сервер openvpn за wifi-роутером

[lilodes]

Добрый день! Неделю бьемся над настройкой openvpn, прошу о помощи)

Имеем вайфай роутер (ip 46.23.*.*, NAT, весь офис ходит в интернет, сетка 192.168.1.0/24)
за ним на адресе 192.168.1.118 стоит openvpn (debian 2.6.32-5-amd64).
Задача подключать удаленных клиентов, чтобы они могли ходить  в интернет через сервер openvpn (192.168.1.118)

Настройки 192.168.1.118 (server.conf):

Код Выделить Развернуть


mode server
daemon vpn-server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-server
tls-auth ta.key 0
cipher DES-EDE3-CBC
server 11.0.0.0 255.255.255.0
push "redirect-gateway"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
#user nobody
#group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
mute 20
local 192.168.1.118
#client-config-dir ccd
#route 11.0.0.0 255.255.255.0


ifconfig-a
route -n
iptables-save во вложении (извините что не кодом)

Конфигурация клиента:

Код Выделить Развернуть


client
remote 46.23.*.*
port 1194
dev tun
proto udp
#resolv-retry infinite
#nobind
#pull
#user nobody
#group nogroup
persist-key
persist-tun
ping 10
ca C:\\ssl\\ca.crt
cert C:\\ssl\\user.crt
key C:\\ssl\\user.key
tls-client
tls-auth C:\\ssl\\ta.key 1
cipher DES-EDE3-CBC
#comp-lzo
#mute 20
verb 3
log C:\\ssl\\openvpn.log

На роутере настроен форвардинг порта 1194 на 192.168.1.118

Клиент (windows 7) с сервером соединяется без проблем, получает адрес 11.0.0.6.
route print показывает что шлюзом становится 11.0.0.5
Ну и сам затык: с клиента ни шлюз 11.0.0.5 ни внешние адреса (8.8.8.8 например) не пингуются.

Подозреваю, проблема в том, что сервер openvpn стоит за роутером, имеет "серый" адрес, поэтому затык с маршрутизацией. Не понятно, почему не пингуется шлюз на клиенте 11.0.0.5.
Пробовал в iptables вместо Маскарад прописывать

Код Выделить Развернуть

iptables -t nat -A POSTROUTING -s 11.0.0.0/24 -j SNAT –to-source 192.168.1.118 - не помогло...

Подскажите, куда копать, что не так.
Заранее СПС))

[ihammers]

А перенаправление настроено?

Код Выделить Развернуть

net.ipv4.ip_forward=1

[lilodes]

Да настроено

[ihammers]

Должно быть что-то тапи такого, где eth0 туда куда перенаправлять:

Код Выделить Развернуть

-A POSTROUTING -s 11.0.0.0/24 -o eth0 -j MASQUERADE
У вас на самом шлюзе нормально работает ping и другие команды? Если да, то проблема в перенаправлении патока данных от openvpn до шлюза.

[lilodes]

на роутере пинг закрыт.

[ihammers]

на роутере пинг закрыт.

А другие команды? Что-нибудь скачать, обновить?

[lilodes]

только пинг. у пользователей которые выходят в инет через роутер все скачивается, обновляется, торрент работает.

[ihammers]

только пинг. у пользователей которые выходят в инет через роутер все скачивается, обновляется, торрент работает.

Интересуют не работа пользователей через роутер, а работа (возможность скачивать, обновлять систему) машины на которой установлен openvpn.

Если система на которой установлен сервер openvpn не ходит "нормально" в инет, то проблема в этом. Нужно настроить работу самой системы, а потом проверять перенаправление пакетов.

PS: а почему ядро 2.6, а не выше? Установлена squeezy?
PS:: возможно одним из решением вашей проблемы, может быть установка wheezy.

[lilodes]

Всем доброго дня... проблема решилась, думаю будет полезно кому-нибудь
На сервере
1.поменял в конфиге адресацию с 11.0.0.0/24 на стандартную по умолчанию для openvpn 10.8.0.0/24
2.убил все правила в iptables
Прописал потом такие:

Код Выделить Развернуть

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.1.118
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

3. на клиент добавил(раскомментировал) параметр pull

и пинги пошли)) всем спасибо, тему можно закрывать.