После заворачивания в туннель ssh, OpenVPN не работает

[776166]

Имеется работающий сервер OpenVPN (proto tcp-server). Настроен он как гейтвей, но некоторые ip открываются напрямую. Все настройки на стороне сервера и пушатся клиентам. Клиенты видят друг друга и всё такое. Какая-то работающая магия в iptables сервера. Короче, всё работает, как надо: чётко, красиво, автоматизированно.

Заворачиваю эту красоту в туннель ssh, который поднимается на клиенте.

ssh $OVPN_HOST -fnNT -L 1194:localhost:65310

Перенастраиваю remote клиента, чтобы ходил на локальный порт, который прокинут к openvpn.

Связка перестаёт работать. В логах сервера вижу, что коннект есть, но он через некоторе время отваливается и пересоединяется. Никакие интернеты не работают: ни дефолтные, ни кастомные, ни резолв ни пинг 8.8.8.8, ни вообще ничего.

В различных, разрозненных и невнятных мануалах и прочих серверфаултах иногда пишется про то, что на стороне клиента надо добавить маршрут:

…пробросить наружу IP адрес сервера OpenVPN и IP адрес ДНС…

, но я не понимаю, чего клиенту ещё надо, если я итак пушу гейтвей, через который надо ходить. Что я упускаю?

Что моя не понял сделать упустил важно?

(Нажмите, чтобы показать/скрыть)

port 65310
mode server
proto tcp-server
ifconfig 10.9.10.254 255.255.255.0
push "route-gateway 10.9.10.254"
push "redirect-gateway def1 bypass-dhcp"

(Нажмите, чтобы показать/скрыть)

ifconfig-push 10.9.10.177 255.255.255.0
# mos.ru
push "route 212.11.155.165 255.255.255.255 net_gateway 1"

(Нажмите, чтобы показать/скрыть)

proto tcp
remote 127.0.0.1 1194

[AnrDaemon]

Заворачиваю эту красоту в туннель ssh, который поднимается на клиенте.

Зачем?

[776166]

Зачем?

Зачем спрашиваете?

[MooSE]

Думаю я что дело в следующем: openvpn-клиент меняет default gateway и через "старый" default gateway добавляет маршрут до openvpn-сервера. И тут ты попадаешь в ловушку: клиент считает сервером локалхост. А то что на самом деле сервер не на локалхосте он не в курсе.

Решение относительно простое: сразу после подключения добавлять маршрут командой вида:

Код: [Выделить]

ip route add IP_VPN_Сервер via Ваш_Gateway


[AnrDaemon]

Зачем?

Зачем спрашиваете?

Еврея отключите. Если спрашиваю - значит, не понимаю исходной задачи.
Банхаммер включу. Не взирая на "заслуженность".
Первое и последнее предупреждение лично от меня.
+10%
--ALiEN175

[AlexDem]

Зачем?

Зачем спрашиваете?

Еврея отключите. Если спрашиваю - значит, не понимаю исходной задачи.

Могу предположить чтобы замаскировать VPN трафик под ssh. Но это не точно.

[AnrDaemon]

Я не гадалка. И бы хотел услышать ответ автора топика.

[776166]

Я не гадалка. И бы хотел услышать ответ автора топика.

Мне нужно пропустить трафик OpenVPN через ssh-тоннель.
Пользователь добавил сообщение 05 Октября 2023, 18:04:39:

Думаю я что дело в следующем: openvpn-клиент меняет default gateway и через "старый" default gateway добавляет маршрут до openvpn-сервера. И тут ты попадаешь в ловушку: клиент считает сервером локалхост. А то что на самом деле сервер не на локалхосте он не в курсе.

Решение относительно простое: сразу после подключения добавлять маршрут командой вида:

Код: [Выделить]

ip route add IP_VPN_Сервер via Ваш_Gateway


Так сервер же формально как раз на локалхосте. Разве нет?
Я делаю запрос на локальный порт, на конце которого есть что-то ещё. OpenVPN вообще не должно волновать, где находится конечный сервер и куда этот порт ведёт. Я что-то упускаю в понимании?

По поводу решения: а можно это всё делать в рамках OpenVPN? Потому что ssh с iPhone я ещё сделаю, а вот роутинг вряд ли получится руками править.

может,

Код: [Выделить]

push "route-gateway localhost"?

[ALiEN]

ssh с iPhone

На мобильных клиентах нельзя поднимать больше одного туннеля. (ovpn+ssh - уже два). Пишут, что можно через рут, но в подробности я не вникал.

Вопрос ваш про ubuntu или про поднятие двух туннелей на iOS?

Пользователь добавил сообщение 05 Октября 2023, 19:43:59:про "заворачивание" траффика: на сервере и клиенте должны работать оба средства туннелирования одновременно . Касательно связки ovpn+ssh:
1. поднимаете туннель ssh. Убеждаетесь, что все работает.
2. запускаете ovpn, указывая в конфигах сервера и клиента локалхосты с соотвествующим портом, на которых, соответственно, работает ssh-туннель. 

(Нажмите, чтобы показать/скрыть)

А вообще бессмысленно, ростелеком мне вчера поблочил ovpn, wireguard и ssh. VPN отваливалось после пары-тройки пакетов (connection reset by peer), ssh на передачу файлов показывал грустные 2-3 Kb/s. Ну, Shadowsocks исправил ситуацию, даже без плагинов.

Ну а после гневного "пинка" в техподдержку, все блокировки внезапно странным образом испарились через 5 минут)

[776166]

ssh с iPhone

На мобильных клиентах нельзя поднимать больше одного туннеля. (ovpn+ssh - уже два). Пишут, что можно через рут, но в подробности я не вникал.

Вопрос ваш про ubuntu или про поднятие двух туннелей на iOS?

Пользователь добавил сообщение 05 Октября 2023, 19:43:59:про "заворачивание" траффика: на сервере и клиенте должны работать оба средства туннелирования одновременно . Касательно связки ovpn+ssh:
1. поднимаете туннель ssh. Убеждаетесь, что все работает.
2. запускаете ovpn, указывая в конфигах сервера и клиента локалхосты с соотвествующим портом, на которых, соответственно, работает ssh-туннель. 

(Нажмите, чтобы показать/скрыть)

А вообще бессмысленно, ростелеком мне вчера поблочил ovpn, wireguard и ssh. VPN отваливалось после пары-тройки пакетов (connection reset by peer), ssh на передачу файлов показывал грустные 2-3 Kb/s. Ну, Shadowsocks исправил ситуацию, даже без плагинов.

Ну а после гневного "пинка" в техподдержку, все блокировки внезапно странным образом испарились через 5 минут)

В мобильном клиенте точно можно использовать ssh. Я даже уже нашел платный клиент для этого. Он просто создаёт тоннель, т.е. устанавливает соединение и открывает порт. Возможно, всё сложнее. В крайнем случае, можно завести отдельное устройство типа роутера, который будет шарить тунеллированный трафик. А вот OpenVPN, это уже настоящий туннель, куда будет заворачиваться часть трафика. Но пока схема не работает в лабораторных условиях десктопа. У меня всё работает ровно так, как вы и описали. Но что-то идёт не так.
Написать в поддержку, это хорошая мысль. Я её уже хожу думаю, но хотел всё равно порешать технические вопросики. ОПСОСы периодически блочат, а городские, вроде нет. Если начнут, то вообще всё станет. Лишь бы не заставляли в VPN по заявке от официального работодателя ходить.

[ALiEN]

В мобильном клиенте точно можно использовать ssh. Я даже уже нашел платный клиент для этого.

Еще раз повторяю: на сервере и клиенте должны работать оба средства туннелирования одновременно.
Openvpn просто не поймёт, как расшифровать трафик ssh.
А ssh туннель - это просто socks5 proxy.

[AnrDaemon]

А ssh туннель - это просто socks5 proxy.

Не надо путать тёплое с мягким. SSH туннель это TCP форвардинг.

[ALiEN]

SSH туннель это TCP форвардинг.

с шифрованием. Собственно, socks-proxy.

[AnrDaemon]

Не надо путать тёплое с мягким. Что бы там внутри не было, наружу у тебя торчит голый порт. Без всяких SOCKS5.

[776166]

Еще раз повторяю: на сервере и клиенте должны работать оба средства туннелирования одновременно.
Openvpn просто не поймёт, как расшифровать трафик ssh.

SSH-туннель не так, вроде, работает. Есть локально порт, через который доступен нужный порт удалённого хоста. VPN не нужно ничего чужое расшифровывать, он вообще не знает, как, куда и через что идёт трафик. Транспортный (сеансовый?) уровень, или как там это в OSI называется. Для Postgres это прекрасно работает и postgres ничего не расшифровывает.