Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Вопрос по openVPN  (Прочитано 3022 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн stim48

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Вопрос по openVPN
« : 12 Мая 2018, 10:03:47 »
День добрый.
Пытаюсь получить доступ к ресурсу через openVPN, имеется файл конфигурации "NNMClub.ovpn", пробовал и просто через терминал и через network-manager, соединение происходит, ip выдаётся, но сайт так и не заработал.
На винде с этим конфигом все нормально работает.
Думаю что то с маршрутами, подскажите что может быть не так.

Без VPN
ip route
default via 192.168.1.1 dev wls1 proto dhcp metric 600
169.254.0.0/16 dev wls1 scope link metric 1000
192.168.1.0/24 dev wls1 proto kernel scope link src 192.168.1.45 metric 600

Подключение через консоль
ip route
default via 192.168.1.1 dev wls1 proto dhcp metric 600
1.1.1.1 via 10.255.5.41 dev tun0
8.8.8.8 via 10.255.5.41 dev tun0
10.255.0.1 via 10.255.5.41 dev tun0
10.255.5.41 dev tun0 proto kernel scope link src 10.255.5.42
81.17.30.22 via 10.255.5.41 dev tun0
81.17.30.51 via 10.255.5.41 dev tun0
104.129.18.64/27 via 10.255.5.41 dev tun0
169.254.0.0/16 dev wls1 scope link metric 1000
192.168.1.0/24 dev wls1 proto kernel scope link src 192.168.1.45 metric 600


Подключение через network-manager
ip route
default via 192.168.1.1 dev wls1 proto dhcp metric 600
1.1.1.1 via 10.255.1.129 dev tun0 proto static metric 50
8.8.8.8 via 10.255.1.129 dev tun0 proto static metric 50
10.255.0.1 via 10.255.1.129 dev tun0 proto static metric 50
10.255.1.129 dev tun0 proto kernel scope link src 10.255.1.130 metric 50
81.17.30.22 via 10.255.1.129 dev tun0 proto static metric 50
81.17.30.51 via 10.255.1.129 dev tun0 proto static metric 50
104.129.18.64/27 via 10.255.1.129 dev tun0 proto static metric 50
169.254.0.0/16 dev wls1 scope link metric 1000
185.112.158.132 via 192.168.1.1 dev wls1 proto static metric 600
192.168.1.0/24 dev wls1 proto kernel scope link src 192.168.1.45 metric 600
192.168.1.1 dev wls1 proto static scope link metric 600

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #1 : 12 Мая 2018, 10:12:41 »
Трассировку до "сайта" дайте.
OpenWrt 19.07

Оффлайн stim48

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #2 : 12 Мая 2018, 11:40:27 »
До сайта который блокирован

без VPN
traceroute nnm-club.me
traceroute to nnm-club.me (5.3.3.17), 30 hops max, 60 byte packets
 1  _gateway (192.168.1.1)  1.006 ms  0.964 ms  1.410 ms
 2  10.79.255.254 (10.79.255.254)  5.029 ms  7.163 ms  8.648 ms
 3  lag-3-448.bgw01.lipetsk.ertelecom.ru (109.195.8.62)  3.811 ms  3.808 ms  3.786 ms
 4  188-234-152-7.ertelecom.ru (188.234.152.7)  7.469 ms  7.844 ms  7.818 ms
 5  188-234-152-6.ertelecom.ru (188.234.152.6)  7.776 ms  7.743 ms  7.716 ms
 6  188x186x153x17.static.cc-voronezh.ertelecom.ru (188.186.153.17)  7.689 ms  6.297 ms  6.259 ms
 7  5x3x3x17.static-business.iz.ertelecom.ru (5.3.3.17)  7.017 ms  6.972 ms  6.921 ms


С VPN
traceroute nnm-club.me
traceroute to nnm-club.me (5.3.3.17), 30 hops max, 60 byte packets
 1  _gateway (192.168.1.1)  0.983 ms  0.887 ms  1.169 ms
 2  10.79.255.254 (10.79.255.254)  7.289 ms  8.545 ms  17.568 ms
 3  lag-3-448.bgw01.lipetsk.ertelecom.ru (109.195.8.62)  2.991 ms  2.976 ms  2.955 ms
 4  188-234-152-7.ertelecom.ru (188.234.152.7)  6.994 ms  6.996 ms  6.999 ms
 5  188-234-152-6.ertelecom.ru (188.234.152.6)  8.273 ms  8.262 ms  8.241 ms
 6  188x186x153x17.static.cc-voronezh.ertelecom.ru (188.186.153.17)  8.222 ms  6.158 ms  6.127 ms
 7  5x3x3x17.static-business.iz.ertelecom.ru (5.3.3.17)  6.298 ms  6.280 ms  7.599 ms

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #3 : 12 Мая 2018, 12:34:11 »
stim48, сразу же
traceroute to nnm-club.me (5.3.3.17)
это ваш провinetnum:        5.3.0.0 - 5.3.255.255
...
org-name:       JSC "ER-Telecom Holding"
а вот пример правильного разрешенияdig +short @172.17.1.250 -p 9053 nnm-club.me assets.nnm-club.ws assets-ssl.nnm-club.ws nnm-club.ws
81.17.30.22
104.27.170.84
37.1.201.84
89.32.127.227
« Последнее редактирование: 12 Мая 2018, 12:38:40 от obormot »

Оффлайн MooSE

  • Старожил
  • *
  • Сообщений: 1110
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #4 : 12 Мая 2018, 12:42:10 »
Эр-Телеком подменяет ответы DNS. Если даже вы укажете другие DNS - эр-телеком всё равно будет подменять ответы. В итоге либо заворачивайте трафик DNS в VPN, либо начните использовать DNSCrypt.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #5 : 12 Мая 2018, 12:47:21 »
inetnum:        5.3.0.0 - 5.3.255.255
...
org-name:       JSC "ER-Telecom Holding"
stim48, стоит попробовать через IPv6, по идее провайдер его даёт абонентам.Может там не будет фильтрации.
Код: (text) [Выделить]
:~# traceroute -6 nnm-club.me
traceroute to nnm-club.me (2001:470:1f15:f1:6e6e:6d2d:636c:7562), 30 hops max, 80 byte packets
 1  2a03:ffff:ffff::1 (2a03:ffff:ffff::1)  3.818 ms  3.146 ms  2.486 ms
 2  2a04:ffff::1 (2a04:ffff::1)  3.368 ms  3.288 ms  3.207 ms
 3  2a00:1248:500e:1::21 (2a00:1248:500e:1::21)  6.166 ms  6.108 ms  6.051 ms
 4  2a00:1248::ff32:d7 (2a00:1248::ff32:d7)  21.567 ms  22.336 ms  21.675 ms
 5  10gigabitethernet1-3.core1.sto1.he.net (2001:7f8:d:fe::187)  23.913 ms  23.739 ms 10gigabitet
ernet1-2.core1.sto1.he.net (2001:7f8:d:ff::187)  23.657 ms
 6  100ge3-2.core1.ams1.he.net (2001:470:0:2b1::1)  44.158 ms  43.916 ms  43.449 ms
 7  tserv1.ams1.he.net (2001:470:0:7d::2)  49.273 ms  53.366 ms  48.861 ms
 8  ipv6.nnm-club.me (2001:470:1f15:f1:6e6e:6d2d:636c:7562)  52.327 ms * *
:~#
« Последнее редактирование: 12 Мая 2018, 12:51:09 от koshev »
OpenWrt 19.07

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #6 : 12 Мая 2018, 12:51:05 »
да можно наверное чуть по другому поступить: взять какой-нибудь паблик днс-сервер и запросы к nnm-club.me | .ws заворачивать на него
например такserver=/nnm-club.me/nnm-club.ws/208.67.220.220ну, а уж адрес этого сервера пускать через VPN

upd> уже ответили выше, но пусть будет
upd2> добавил пример с dnsmasq
« Последнее редактирование: 12 Мая 2018, 13:11:33 от obormot »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #7 : 12 Мая 2018, 13:39:13 »
тем более паблик-днс (8.8.8.8) тоже через VPN заворачивается

Оффлайн stim48

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #8 : 12 Мая 2018, 13:55:46 »
А на винде openVPN как то иначе работает? там проблем нет. просто на стационарнике Windows стоит, а на ноуте ubuntu. Только начал осваивать, разбираюсь, с терминами пока туго... Ткните на какую нибудь статейку.

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #9 : 12 Мая 2018, 14:23:15 »
stim48, даже при одинаковых файлах конфигов openvpn есть другие нюансы. Например, браузер под виндой может слать запросы на собственные серверы, в том числе и dnscrypt, игнорируя системные - Хром и клоны. Opera аналогично, плюс шлёт трафик в тунель (проверить легко, глянув свое расположение на каком-нибудь онлайн сервисе)
« Последнее редактирование: 12 Мая 2018, 14:25:29 от obormot »

Оффлайн Ubbuntu

  • Активист
  • *
  • Сообщений: 538
  • --мята x64 LTS 18.04/Gentoo/Микрософт W10
    • Просмотр профиля
    • Русские man-ы
Re: Вопрос по openVPN
« Ответ #10 : 12 Мая 2018, 14:39:30 »
ФЛУД
(Нажмите, чтобы показать/скрыть)
Без проблем.
Ubuntu — древнее африканское слово, означающее «Я не могу настроить Debian и Arch».
©
Unity, XFCE, MATE. --мята x64 LTS 16.04, 18.04/Gentoo-XFCE

Оффлайн stim48

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #11 : 12 Мая 2018, 15:08:42 »
Ubbuntu как попасть на сайт другими способами я знаю, тут скорее изучение системы и решение конкретной проблемы.

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #12 : 12 Мая 2018, 15:49:12 »
тут скорее изучение системы и решение конкретной проблемы.
Хорошее и нужное дело (без всякого подтекста). Поставьте wireshark и гляньте детально кто и куда чего шлёт.

Вам предложили 2 варианта:
1) слать все dns-запросы в VPN
2) слать только избранные вами

1-й вариант простой, но он же медленный. К тому же могут быть накладки.
2-й -  подходит и под задачу, и в качестве лабораторной работы. dnsmasq, несмотря на компактность, очень хорошее средство для подобных решений. (но нужно читать man)

Пользователь добавил сообщение 12 Мая 2018, 23:52:26:
Проверил у себя этот NNMClub.ovpn с "Клуба" - работает.

Получается, что все эти упомянутые мной выше танцы с бубном не нужны.  :) Сервер через PUSH передаёт только нужные для "Бабочки" роуты. Но я всё же добавил в конфиг dnsmasq
server=/nnm-club.me/nnm-club.ws/1.1.1.1
Однако на "клабе" сегодня такое сообщение по поводу этого VPN, и ч.х, тоже Ростелеком.
(Скриншотом, потому как без логина ту ветку не кажет - не найдена, мол, темаа)



« Последнее редактирование: 13 Мая 2018, 00:00:13 от obormot »

Оффлайн stim48

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #13 : 12 Мая 2018, 23:55:59 »
Вроде победил через DNSCrypt.

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Вопрос по openVPN
« Ответ #14 : 13 Мая 2018, 00:02:33 »
dnscrypt тоже бывает отваливается.
Но раз решено -  значит решено. С успехом.

 

Страница сгенерирована за 0.037 секунд. Запросов: 25.