LINUX.ORG.RU
решено ФорумAdmin

OpenVPN клиент на роутере и доступ из локальной сети

 , ,


0

1

Добрый день!

Уважаемые гуру, помогите пожалуйста разобраться:

Имеется VPS Debian 10, на котором установлен OpenVPN сервер.

Имеется домашний Wifi роутер с прошивкой от Padavan, на котором настроен встроенный VPN клиент, который успешно подключается к VPN серверу на VPS.

VPS используется как шлюз в Интернет.

С роутера доступ в Интернет чрез VPN есть, а с клиента локальной сети, подключенного к роутеру доступа нет.

Задача минимум - клиенты локальной сети получают доступ в Интернет через VPN туннель, поднятый на роутере.

Подскажите, в чем может быть проблема. Заранее спасибо )

Конфигурация iptables на VPS (VPN Server) фактически, firewall полностью открыт, только NAT добавлен

# Generated by xtables-save v1.8.2 on Sat May  9 09:00:15 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i ens18 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i ens18 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource 
-A INPUT -i ens18 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
-A INPUT -i ens18 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT
# Completed on Sat May  9 09:00:15 2020
# Generated by xtables-save v1.8.2 on Sat May  9 09:00:15 2020
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.1.1.0/24 -o ens18 -j MASQUERADE
COMMIT
# Completed on Sat May  9 09:00:15 2020
# Generated by xtables-save v1.8.2 on Sat May  9 09:00:15 2020
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat May  9 09:00:15 2020

Таблица маршрутизации на VPS (VPN Server):

default via 185.162.10.1 dev ens18 onlink 
10.1.1.0/24 via 10.1.1.2 dev tun0 
10.1.1.2 dev tun0 proto kernel scope link src 10.1.1.1 
185.162.10.0/24 dev ens18 proto kernel scope link src 185.162.10.215 

Конфигурация iptables на роутере (VPN Clitent)

# Generated by iptables-save v1.4.16.3 on Sat May  9 13:05:19 2020
*mangle
:PREROUTING ACCEPT [417:83358]
:INPUT ACCEPT [242:30736]
:FORWARD ACCEPT [174:52564]
:OUTPUT ACCEPT [395:301710]
:POSTROUTING ACCEPT [569:354274]
-A PREROUTING -m set --match-set rublock dst,src -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Sat May  9 13:05:19 2020
# Generated by iptables-save v1.4.16.3 on Sat May  9 13:05:19 2020
*nat
:PREROUTING ACCEPT [28:1488]
:INPUT ACCEPT [25:1326]
:OUTPUT ACCEPT [6:1712]
:POSTROUTING ACCEPT [8:1816]
:upnp - [0:0]
:upnp-post - [0:0]
:vserver - [0:0]
-A PREROUTING -d 172.24.220.33/32 -j vserver
-A POSTROUTING -s 192.168.1.0/24 -o eth2.2 -j SNAT --to-source 172.24.220.33
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j SNAT --to-source 192.168.1.1
-A vserver -j upnp
COMMIT
# Completed on Sat May  9 13:05:19 2020
# Generated by iptables-save v1.4.16.3 on Sat May  9 13:05:19 2020
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [395:301710]
:bfplimit - [0:0]
:maclist - [0:0]
:upnp - [0:0]
:vpnlist - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -m icmp ! --icmp-type 8 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Sat May  9 13:05:19 2020

Таблица маршрутизации на роутере (VPN Client):

default via 10.1.1.9 dev tun0 
10.1.1.1 via 10.1.1.9 dev tun0 
10.1.1.9 dev tun0  proto kernel  scope link  src 10.1.1.10 
127.0.0.0/8 dev lo  scope link 
172.24.220.0/25 dev eth2.2  proto kernel  scope link  src 172.24.220.33 
185.162.10.215 via 172.24.220.1 dev eth2.2 
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1