LINUX.ORG.RU
решено ФорумAdmin

OpenVPN маршрутизация

 , ,


1

1

Добрый день!

Прошу помочь, с помощью мануалов пытаюсь настроить OpenVPN сервер на VPS. Задача простая, подключаемся к внешнему серверу, и через него выходим в интернет. Вот на последнем шаге я споткнулся.

Система CentOS 6.4x32 Openvpn 2.3.1

Конфиг сервера

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/easy-rsa/2.0/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Конфиг клиента

client
tls-client
verb 3
dev tun
proto udp
remote 46.19.37.162 1194
ca ca.crt
cert eva00.crt
key eva00.key
comp-lzo

netstat -rn

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
46.19.37.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
172.16.0.0      0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         46.19.37.1      0.0.0.0         UG        0 0          0 eth0

iptables -vn -L

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    5   210 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:1194
 3232  325K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    1    84 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    1    40 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  202 12180 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    4   184 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    0     0 ACCEPT     all  --  tap+   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  tun+   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  270 18323 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    0     0 ACCEPT     all  --  tap+   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  tun+   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       10.8.0.0/24          0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 3629 packets, 580K bytes)
 pkts bytes target     prot opt in     out     source               destination
net.ipv4.ip_forward = 1

Подключаюсь, прохожу авторизацию, пингую сервер 10.8.0.1 А вот все что за ним, нет.

Полагаю проблема в маршрутизации, но вот в чем именно не могу разобраться.

Спасибо )


Или форвардинг забыл, или нат. Пост не читал. Скучно.

thesis ★★★★★ ()

На сервере forwarding в /proc и iptables, и SNAT в iptables. На клиенте маршрут по умолчанию должен быть в «dev tun0».

mky ★★★★★ ()

нууу

скажите с внешнего сервера пингуется интернет? Покажите правила ната?

izvorot ()

push «route 10.8.0.0 255.255.255.0»

Это зачем ? Вроде как наоборот нужно сетку сервера пропихивать.

TEX ★★ ()

iptables -vn -L

Маскарад то для eth+ включен ?

TEX ★★ ()

Переделал все с нуля, заработало, причем добавил только одно правило

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

списываю на рукожопие.

Всем спасибо!

shur1k ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.