединение создается, но интернета нет и соединение отваливается где то через 2-3 минуты.

В координторе(роутер2) я указал напрямую порт и соединение стало проходить.

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
08:16:05.509112 IP 188.170.74.27.44006 > 10.4.31.17.1194: UDP, length 84
08:16:07.886241 IP 188.170.74.27.44006 > 10.4.31.17.1194: UDP, length 100
08:16:09.938065 IP 10.4.31.17.1194 > 188.170.74.27.44006: UDP, length 81
08:16:17.480560 IP 188.170.74.27.44006 > 10.4.31.17.1194: UDP, length 84

andrey7690
(15.05.19 08:19:17 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 08:19:17 MSK

Клиент

May 15 08:14:29 andrew76 NetworkManager[854]: <info>  [1557897269.9466] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",0]: VPN connection: (IP Config Get) reply received.
May 15 08:14:29 andrew76 NetworkManager[854]: <info>  [1557897269.9477] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN connection: (IP4 Config Get) reply received
May 15 08:14:29 andrew76 NetworkManager[854]: <info>  [1557897269.9489] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: Data: VPN Gateway: *.*.*.*
May 15 08:14:29 andrew76 NetworkManager[854]: <info>  [1557897269.9512] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN plugin: state changed: started (4)
May 15 08:14:29 andrew76 NetworkManager[854]: <info>  [1557897269.9598] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN connection: (IP Config Get) complete
May 15 08:16:38 andrew76 NetworkManager[854]: <warn>  [1557897398.9404] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN plugin: failed: connect-failed (1)
May 15 08:16:38 andrew76 NetworkManager[854]: <info>  [1557897398.9408] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN plugin: state changed: stopping (5)
May 15 08:16:38 andrew76 NetworkManager[854]: <info>  [1557897398.9409] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN plugin: state changed: stopped (6)
May 15 08:16:38 andrew76 NetworkManager[854]: <info>  [1557897398.9433] vpn-connection[0x2813220,33b71400-bbfd-4776-9de7-54c6e5ba30f6,"nicrb web",6:(tun0)]: VPN plugin: state change reason: unknown (0)

Серверные логи, не получается открыть:

sudo grep VPN /var/log/syslog
Binary file /var/log/syslog matches

andrey7690
(15.05.19 08:28:13 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 08:28:13 MSK

sudo ufw disable

Конфиг фаервола:

  GNU nano 2.9.3                                                                                      delet7                                                                                                

# Generated by iptables-save v1.6.1 on Wed May 15 08:46:31 2019
*raw
:PREROUTING ACCEPT [14:958]
:OUTPUT ACCEPT [4:480]
COMMIT
# Completed on Wed May 15 08:46:31 2019
# Generated by iptables-save v1.6.1 on Wed May 15 08:46:31 2019
*mangle
:PREROUTING ACCEPT [14:958]
:INPUT ACCEPT [12:858]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:480]
:POSTROUTING ACCEPT [4:480]
COMMIT
# Completed on Wed May 15 08:46:31 2019
# Generated by iptables-save v1.6.1 on Wed May 15 08:46:31 2019
*nat
:PREROUTING ACCEPT [6:392]
:INPUT ACCEPT [4:292]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o enp2s0 -j MASQUERADE
COMMIT
# Completed on Wed May 15 08:46:31 2019
# Generated by iptables-save v1.6.1 on Wed May 15 08:46:31 2019
*filter
:INPUT ACCEPT [12:858]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:480]
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1022 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 445 -j ACCEPT
COMMIT
# Completed on Wed May 15 08:46:31 2019

andrey7690
(15.05.19 08:47:56 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 08:28:13 MSK

В показанном вами конфиге сервера у вас есть две закомментированные «волшебные» строки

;log         /var/log/openvpn/openvpn.log
;log-append  /var/log/openvpn/openvpn.log

Сразу предупреждаю, обе не нужны! Разница между ними только в одном
log - при запуске ovpn, «начинаем с чистого листа», создаем новый файл.
log-append - при запуске ovpn, дополняем уже существующий (что собстно следует из написания)

log удобен при отладке, перезапустили и не парим мозг с какого времени искать наше изменение, 100% что это после перезапуска.

Создайте каталог /var/log/openvpn/
mkdir -p /var/log/openvpn/
Раскоментируйте строчку с log
Все тоже самое на клиенте.
Не забыть права доступа.
И запускать не через долбанный NM, а из консоли (повторюсь, сначала решаем первичную задачу, а «плюшки» в виде ufw и всяких NM оставим на потом)
openvpn --config /path-to-config/config-name

Курим логи как с клиента так и с сервера.

anc ★★★★★
(15.05.19 08:50:06 MSK)

Ответ на: комментарий от andrey7690 15.05.19 08:47:56 MSK

VPN /var/log/syslog

sudo grep -a VPN /var/log/syslog

May 15 04:34:54 icrb-1 systemd[1]: Starting OpenVPN service...
May 15 04:34:54 icrb-1 systemd[1]: Started OpenVPN service.
May 15 04:34:56 icrb-1 systemd[1]: Starting OpenVPN connection to server...
May 15 04:34:56 icrb-1 ovpn-server[746]: OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2018
May 15 04:34:56 icrb-1 systemd[1]: Started OpenVPN connection to server.
May 15 04:45:36 icrb-1 systemd[1]: Starting OpenVPN service...
May 15 04:45:36 icrb-1 systemd[1]: Started OpenVPN service.
May 15 04:45:37 icrb-1 systemd[1]: Starting OpenVPN connection to server...
May 15 04:45:37 icrb-1 ovpn-server[681]: OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2018
May 15 04:45:37 icrb-1 systemd[1]: Started OpenVPN connection to server.

andrey7690
(15.05.19 08:50:48 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 15.05.19 08:50:06 MSK

Лог сервера

  GNU nano 2.9.3                                                                           /var/log/openvpn/openvpn.log                                                                                     

Wed May 15 08:55:25 2019 UDPv4 link local (bound): [AF_INET][undef]:1194
Wed May 15 08:55:25 2019 UDPv4 link remote: [AF_UNSPEC]
Wed May 15 08:55:25 2019 GID set to nogroup
Wed May 15 08:55:25 2019 UID set to nobody
Wed May 15 08:55:25 2019 MULTI: multi_init called, r=256 v=256
Wed May 15 08:55:25 2019 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Wed May 15 08:55:25 2019 ifconfig_pool_read(), in='nicrb,10.8.0.4', TODO: IPv6
Wed May 15 08:55:25 2019 succeeded -> ifconfig_pool_set()
Wed May 15 08:55:25 2019 IFCONFIG POOL LIST
Wed May 15 08:55:25 2019 nicrb,10.8.0.4
Wed May 15 08:55:25 2019 Initialization Sequence Completed
Wed May 15 08:57:22 2019 188.170.74.27:16762 TLS: Initial packet from [AF_INET]188.170.74.27:16762, sid=8d063713 00f53bb5
Wed May 15 08:57:22 2019 188.170.74.27:16762 VERIFY OK: depth=1, C=RU, ST=VR, L=ICRB, O=ICRB, OU=ICRB, CN=ICRB CA, name=server, emailAddress=admin@admin
Wed May 15 08:57:22 2019 188.170.74.27:16762 VERIFY OK: depth=0, C=RU, ST=VR, L=ICRB, O=ICRB, OU=ICRB, CN=nicrb, name=server, emailAddress=admin@admin
Wed May 15 08:57:22 2019 188.170.74.27:16762 peer info: IV_VER=2.3.10
Wed May 15 08:57:22 2019 188.170.74.27:16762 peer info: IV_PLAT=linux
Wed May 15 08:57:22 2019 188.170.74.27:16762 peer info: IV_PROTO=2
Wed May 15 08:57:22 2019 188.170.74.27:16762 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher AES-128-CBC'
Wed May 15 08:57:22 2019 188.170.74.27:16762 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Wed May 15 08:57:22 2019 188.170.74.27:16762 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Wed May 15 08:57:22 2019 188.170.74.27:16762 [nicrb] Peer Connection Initiated with [AF_INET]188.170.74.27:16762
Wed May 15 08:57:22 2019 nicrb/188.170.74.27:16762 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed May 15 08:57:22 2019 nicrb/188.170.74.27:16762 MULTI: Learn: 10.8.0.6 -> nicrb/188.170.74.27:16762
Wed May 15 08:57:22 2019 nicrb/188.170.74.27:16762 MULTI: primary virtual IP for nicrb/188.170.74.27:16762: 10.8.0.6
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 PUSH: Received control message: 'PUSH_REQUEST'
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 SENT CONTROL [nicrb]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 10.4.31.254,dhcp-option DNS 10.4.31.254,route 10.8.0.1,topology net3$
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
Wed May 15 08:57:25 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
Wed May 15 08:57:26 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
.......................
Wed May 15 08:59:16 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
Wed May 15 08:59:20 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
Wed May 15 08:59:24 2019 nicrb/188.170.74.27:16762 Authenticate/Decrypt packet error: cipher final failed
Wed May 15 08:59:27 2019 188.170.74.27:52688 TLS: Initial packet from [AF_INET]188.170.74.27:52688, sid=ece641c8 c36998c2
Wed May 15 08:59:28 2019 188.170.74.27:52688 VERIFY OK: depth=1, C=RU, ST=VR, L=ICRB, O=ICRB, OU=ICRB, CN=ICRB CA, name=server, emailAddress=admin@admin
Wed May 15 08:59:28 2019 188.170.74.27:52688 VERIFY OK: depth=0, C=RU, ST=VR, L=ICRB, O=ICRB, OU=ICRB, CN=nicrb, name=server, emailAddress=admin@admin
Wed May 15 08:59:28 2019 188.170.74.27:52688 peer info: IV_VER=2.3.10
Wed May 15 08:59:28 2019 188.170.74.27:52688 peer info: IV_PLAT=linux
Wed May 15 08:59:28 2019 188.170.74.27:52688 peer info: IV_PROTO=2
Wed May 15 08:59:28 2019 188.170.74.27:52688 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher AES-128-CBC'
Wed May 15 08:59:28 2019 188.170.74.27:52688 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Wed May 15 08:59:28 2019 188.170.74.27:52688 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Wed May 15 08:59:28 2019 188.170.74.27:52688 [nicrb] Peer Connection Initiated with [AF_INET]188.170.74.27:52688
Wed May 15 08:59:28 2019 MULTI: new connection by client 'nicrb' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients $
Wed May 15 08:59:28 2019 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed May 15 08:59:28 2019 MULTI: Learn: 10.8.0.6 -> nicrb/188.170.74.27:52688
Wed May 15 08:59:28 2019 MULTI: primary virtual IP for nicrb/188.170.74.27:52688: 10.8.0.6
Wed May 15 08:59:28 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:28 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:28 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:28 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:28 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:29 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:29 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 Key [AF_INET]188.170.74.27:52688 [0] not initialized (yet), dropping packet.
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 PUSH: Received control message: 'PUSH_REQUEST'
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 SENT CONTROL [nicrb]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 10.4.31.254,dhcp-option DNS 10.4.31.254,route 10.8.0.1,topology net3$
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 15 08:59:30 2019 nicrb/188.170.74.27:52688 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication

andrey7690
(15.05.19 09:03:33 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 09:03:33 MSK

Возможо я ошибся при создании ключа (aes-128 | aes-256) сейчас сделаю и проверю.

andrey7690
(15.05.19 09:09:05 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 09:09:05 MSK

Конфиги клиента и сервера поправьте. Должно быть идентично cipher....

anc ★★★★★
(15.05.19 09:13:43 MSK)

Ссылка

Ответ на: комментарий от andrey7690 15.05.19 09:09:05 MSK

ЗЫ Я тоже не прав, «пошел у вас на поводу». Конечно надо было начинать с самого ovpn в локальном варианте. А потом «медленно спускаться с горы», до проброса портов и т.д. Хотя если бы не удалили правило с snat так же ничего не получилось. Продолжаем :)
Показывайте конфиг сервера и клиента. И крайне желательно без комментариев. Приблизительно так:

grep -vE '(^ *$|^#|^;)' openvpn.conf

anc ★★★★★
(15.05.19 09:27:52 MSK)
Последнее исправление: anc 15.05.19 09:30:08 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 15.05.19 09:27:52 MSK

Так я пересрздал сертификат сервера и клиента, теперь подключается и не отваливается, появился пинг до 8.8.8.8, до ya.ru пинга нет. прикладываю конфиг сервера.

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.4.31.254"
push "dhcp-option DNS 10.4.31.254"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1

andrey7690
(15.05.19 09:48:03 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 09:48:03 MSK

Предполагаю, что необходимо сделать что то с:

push "dhcp-option DNS 10.4.31.254"
push "dhcp-option DNS 10.4.31.254"

Лог сервера:

Wed May 15 09:45:38 2019 ncrb-a/188.170.74.27:11861 PUSH: Received control message: 'PUSH_REQUEST'
Wed May 15 09:45:38 2019 ncrb-a/188.170.74.27:11861 SENT CONTROL [ncrb-a]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 10.4.31.254,dhcp-option DNS 10.4.31.254,route 10.8.0.1,topology ne$

andrey7690
(15.05.19 09:51:04 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 09:51:04 MSK

или что то с этим:

;route 192.168.40.128 255.255.255.248

andrey7690
(15.05.19 10:17:26 MSK) автор топика

Ссылка

Ответ на: комментарий от andrey7690 15.05.19 09:51:04 MSK

появился пинг до 8.8.8.8

Скорее всего все работает

до ya.ru пинга нет

Где выхлоп пинга?

PS

push «dhcp-option DNS 10.4.31.254»

Я тоже думаю что это «не совсем dns сервер» но начнем в выхлопа пинга.

anc ★★★★★
(15.05.19 10:23:12 MSK)

Ответ на: комментарий от anc 15.05.19 10:23:12 MSK

Вы знаете, пинг появился и до ya.ru не знаю с чем это связано. 10.4.31.254 в конфиге dhcp сервера локальной сети прописан как dns.

Сейчас попробую получить доступ к одному из необходимых сервисов в другой сети.

andrey7690
(15.05.19 10:28:30 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 15.05.19 10:23:12 MSK

Проверил пинги до нужных адресов есть, значит, все работает, остался вопрос с iptables работает ли он с выключенным ufw ?

andrey7690
(15.05.19 10:35:38 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 10:35:38 MSK

Нееет :) У меня другой вопрос с которого хотел начать «причесывание»:

push «redirect-gateway def1 bypass-dhcp»

Вы понимаете что после поднятия туннеля, весь трафик клиента идет через вас? Может оно так и нужно, но в стартовом топике этого не было озвучено.

anc ★★★★★
(15.05.19 10:39:39 MSK)

Ответ на: комментарий от anc 15.05.19 10:39:39 MSK

Весь трафик конечно не нужен, нужны только внутренняя сеть и несколько сервисов, т.е. весь трафик пускать и ненужно, но опять же не принципиально.

andrey7690
(15.05.19 10:44:47 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 10:35:38 MSK

Как далеки они от народа...

остался вопрос с iptables работает ли он с выключенным ufw ?

Вот это я вам предлагаю нагуглить самому. Точнее что такое ufw. И что такое iptables. Их «различия» «привычки» «походка» «осанка»... :)
Сииильно упрощенно, ufw это «надстройка для домохозяек». «Космонафт ВротМнеНоги» посчитал что так будет удобно. Как видите по факту, создается большая куча цепочек/правил. Разобраться в них возможно, но и без особой надобности желания не возникает. KISS, вам же нафиг не уперлось все то что там было?

anc ★★★★★
(15.05.19 11:09:38 MSK)

Ссылка

Ответ на: комментарий от andrey7690 15.05.19 10:44:47 MSK

Тогда можно перейти к

1. Достаточно «отправить» со стороны сервера ovpn
push «route....»

Пример:

push "route 192.168.1.0 255.255.255.0"

Убрать
push «redirect-gateway def1 bypass-dhcp»
и добавить роуты на нужные сети

anc ★★★★★
(15.05.19 11:16:10 MSK)

Ответ на: комментарий от anc 15.05.19 11:16:10 MSK

push "route 10.4.31.254 255.255.255.0"
push "route 10.11.1.1 255.255.255.0"

По iptables я так понимаю нужно сохранить

sudo iptables-save > event-rules
и при загрузке
sudo iptables-restore < event-rules

Теперь вроде все как и хотелось. Большое спасибо за ваше время, вы мне очень помогли разобраться, email: server082@rambler.ru.

andrey7690
(15.05.19 11:59:18 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 11:59:18 MSK

По iptables я так понимаю нужно сохранить
sudo iptables-save > event-rules

Надеюсь event-rules - это эфемерное название.
Да, только разовое действие.

и при загрузке

Обычно это «принято» выполнять до поднятия сетевых интерфейсов. И sudo там не нужно.
Решение этой «задачки» оставляю вам (надеюсь с гуглом справитесь :) ) Вы тут всякое «непотребство» в виде NM упоминали, я не знаю(и не хочу знать) что у вас есть в части автоматизации настройки сети. Но если «по старинке» и на примере debian (убунту только «видел», и «говорят» там много поменяли) это параметр pre-up в /etc/network/interfaces.

anc ★★★★★
(15.05.19 12:31:06 MSK)

Ответ на: комментарий от andrey7690 15.05.19 11:59:18 MSK

ЗЫ

email: .....

Народная примета. Публикация email в явном виде, к «настала неделя spamweek, количество спама увеличилось в десять раз» :)

anc ★★★★★
(15.05.19 12:40:40 MSK)

Ссылка

Ответ на: комментарий от andrey7690 15.05.19 11:59:18 MSK

Мляя, с недосыпу не заметил

10.4.31.254
10.11.1.1

с маской

255.255.255.0

Ну вы уж решитесь, вам хост или сеть нужна?

anc ★★★★★
(15.05.19 13:13:00 MSK)

Ссылка

Ответ на: комментарий от anc 15.05.19 12:31:06 MSK

C восстановление правил я разберусь, это важно при сбое питанияи принудительном ребуте.

Автоматическое соединение с vpn сервером, я обычно делаю из nm, сколько делал, не жаловались.

10.4.31.254
10.11.1.1

Здесь я опечатался, второй хост, а первый подсеть, 10.4.31.0/24.

 email

тут все предусмотренно.

andrey7690
(15.05.19 13:22:45 MSK) автор топика

Ответ на: комментарий от andrey7690 15.05.19 13:22:45 MSK

Автоматическое соединение с vpn сервером, я обычно делаю из nm, сколько делал, не жаловались.

Тут наверное действительно без проблем. Я писал только про сервер. Извините.

anc ★★★★★
(15.05.19 13:28:49 MSK)

Ответ на: комментарий от anc 15.05.19 13:28:49 MSK

Огромное вам спасибо, вы мне действительно очень помогли.

andrey7690
(15.05.19 15:28:07 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Свой скрипт в SystemD

Admin

фильтр трафика в сети

→

VPN /var/log/syslog

Похожие темы