Добрый день, есть VPS на котором поднят Open VPN с конфигом:
log-append /var/log/openvpn.log
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
client-config-dir ccd
route 192.168.0.0 255.255.255.0
#push "route 192.168.0.0 255.255.255.0"
cipher BF-CBC
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
verb 4
iroute 192.168.0.0 255.255.255.0
iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 16509 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 16514 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5432 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i venet0:0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o venet0:0 -j ACCEPT
-A FORWARD -i tun0 -p tcp -j ACCEPT
-A FORWARD -i tun0 -p udp -j ACCEPT
-A FORWARD -i tun0 -p tcp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o venet0:0 -j ACCEPT
-A FORWARD -i venet0:0 -o tun0 -j ACCEPT
cat /proc/sys/net/ipv4/ip_forward
1
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1777 errors:0 dropped:0 overruns:0 frame:0
TX packets:1777 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:593297 (579.3 KiB) TX bytes:593297 (579.3 KiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:1570 errors:0 dropped:0 overruns:0 frame:0
TX packets:386 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:197918 (193.2 KiB) TX bytes:48728 (47.5 KiB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: 2604:2880::e18d:6c30/128 Scope:Global
inet6 addr: 2604:2880::97fe:1cea/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:35303 errors:0 dropped:0 overruns:0 frame:0
TX packets:28504 errors:0 dropped:1310 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3617174 (3.4 MiB) TX bytes:3569685 (3.4 MiB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:A.B.C.D (белый IP VPS) P-t-P:A.B.C.D (белый IP VPS) Bcast:A.B.C.D (белый IP VPS) Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
client
remote A.B.C.D (белый IP VPS)
ca ca.crt
cert client_test.crt
key client_test.key
cipher BF-CBC
comp-lzo yes
dev tun
proto udp
nobind
auth-nocache
script-security 2
persist-key
persist-tun
user openvpn
group openvpn
собственно, проблема: Клиент соединяется с серверов, друг друга пингуют, но трафик в тунyель не идет, хотя маршрут вроде как есть.:
#server
route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
link-local * 255.255.0.0 U 1002 0 0 venet0
default * 0.0.0.0 U 0 0 0 venet0
#client
table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.8.0.5 0.0.0.0 UG 0 0 0 tun0
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
A.B.C.D(IP VPS) WL-BCAEC5C3B 195 255.255.255.255 UGH 0 0 0 em1
192.168.0.0 * 255.255.255.0 U 1 0 0 em1
Вместо пинговс клиента получаю:
From 10.8.0.1 icmp_seq=1 Destination Host Prohibited
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=273 ms
ping adr.v.p.s
64 bytes from adr.v.p.s: icmp_seq=1 ttl=38 time=260 ms
Mon Jul 29 15:31:07 2013 us=308230 client_test/213.87.143.185:44455 MULTI: bad source address from client [192.168.0.63], packet dropped
Mon Jul 29 15:31:20 2013 us=592736 client_test/213.87.143.185:44455 MULTI: bad source address from client [192.168.0.63], packet dropped
Гугл по этой ошибке говорит добавить маршрут с локальной подсетью 192.168.0.0, но у меня то маршрут этот прописан уже в ccd/client.conf
Лично я вангую проблемы с iptables т.к. я с ними не очень дружу, а в данном случае они еще и настроенны до меня были другим человеком.
Заранее благодарю за помощь и понимание. Я знаю что решение лежит на поверхности, но после 32 часов без сна башка уже никакая. Потому и прошу вашей помощи, лорчане.
