LINUX.ORG.RU

Помогите новичку с openvpn на Ubuntu

 


0

1

Всем доброго!

Поставили задачу скрыть реальный айпи с некоторых компов в конторе. Купили VDSку и покурили Гугл. В результате появилась на VDSе Ubuntu 16 и клиент на компе с виндой. Клиент коннектиться к VDSу получает себе айпи сетки tap0 аля 192.168.1.1 но при заходе на 2ip отображается все равно реальный айпи конторы, а не VDSки. Курение Гугла дальше привело к нескольким понятиям: Скорее всего у меня не прокинут NAT или маршрутизация. Подскажите плиз что надо сделать, инфы много очень куда лезть не понимаю.

Конфиг сервера:


port 1194
proto tcp
dev tap0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem

server 192.168.1.0 255.255.255.0
route 192.168.1.0 255.255.255.0
push «route 192.168.0.1 255.255.255.0»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»

ifconfig-pool-persist /etc/openvpn/ipp.txt

keepalive 10 120
comp-lzo
persist-key
persist-tun

tun-mtu 1500

status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3

PS Добавляю в конф сервера эти строки:
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 208.67.222.222»
push «dhcp-option DNS 208.67.220.220»
конект происходит, но на компе нет инета.


Ответ на: комментарий от XMs

# Generated by iptables-save v1.6.0 on Mon Apr 15 13:10:50 2019 *filter :INPUT ACCEPT [751:80368] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [726:134717] COMMIT # Completed on Mon Apr 15 13:10:50 2019

Ch ()
Ответ на: комментарий от Ch

А теперь ещё раз, но так, чтобы это можно было читать. Ссылку на описание языка разметки я тебе уже скинул

XMs ★★★★★ ()
Ответ на: комментарий от XMs

Сори!

# Generated by iptables-save v1.6.0 on Mon Apr 15 13:10:50 2019
*filter :INPUT ACCEPT [751:80368]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [726:134717]
COMMIT
# Completed on Mon Apr 15 13:10:50 2019

Ch ()
Ответ на: комментарий от Ch

NAT не настроен. Три момента: во-первых, убедись, что в /etc/sysctl.conf включен ip4-forwarding (и проверь выводом sysctl -a). Во-вторых, покажи таблицу маршрутизации на клиентах (хотя бы на одном). В-третьих, дай вывод ip address

XMs ★★★★★ ()
Ответ на: комментарий от XMs

Привет!
вот надыбал:

/etc/sysctl.conf
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

в sysctl -a есть строка
net.ipv4.conf.all.forwarding = 1

Маршруты на клиенте при включеном ВПН

C:\Users\s.l*****o>route PRINT
===========================================================================
Список интерфейсов
15...00 ff e6 90 95 02 ......TAP-Windows Adapter V9
12...30 5a 3a 4b dc 72 ......Realtek PCIe GBE Family Controller
16...0a 00 27 00 00 10 ......VirtualBox Host-Only Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
29...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.59 10
0.0.0.0 128.0.0.0 192.168.1.1 192.168.1.4 20
94.250.254.245 255.255.255.255 192.168.0.1 192.168.0.59 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
128.0.0.0 128.0.0.0 192.168.1.1 192.168.1.4 20
172.16.2.2 255.255.255.255 192.168.0.1 192.168.0.59 10
192.168.0.0 255.255.255.0 On-link 192.168.0.59 266
192.168.0.59 255.255.255.255 On-link 192.168.0.59 266
192.168.0.255 255.255.255.255 On-link 192.168.0.59 266
192.168.1.0 255.255.255.0 On-link 192.168.1.4 276
192.168.1.4 255.255.255.255 On-link 192.168.1.4 276
192.168.1.255 255.255.255.255 On-link 192.168.1.4 276
192.168.56.0 255.255.255.0 On-link 192.168.56.1 266
192.168.56.1 255.255.255.255 On-link 192.168.56.1 266
192.168.56.255 255.255.255.255 On-link 192.168.56.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.59 266
224.0.0.0 240.0.0.0 On-link 192.168.1.4 276
224.0.0.0 240.0.0.0 On-link 192.168.56.1 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.59 266
255.255.255.255 255.255.255.255 On-link 192.168.1.4 276
255.255.255.255 255.255.255.255 On-link 192.168.56.1 266
===========================================================================
Постоянные маршруты:
Отсутствует


ip address
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 52:54:00:81:5a:f0 brd ff:ff:ff:ff:ff:ff
inet 94.250.254.245 peer 10.0.0.1/32 brd 94.250.254.245 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::5054:ff:fe81:5af0/64 scope link
valid_lft forever preferred_lft forever
3: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/ether 36:2e:42:73:e9:76 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global tap0
valid_lft forever preferred_lft forever
inet6 fe80::342e:42ff:fe73:e976/64 scope link
valid_lft forever preferred_lft forever


Ch ()
Ответ на: комментарий от Ch

Ты б хоть внешний айпишник убрал, а то ж понабегут всякие.

У тебя основной маршрут по умолчанию остался старым. Тебе надо, чтобы он у тебя вёл на VPN-сервер, где тебе надо будет настроить SNAT. Но тут такой момент, маршрут ДО VPN-сервера должен быть прописан отдельно и идти через провайдера

XMs ★★★★★ ()
Ответ на: комментарий от Ch

который на сервере?

Да.


подскажи плиз что там менять хоть?

Параметры маршрутизации. Сходу не подскажу, какие именно, стоит просто поэкспериментировать

XMs ★★★★★ ()

PS Добавляю в конф сервера эти строки:
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 208.67.222.222»
push «dhcp-option DNS 208.67.220.220»
конект происходит, но на компе нет инета.

Так NAT надо настроить на сервере

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
(и как-нибудь это в автозагрузку)

TheAnonymous ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.