Как настроить роутинг в openvpn через клиента?

0

1

Есть комп 10.1.1.11

eth1 - 10.1.1.11/24
gateway - 10.1.1.100

виртуалка с openvpn (сервер)

Настройка интерфейса:

eth1 - 10.1.1.100/24
gateway - 10.1.1.1 (порты для openvpn проброшены)
tun0 - inet 10.7.7.1 peer 10.7.7.2/32 scope global tun0

#route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.1.1.1        0.0.0.0         UG    0      0        0 eth1
10.7.7.0        10.7.7.2        255.255.255.0   UG    0      0        0 tun0
10.7.7.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Клиент openvpn:

tun0 - inet 10.7.7.72 peer 10.7.7.1/32 scope global tun0
eth1 - внешний белый ip

В ccd на сервере openvpn явно указан ip для клиента 10.7.7.72

ifconfig-push 10.7.7.72 10.7.7.1

на 10.1.1.1 - роутер. С белым ip.

Клиент openvpn 10.7.7.72 пингуется, как с компа 10.1.1.11, так и с сервера впн. С клиента пинг тоже идёт, как на комп 10.1.1.11, так и на сервер 10.1.1.100 и 10.7.7.1

Вопрос: как перенаправить весь трафик с 10.1.1.11 через клиента 10.7.7.72 во внешку ?

Задавая правила на сервере vpn:

ip rule add from 10.1.1.11/32 table 120
ip route add default via 10.7.7.72 dev tun0 table 120

получаю ошибку: Error: Nexthop has invalid gateway.

Если via 10.7.7.2 - то как тогда на 10.7.7.72 отправлять ?

iptables на сервере и клиенте прописаны.

←	Пустой lsusb на raspberry pie 4

Как организовать оверлейную сеть на старых Mikrotik

→

tun0 - inet 10.7.7.72 peer 10.7.7.1/32 scope global tun0

Вот и ответ. topology = subnet запилите или на tap поменяйте, у него это из каробки.

anc ★★★★★
(14.02.26 23:37:12 MSK)

Ответ на: комментарий от anc 14.02.26 23:37:12 MSK

Этого недостаточно.

Ему в ccd надо еще и iroute 0.0.0.0/0 указывать

Вообще же для таких целей самое правильное и общепринятое - это запилить точка-точка а не клиент-сервер.

no-dashi-v2 ★★★★
(15.02.26 11:38:41 MSK)

Ответ на: комментарий от no-dashi-v2 15.02.26 11:38:41 MSK

Ему в ccd надо еще и iroute 0.0.0.0/0 указывать

Да, забыл про это :(

Вообще же для таких целей самое правильное и общепринятое - это запилить точка-точка а не клиент-сервер.

Точки могут быть за nat-ом, т.е. как минимум придется stun сервер поднимать.

anc ★★★★★
(15.02.26 16:37:22 MSK)

Ответ на: комментарий от anc 15.02.26 16:37:22 MSK

Нат тут никак не влияет, это же опенвпн, в нем с этим проще. Если работает клиент-сервер, то и точка-точка поднимется.

no-dashi-v2 ★★★★
(15.02.26 16:54:53 MSK)

Ответ на: комментарий от no-dashi-v2 15.02.26 16:54:53 MSK

Для соединения к точке вы какой адрес пропишите?

anc ★★★★★
(15.02.26 16:58:41 MSK)

Ответ на: комментарий от anc 15.02.26 16:58:41 MSK

Пример:

Хост 1 (192.168.0.2/24)

Router+NAT_1 (внутренняя 192.168.0.1/24 внешняя 1.2.3.4)

интернет

Router+NAT_2 (внешняя 5.6.7.8, внутренняя 192.168.1.1/24)

Хост 2 (192.168.1.2/24)

Для того чтобы эта схема заработала по UDP, тебе хватит настройки одного NAT, пример:

Хотим сделать хост 1 «клиентом» а хост 2 «сервером»

Тогда на хосте 2 пишешь

local 192.168.1.2 5599
proto udp

на хосте 1 пишешь

remote 5.6.7.8 6788
proto udp

На раутере2 настраиваем DNAT

iptables -A PREROUTING -t nat -p udp -i extIface --dport 6788 -j 192.168.1.2:5599

Всё работает и никакого STUN. OpenVPN достаточно умен чтобы понять когда ему следует просто ждать инициирующего пакета (есть local, нет remote) а когда пытаться долбиться (есть remote, нет local). Ну и комбо - есть и remote и local, тогда долбиться с указанного IP.

no-dashi-v2 ★★★★
(15.02.26 17:32:19 MSK)

Ответ на: комментарий от no-dashi-v2 15.02.26 17:32:19 MSK

на хосте 1 пишешь
remote 5.6.7.8 6788

ЧТД. Один белый адрес в этой схеме таки присутствует.

anc ★★★★★
(15.02.26 17:51:57 MSK)

Ответ на: комментарий от anc 15.02.26 17:51:57 MSK

С белыми IP проблем нет. Спасибо всем, всё заработало.

Поменял на tap. В ipp.txt - прописал IP адреса для всех клиентов. В частности:

cient-m,10.7.7.72

В ccd cient-m:

iroute 0.0.0.0/0

Правило:

ip route add default via 10.7.7.72 dev tap0 table 120

применяется без ошибки и трафик уходит на этот шлюз по умолчанию.

На клиенте, пишем правила:

iptables -A FORWARD -o tap0 -j ACCEPT
iptables -A OUTPUT -o tap0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.7.7.0/24 -o eth0 -j MASQUERADE

И трафик уходит с интерфейса eth0 дальше, на шлюз по умолчанию с той машины.

chall
(15.02.26 18:13:31 MSK) автор топика

Ответ на: комментарий от chall 15.02.26 18:13:31 MSK

Поменял на tap. В ipp.txt - прописал IP адреса для всех клиентов.

Лучше так не делать, ipp.txt динамический, для статики создайте в каталоге ccd файлиги на каждого клиента с параметром ifconfig-push...

anc ★★★★★
(15.02.26 19:00:42 MSK)

Ответ на: комментарий от anc 15.02.26 17:51:57 MSK

А типа у стуна нет белого адреса? Смешно. Без хотя бы одного белого адреса эта схема не работает вообще. И даже стун никакой не поможет, потому что у него внезапно, тоже белый адрес.

Возможно ты хотел сказать «без фиксированного белого адреса», но эта проблема решается всякими дднс и сервисдискавери. Так что без фиксированного ip завести можно. Для подключения к домашнему впн использую дднс, опенвпн жив

no-dashi-v2 ★★★★
(15.02.26 19:18:35 MSK)

Ответ на: комментарий от no-dashi-v2 15.02.26 19:18:35 MSK

А типа у стуна нет белого адреса?

А я о чем? Без белого адреса никак.

anc ★★★★★
(15.02.26 19:38:05 MSK)

Ответ на: комментарий от anc 15.02.26 19:00:42 MSK

После переключения с tun на tap, строчка в конфиге ccd:

ifconfig-push 10.7.7.72 10.7.7.1

перестала работать, почему-то…

chall
(15.02.26 21:00:53 MSK) автор топика

Ответ на: комментарий от chall 15.02.26 21:00:53 MSK

ifconfig-push 10.7.7.72 255.255.255.0(ну или какая там у вас маска)

anc ★★★★★
(16.02.26 19:07:05 MSK)

←	Пустой lsusb на raspberry pie 4

Admin

Как организовать оверлейную сеть на старых Mikrotik

→

Похожие темы