сервер openvpn за wifi-роутером

Автор lilodes, 16 июля 2014, 14:23:44

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

lilodes

Добрый день! Неделю бьемся над настройкой openvpn, прошу о помощи)

Имеем вайфай роутер (ip 46.23.*.*, NAT, весь офис ходит в интернет, сетка 192.168.1.0/24)
за ним на адресе 192.168.1.118 стоит openvpn (debian 2.6.32-5-amd64).
Задача подключать удаленных клиентов, чтобы они могли ходить  в интернет через сервер openvpn (192.168.1.118)

Настройки 192.168.1.118 (server.conf):

mode server
daemon vpn-server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-server
tls-auth ta.key 0
cipher DES-EDE3-CBC
server 11.0.0.0 255.255.255.0
push "redirect-gateway"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
#user nobody
#group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
mute 20
local 192.168.1.118
#client-config-dir ccd
#route 11.0.0.0 255.255.255.0


ifconfig-a
route -n
iptables-save во вложении (извините что не кодом)

Конфигурация клиента:

client
remote 46.23.*.*
port 1194
dev tun
proto udp
#resolv-retry infinite
#nobind
#pull
#user nobody
#group nogroup
persist-key
persist-tun
ping 10
ca C:\\ssl\\ca.crt
cert C:\\ssl\\user.crt
key C:\\ssl\\user.key
tls-client
tls-auth C:\\ssl\\ta.key 1
cipher DES-EDE3-CBC
#comp-lzo
#mute 20
verb 3
log C:\\ssl\\openvpn.log


На роутере настроен форвардинг порта 1194 на 192.168.1.118

Клиент (windows 7) с сервером соединяется без проблем, получает адрес 11.0.0.6.
route print показывает что шлюзом становится 11.0.0.5
Ну и сам затык: с клиента ни шлюз 11.0.0.5 ни внешние адреса (8.8.8.8 например) не пингуются.

Подозреваю, проблема в том, что сервер openvpn стоит за роутером, имеет "серый" адрес, поэтому затык с маршрутизацией. Не понятно, почему не пингуется шлюз на клиенте 11.0.0.5.
Пробовал в iptables вместо Маскарад прописывать
iptables -t nat -A POSTROUTING -s 11.0.0.0/24 -j SNAT –to-source 192.168.1.118 - не помогло...

Подскажите, куда копать, что не так.
Заранее СПС))

ihammers

А перенаправление настроено?
net.ipv4.ip_forward=1
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

lilodes


ihammers

Должно быть что-то тапи такого, где eth0 туда куда перенаправлять:
-A POSTROUTING -s 11.0.0.0/24 -o eth0 -j MASQUERADE
У вас на самом шлюзе нормально работает ping и другие команды? Если да, то проблема в перенаправлении патока данных от openvpn до шлюза.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

lilodes


ihammers

Цитата: lilodes от 18 июля 2014, 16:07:20
на роутере пинг закрыт.
А другие команды? Что-нибудь скачать, обновить?
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

lilodes

только пинг. у пользователей которые выходят в инет через роутер все скачивается, обновляется, торрент работает.

ihammers

Цитата: lilodes от 21 июля 2014, 06:16:16
только пинг. у пользователей которые выходят в инет через роутер все скачивается, обновляется, торрент работает.
Интересуют не работа пользователей через роутер, а работа (возможность скачивать, обновлять систему) машины на которой установлен openvpn.

Если система на которой установлен сервер openvpn не ходит "нормально" в инет, то проблема в этом. Нужно настроить работу самой системы, а потом проверять перенаправление пакетов.

PS: а почему ядро 2.6, а не выше? Установлена squeezy?
PS:: возможно одним из решением вашей проблемы, может быть установка wheezy.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

lilodes

Всем доброго дня... проблема решилась, думаю будет полезно кому-нибудь
На сервере
1.поменял в конфиге адресацию с 11.0.0.0/24 на стандартную по умолчанию для openvpn 10.8.0.0/24
2.убил все правила в iptables
Прописал потом такие:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.1.118
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

3. на клиент добавил(раскомментировал) параметр pull

и пинги пошли)) всем спасибо, тему можно закрывать.