LINUX.ORG.RU
решено ФорумAdmin

Как подключиться к VPN на удаленной машине?

 , , ,


0

3

Сабж.

Как только я выполняю

openvpn myvpn.ovpn

Машина пропадает из интернета. Как сделать чтобы только исходящие соединения шли через VPN?

Или хотя бы чтобы не рвались уже установленные ssh сессии?

P.S. Я не в этой VPN, поэтому я не могу подключится внутри сети.

★★★★★

Последнее исправление: Suntechnic (всего исправлений: 1)

откуда вы только беретесь такие.

Что у тебя там в myvpn.ovpn то написано? Мы угадывать должны, или что?

Или хотя бы чтобы не рвались уже установленные ssh сессии?

Установленные ssh сессии к тому же серверу, на котором openvpn запущен, да?

zgen ★★★★★
()
Ответ на: комментарий от zgen

Что у тебя там в myvpn.ovpn то написано? Мы угадывать должны, или что?

Но это же только параметры подключения - какая разница?

Ну вот: https://pastebin.com/xKmNNiqa

Установленные ssh сессии к тому же серверу, на котором openvpn запущен, да?

Ну к той же удаленной машине.

Т.е. есть VDS, мне надо ее включить в VPN сеть. Для этого я делаю openvpn myvpn.ovpn после этого VDS’ка становится недоступна и даже не пингуется - только перезагрузка из панели хостера.

Как сделать чтобы ssh не порвался - мне из корпоративной сети надо на ней клонировать репу и установить зависимости композером, тоже с корпоративных реп.

Suntechnic ★★★★★
() автор топика
Ответ на: комментарий от Suntechnic

Не пушь дефолтный шлюз с сервера, чтобы весь основной трафик шел мимо впн, тогда и сессии не будут рваться.

anonymous
()

Перед запуском опенвпн, сделать полиси бэйсд роутинг, чтоб ответы на входящие соединения, посылались через основной линк.

А то они у тебя через впн шлются и тебя отрубает от сервера.

Bers666 ★★★★★
()
Ответ на: комментарий от Suntechnic

Я не могу управлять сервером VPN - у меня нет доступа к нему.

Но можете управлять клиентом.

anc ★★★★★
()
Ответ на: комментарий от Suntechnic

Если я правильно распарсил и вам не нужно, что бы на клинте устанавливался defgw который пушиться с севера на который вы не можите повлиять, то достаточно добавить в конфиг клиента redirect-gateway !ipv4 Соответственно если вам нужно, что бы какие-то конкретные хосты/подсети роутились в тунель ovpn то добавляем их в конфиг клиента, пример route 1.2.0.0 255.255.0.0

anc ★★★★★
()
Ответ на: комментарий от Bers666

Перед запуском опенвпн, сделать полиси бэйсд роутинг, чтоб ответы на входящие соединения, посылались через основной линк.

Это мне неочень понятно - я не настоящий девопс. Сейчас я добавил в конфиг route-nopull и тонель поднимается, но ничего не рвется. Я так понимаю теперь весь трафик идет мимо VPN. Как завернуть в него только определенные хосты?

Suntechnic ★★★★★
() автор топика
Ответ на: комментарий от anc

Я добавил route-nopull. Работает.

Теперь я так понимаю нужно добавить роуты к серваку на который надо через VPN ходить. Как это сделать-то?

route 1.2.0.0 255.255.0.0 - что здесь что? 1.2.0.0 - это просто ip куда я хочу черзе VPN попадать?

Но если я так делаю, то получаю при подключении:

Wed Jun 16 19:46:41 2021 us=53118 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Jun 16 19:46:41 2021 us=53138 /sbin/ip link set dev tun0 up mtu 1400
Wed Jun 16 19:46:41 2021 us=55780 /sbin/ip addr add dev tun0 local 10.30.1.6 peer 10.30.1.5
Wed Jun 16 19:46:41 2021 us=56983 /sbin/ip route add 34.117.59.81/16 via 10.30.1.5
Error: Invalid prefix for given prefix length.
Wed Jun 16 19:46:41 2021 us=58122 ERROR: Linux route add command failed: external program exited with error status: 2
Wed Jun 16 19:46:41 2021 us=58169 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jun 16 19:46:41 2021 us=58187 Initialization Sequence Completed

Suntechnic ★★★★★
() автор топика
Ответ на: комментарий от Suntechnic

Блин, я понял - у меня биты за пределами маски. Конечно надо было подсеть добавлять а не конкретный адрес!

Suntechnic ★★★★★
() автор топика
Ответ на: комментарий от Suntechnic

route 1.2.0.0 255.255.0.0 - что здесь что? 1.2.0.0 - это просто ip куда я хочу черзе VPN попадать?

1.2.0.0 - сеть
255.255.0.0 - маска
Если нужен конкретный хост соотвественно прописываем маску 255.255.255.255. Пример для хоста 1.2.3.4
route 1.2.3.4 255.255.255.255

Но если я так делаю, то получаю при подключении:
/sbin/ip route add 34.117.59.81/16 via 10.30.1.5
Error: Invalid prefix for given prefix length.

Логично. Смотри ответ выше. Вы указали конкретный хост 34.117.59.81 с префиксом /16. Тут должна быть либо сеть 34.117.0.0/16 (маска 255.255.0.0) либо хост 34.117.59.81/32 (маска 255.255.255.255) в зависимости от того чего достигнуть хотите.

anc ★★★★★
()

Если при подключении к VPN подменяется маршрут по умолчанию, то перед подключением добавь статические маршруты до через текущий шлюз до серверов с которых ты осуществляешь подключение.

Ну и вычить правило про тся и ться.

А то ты спрашиваешь не как подключиТЬся, а спрашиваешь сможет ли КАК подключиться.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.