Настройка OpenVPN c IP форвардингом
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Настройка OpenVPN c IP форвардингом - 2012-04-18 23:33:16.023333
|
|
|
furiousangel
Сообщений: 1116
Оценки: 0
Присоединился: 2005-05-28 06:31:47
|
Добрый день. Не думал что буду задавать такие вопросы, но…
Проблема следуюущая. Нужно настроить OpenVPN сервер, чтоб трафик с клиентов форвардился через VPN тонель ( чтоб все запросы шли от vpn сервера).
Конфиг сервера
quote:
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/vpn_serv.crt
key keys/vpn_serv.key
dh keys/dh1024.pem
server 172.16.142.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
push "redirect-gateway def1 bypass-dhcp"
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 4
Настроил клиент. Судя по логам конект происходит. Интерфейс у клиента создается. Пинг на сервер идет. Но весь трафик идет не через впн тонель.
Сделал следуюущее
echo "1" > /proc/sys/net/ipv4/ip_forward
и добавил вклюение форвардинга в /etc/sysctl.conf
Добавил правило iptables
iptables -t nat -A POSTROUTING -o eth1 -j SNAT –to-source external_IP
Но чуда так и не произошло. Инет вобще отвалился, хотя заранее установленное подключение по ssh осталось. ПОмогите поднять пожалуйста. Если нужна дополнительная информация, то предоставлю. Заранее благодарен.
|
|
|
|
|
RE: Настройка OpenVPN c IP форвардингом - 2012-04-19 15:31:34.473333
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
quote:
push "redirect-gateway def1 bypass-dhcp"
Думаю что клиент этого не понимает по каким-то своим причинам.
Попробуй что-нить типа
push "route-gateway 172.16.142.1"
push "redirect-gateway" проверяй route или route print (не знаю на чем там у тебя клиенты)
|
|
|
|
|
RE: Настройка OpenVPN c IP форвардингом - 2012-04-19 18:46:34.310000
|
|
|
furiousangel
Сообщений: 1116
Оценки: 0
Присоединился: 2005-05-28 06:31:47
|
Сделал. Не помогает.
На данный момент надо настроить доступ себе. У меня debian.
Таблица маршрутов клиента до подключения.
quote:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
default * 0.0.0.0 U 1002 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
Таблица маршрутов после подключения
quote:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 172.16.142.1 0.0.0.0 UG 0 0 0 eth0
default * 0.0.0.0 U 1002 0 0 eth0
SERV;s IP 192.168.1.1 255.255.255.255 UGH 0 0 0 wlan0
link-local * 255.255.0.0 U 0 0 0 eth0
172.16.142.0 172.16.142.1 255.255.255.0 UG 0 0 0 eth0
172.16.142.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
Вот список интерфейсов на серве
quote:
eth1 Link encap:Ethernet HWaddr FF:FF:FF:FF:FF:FF
inet addr:192.168.210.108 Bcast:192.168.210.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3668 errors:0 dropped:0 overruns:0 frame:0
TX packets:776 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:270409 (264.0 KiB) TX bytes:88559 (86.4 KiB)
Interrupt:10 Base address:0x2000
eth1:0 Link encap:Ethernet HWaddr FF:FF:FF:FF:FF:FF
inet addr:EXT IP 1 Bcast:*.255.255.255 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0x2000
eth1:1 Link encap:Ethernet HWaddr FF:FF:FF:FF:FF:FF
inet addr:EXT IP 2 Bcast:*.255.255.255 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.142.1 P-t-P:172.16.142.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
И пинга на сервер нету по tun интерфейсу.(
updаtе: Перенастроил по этому мануалу .
Добавил правило как там: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
Пинги по впн на сервер идут. С сервера на клиент тоже.
И даже более того, когда при подключенном впн делаю трейсинг, то судя по всему траф идет через впн тоннель
quote:
traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 10.8.0.1 (10.8.0.1) 246.189 ms 250.450 ms 269.024 ms
2 192.168.210.1 (192.168.210.1) 270.532 ms 270.731 ms 270.856 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
…
Но инет так и не заводится. Я понимаю что это маскарадинг, но может надо еще правило для обратного трафика (от сервера клиентам)?
|
|
|
|
|
|
