LINUX.ORG.RU
ФорумSecurity

openvpn on debian squeeze


0

1

помогите с конфигами, вроде все настроил но после подключения к серверу, у клиента нет интернета

сервер debian squeeze клиент windows xp\7

конфиг на сервере:

daemon proto udp

local x.x.x.x #ip адрес сервера

dev tap

port 2012

tls-server

tls-auth /etc/openvpn/easy-rsa/2.0/keys/ta.key 0

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt

cert /etc/openvpn/easy-rsa/2.0/keys/server.crt

key /etc/openvpn/easy-rsa/2.0/keys/server.key

dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

mode server

server 10.7.0.0 255.255.255.0

push «redirect-gateway» ###

push «route 10.7.0.0 255.255.255.0» ###

push «dhcp-option DNS 8.8.8.8»

#duplicate-cn

cipher DES-EDE3-CBC

#cipher none

user root

group root

persist-tun

persist-key

comp-lzo

keepalive 10 120

verb 3

#client-to-client

клиент:

dev tap

proto udp

remote x.x.x.x # ip адрес сервера port 2012

client

resolv-retry infinite

ca ca.crt

cert client02.crt

key client02.key

tls-client

tls-auth ta.key 1

cipher DES-EDE3-CBC

ns-cert-type server

comp-lzo

persist-key

persist-tun

verb 3

route-method exe

win-sys 'env'

route-delay 2

в /etc/sysctl.conf включил

net.ipv4.ip_forward=1

в /etc/rc.local добавил

/sbin/iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE

/sbin/iptables -A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT

exit 0

в чем проблема? подправьте пожалуйста конфиги, где это нужно



Последнее исправление: kokolorka (всего исправлений: 4)

Ответ на: комментарий от kokolorka

*мимокрокодил*у клиента не wi-fi часом? На клиентской машине openvpn какие-то логи ведь пишет, да?

kir64 ★★
()

Т.е. ты перенаправляешь дефолтынй гейтвей на впн-сервер?
Если не ошибаюсь, первого правила для iptables должно хватить для ната. В остальных правилах у меня сомнения в части tun0. Мне кажется там должно быть tap0, ведь у тебя в конфиге «dev tap». Попробуй оставить только первое правило.

winlook38 ★★
()
Ответ на: комментарий от winlook38

в /etc/rc.local поменял tun0 на tap0 в трех правилах, эффекта ноль оставил только первое правило, эффекта ноль

kokolorka
() автор топика

в /etc/rc.local добавил
/sbin/iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE

А ты в консоли пробовал это набирать? Не ругается на отсутствие цепочки?

winlook38 ★★
()
Ответ на: комментарий от winlook38

выполняется без ошибок и любых сообщений

kokolorka
() автор топика
Ответ на: комментарий от kokolorka

Пингани какой-нибудь 8.8.8.8 с рабочей станции, а на vpn-сервере tcpdump'ом глянь что происходит. По идее, в твоем случае должны приходить пакеты с рабочей станции и никуда не уходить. Если не приходят, нужно разбираться с рабочей станцией или с iptables на сервере. Если приходят, но дальше не идут, я думаю, iptables нужно настраивать. Я в iptables не силен, но покажи, как он у тебя сейчас настроен.
iptables -L
iptables -L -t nat

winlook38 ★★
()
Ответ на: комментарий от winlook38

не успеваю проверить, но появилась идея

/sbin/iptables -t nat -A POSTROUTING -s 10.7.0.0/24 -o venet0 -j SNAT --to-source=46.4.ab.cd

здесь 46.4.ab.cd возможно нужно указывать не адрес с которым я соединяюсь по ssh, а адрес который прописан как gateway на сервере? тоесть куда он сам идет за интернетом?

.

root@static:~# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

.

root@static:~# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

SNAT all  — 10.7.0.0/24 anywhere to:46.4.х.х

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

kokolorka
() автор топика
Ответ на: комментарий от kokolorka

tcpdump что говорит? iptables у меня выглядит так же. --to-source это параметр для SNAT, указывающий на какой адрес подменять адрес источника в натируемых пакетах - т.е. в твоем случае на внешний адрес твоего vpn-сервера.

winlook38 ★★
()
Ответ на: комментарий от winlook38

какой внешний адрес на моем сервере? тот к которому я соединяюсь по ssh?

вот tcpdump на tap0 интерфейсе пинг 8.8.8.8 и попытка открыть whoer.net

11:24:08.986951 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:09.067694 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:10.488042 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:11.990421 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:13.491672 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:14.992324 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:15.996322 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:16.995378 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:17.998504 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:18.942818 IP 10.7.0.2 > 8.8.8.8: ICMP echo request, id 768, seq 2304, length 40

11:24:19.023133 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:19.749867 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:20.501367 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:21.252189 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:22.022529 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:22.774154 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:23.525660 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:24.276441 IP 10.7.0.2.137 > 10.7.0.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST

11:24:24.366235 IP 10.7.0.2 > 8.8.8.8: ICMP echo request, id 768, seq 2560, length 40

11:24:25.049070 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:25.130065 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:25.130242 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:24:29.373763 IP 10.7.0.2 > 8.8.8.8: ICMP echo request, id 768, seq 2816, length 40

11:24:34.381992 IP 10.7.0.2 > 8.8.8.8: ICMP echo request, id 768, seq 3072, length 40

11:25:09.653900 IP 10.7.0.2.60490 > 8.8.8.8.53: 8075+ A? whoer.net. (27)

11:25:10.654230 IP 10.7.0.2.60490 > 8.8.8.8.53: 8075+ A? whoer.net. (27)

11:25:10.735361 IP 10.7.0.2.1381 > 199.180.248.51.80: Flags , seq 630405853, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:10.926146 IP 10.7.0.2.1382 > 199.180.248.51.80: Flags , seq 1542055506, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:13.609603 IP 10.7.0.2.1381 > 199.180.248.51.80: Flags , seq 630405853, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:13.907525 IP 10.7.0.2.1382 > 199.180.248.51.80: Flags , seq 1542055506, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:19.618522 IP 10.7.0.2.1381 > 199.180.248.51.80: Flags , seq 630405853, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:19.916498 IP 10.7.0.2.1382 > 199.180.248.51.80: Flags , seq 1542055506, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:25.055881 IP 10.7.0.2.138 > 10.7.0.255.138: NBT UDP PACKET(138)

11:25:31.939858 IP 10.7.0.2.1383 > 199.180.248.51.80: Flags , seq 1938941791, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:33.670852 IP 10.7.0.2.60847 > 8.8.8.8.53: 37776+ A? http://www.stopbadware.org. (37)

11:25:34.668448 IP 10.7.0.2.60847 > 8.8.8.8.53: 37776+ A? http://www.stopbadware.org. (37)

11:25:34.937121 IP 10.7.0.2.1383 > 199.180.248.51.80: Flags , seq 1938941791, win 64240, options [mss 1336,nop,nop,sackOK], length 0

11:25:40.946069 IP 10.7.0.2.1383 > 199.180.248.51.80: Flags , seq 1938941791, win 64240, options [mss 1336,nop,nop,sackOK], length 0

kokolorka
() автор топика
Ответ на: комментарий от kokolorka

Внешним адресом будет тот, к которому у тебя цепляется vpn-киент. Ведь ты этим адресом хочешь прикинуться, настраивая nat.
Что-то у меня идеи подходят к концу. Дай еще на всякий случай route -n с сервера.

winlook38 ★★
()
Ответ на: комментарий от winlook38

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

46.4.199.224 0.0.0.0 255.255.255.224 U 0 0 0 eth0

10.7.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0

0.0.0.0 46.4.199.225 0.0.0.0 UG 0 0 0 eth0

kokolorka
() автор топика
Ответ на: комментарий от kokolorka

И попроси модераторов затереть ip, раз уж ты до этого его так старательно замазывал.

winlook38 ★★
()
Ответ на: комментарий от winlook38

все это и было решение, до этого я не понимал что venet0 это сетевой интерфейс. все поменя, заработало

kokolorka
() автор топика
Ответ на: комментарий от kokolorka

Ты, видимо, руководствовался мануалом для владельцев VPS.

winlook38 ★★
()
3 мая 2013 г.

Не понял, почему «Security»?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security