LINUX.ORG.RU
ФорумAdmin

Проблема с маршрутами в double vpn

 


0

1

Хочу совокупить купленный мною впн на mullvad.net(server2) и поднятый ручками на вдс(server1). клиент—>server1—>server2—>inet

port 1194
proto udp
dev tun0
ca ca.crt
cert server1.crt
key server1.key
dh dh2048.pem
tls-auth ta.key 0
remote-cert-tls client
cipher AES-256-CBC
server 10.0.0.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
status server1.log
verb 3
log /var/log/server1.log
status /var/log/server1.log
sndbuf 0
rcvbuf 0
comp-lzo
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "route 10.0.0.0 255.255.255.0"
script-security 2
up /etc/openvpn/server1_up.sh
down /etc/openvpn/server1_down.sh

Маршрут поднимается при подключении

server1_up.sh
************************
#!/bin/bash
/sbin/ip rule add from 10.0.0.0/24 table vpn_net
/sbin/ip route add default dev tun1 table vpn_net
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o tun1 -j MASQUERADE
*************************

server1_down.sh
*************************
#!/bin/bash
/sbin/ip rule del from 10.0.0.0/24 table vpn_net
/sbin/ip route del default dev tun1 table vpn_net
/sbin/iptables -t nat -D POSTROUTING -s 10.0.0.0/24 -o tun1 -j MASQUERADE

А вот сам конфиг mullvad vpn

client
dev tun
proto udp
remote-random
remote xxx.xxx.xxx.xxx 1302  # ch-zrh-001
cipher AES-256-CBC
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
remote-cert-tls server
ping 10
ping-restart 60
sndbuf 524288
rcvbuf 524288
auth-user-pass 5363263330908872m
ca mullvad_ca.crt
service mullvadopenvpn
block-outside-dns
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA

tun1 это mullvad, tun0 мой туннель https://snipboard.io/Q7pZot.jpg https://snipboard.io/bq5zup.jpg

Подскажите что не так в моих маршрутах?



Последнее исправление: Radzhab90 (всего исправлений: 3)

Подскажите что не так в моих маршрутах?

Во-первых, лишний маршрут по умолчанию через ens92. Это так и задумано? Если да, то надо балансировку настраивать.

Serge10 ★★★★★
()

У вас много ошибок. По существу так, вам не нужно получать от mullvad redirect-gateway, для этого в конфиг добавляем

pull-filter ignore "redirect-gateway"

Далее. В конфиге mullvad также пропишите точное имя интерфейса tun1 и скрипты server1_up.sh/server1_down.sh должны выполняться из него же, а не при start/stop вашего сервера. Поясню, tun1 поднимается mullvad соответственно и роутинг должен прописываться при поднятии этого интерфейса, а ваш ovpn сервер тут совсем не причем.
ЗЫ Надеюсь таблица vpn_net прописана в rt_tables

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

Нет такого.

Как нет? А это что такое? 

0.0.0.0   95.183.50.1   0.0.0.0   UG   0    0   ens192

насколько я понял задачу, автор темы хочет весь трафик через два vpn завернуть. Так что этот маршрут лишний.

Смотрите маску.

И что не так с маской?

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Это правильный defgw и он единственный а не «лишний» как вы написали, его трогать не надо. По существу ответил ТС выше.
В целом схемы double vpn на основе ovpn описаны много раз. Кмк ТС «споткнулся» только на том этапе где сервер2 не его. Ну и ещё накосячил :)

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin