На клиенте эту команду запустить не смогу там Windows стоит. На сервере
ip route get 10.8.0.1
local 10.8.0.1 dev lo src 10.8.0.1 uid 0
cache <local>
что логично
на клиенте могу только tcpdump запустить.
Мне тут подсказали в конфиге сервера добавить ссылку на ccd и раскомментил строку в файле ccd
local 10.0.2.2
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
route 10.0.3.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "route 10.0.2.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
push "block-outside-dns"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
/etc/openvpn/ccd/client1 (по факту не использую)
iroute 10.0.3.0 255.255.255.0
#ifconfig-push 10.0.3.0 255.255.255.0
Теперь При пинге 10.0.3.4 tcpdump на клиенте показывает, что пакеты с сервера до клиента доходят, но обратно уже не возвращаются, т.е. косяк где-то на клиенте.
также я для доп тестов развернул еще knopix в сети клиента, для дальнейших тестов.
Пользователь добавил сообщение 06 Июня 2023, 06:04:25:
Все пинги до локального интерфейса клиента пошли.
Оказалась в какой-то момент эксперементирования с натом на винде пропала галка ключ “IPEnableRouter” из ветки HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Tcpip\Parameters
осталось теперь настроить, чтобы сервер начал компьютеры в сети клиента видеть. У тестого компьютера с knoppixом IP 10.0.3.6
я так понял это нужно нат на клиенте ставить или на всех компах сети какой-то маршрут прописать, что типа если пакет идет с подсети 10.0.2.0 то его нужно направить на 10.0.3.4 (это впн-клиент)
с натом на винде у меня какие-то проблемы, может у кого опыт есть. Поднимал его по этой инструкции
netsh routing ip nat install
netsh routing ip nat show global (если в ответ видим “NAT должен быть установлен первым” – ребутимся, если нет – идём дальше.)
netsh routing ip nat add interface “Internet connection” full (где “Internet connection” — tun-интерфейс.)
netsh routing ip nat add interface “Local Area Connection” private (где “Local Area Connection” – интерфейс локальной сети клиента.)
по маршруту тоже не понятно какой именно маршрут прописывать
Пользователь добавил сообщение 06 Июня 2023, 10:20:58:
Смог я победить данную задачу.
Короче когда поднял нат на винде:
netsh routing ip nat install
Проверяем:
netsh routing ip nat show global (если в ответ видим “NAT должен быть установлен первым” – ребутимся, если нет – идём дальше.)
Возможно необязательно:
netsh routing ip nat add interface “Internet connection” full (где “Internet connection” — tun-интерфейс.)
netsh routing ip nat add interface “Local Area Connection” private (где “Local Area Connection” – интерфейс локальной сети клиента.)
Перезагрузить ОС.
Заработал пинг с сервера до компа в сети клиента. Но не работал пинг с компа клиента до сети сервера.
Добавляем правило для ната в VPN сервер Ubuntu:
iptables -t nat -A POSTROUTING -o enp0s3 -j SNAT --to-source 10.0.2.2
Установить прогу для сохранения правил iptables
apt-get install iptables-persistent
Далее команда на сохранение правила
netfilter-persistent save
После этого вроде во все стороны пинги забегали. Дрочево конечно знатное получилось.
Единственно меня правило ната в убунте смущает, наверняка не такое широкое можно сделать. Может подскажите как более узко сделать? в винде уже ничего не сделать, там нат ущербный.
Пользователь добавил сообщение 06 Июня 2023, 11:02:17:
Не подскажите нат с маскарадингом на винде?