Нет интернета при подключению к серверу с OpenVPN

[piwer]

Всем привет.
Зашел в тупик, поэтому прошу помощи здесь  . Оговорюсь сразу, что я только знакомлюсь с Ubuntu

Имеется провайдер, который зарезает VoIP и другие критичные для меня сервисы, а поменять я его не могу так как это общежитие. Вместо того, чтобы покупать доступ к платному VPN, для общего развития решил купить дешевенький VPS в Штатах с Ubuntu 10.04 (32bit) и настроить на нем OpenVPN для выхода в интернет. Делал все вот по этому мануалу. Единственное исключение - это то, что в конце не получилось установить dnsmasq - выбивает сообщение "Broken packeges" плюс поначалу не выполнялись команды iptables - оказалось что его попросту не было изначально в Ubuntu и пришлось устанавливать.
После установил у себя (Win Vista SP2 32bit) OpenVPN клиент, скопировал все нужные ключи и файл конфигурации с сервера. Подключаюсь к серверу - мне присваивается адрес 10.8.0.6 и на этом всё. Интернета нет.
Перечитал статьи на эту тему, перепробовал разные манипуляции с файлами конфигурации, разные настройки iptables, но к сожалению результата нет. Даже не могу понять в какую сторону копать. Очень нужна ваша помощь. Хотябы ткните на кокой момент в мануалах нужно обратить внимание дабы это исправить. Буду очень благодарен за любую помощь.

На всякий случай приведу параметры файлов конфигурации:

client.ovpn

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

dev tun
client
proto tcp
remote IP_ВПСа 1194
resolv-retry infinite
nobind
user nobody
group nogroup
tls-client
ping 10

# Try to preserve some state across restarts.
persist-key
persist-tun
ca ca.crt
cert ключ.crt
key ключ.key
comp-lzo

# Set log file verbosity.
verb 3

К указаному выше пробовал еще добавить:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

route-method exe
route-delay 2
redirect-gateway def1
dhcp-option DNS 208.67.222.222
dhcp-option DNS 208.67.220.220

server.conf

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
local IP_ВПСа
push «redirect-gateway def1»

Правила iptable, которые я применил и записал в файл /etc/rc.local

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Из вот этой статьи пробовал применить правила iptables, но вот эти правила не принимаются в Ubuntu:

(Нажмите, чтобы показать/скрыть)

iptables -A FORWARD -d 10.8.0.0/24 -m state –state ESTABLISHED,RELATED -j ACCEPT # разрешаем отдавать пакеты из интернета клиентам сети 10.8.0.0/24.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to-source 111.111.111.111 # с этого ip пользователи будут ходить в интернет.

TUN/TAP в VPS включен.
Если нужно  представить еще какую-то информацию - дайте знать. Спасибо

[fisher74]

В server.conf поправьте адрес сервера на

server 10.8.0.1 255.255.255.0

Виноват, бес попутал...  

Если не поможет, то
С клиента

Код: [Выделить]

ifconfig -a
route -n
ping -c4 10.8.0.1
ping -c4 8.8.8.8С сервера

Код: [Выделить]

ifconfig -a
route -n
cat /proc/sys/net/ipv4/ip_forward
sudo iptables-save
P.S. Если будете параноить, то лучше меняйте только первые 2 тетрады адреса на хх

[darzanebor]

А с чего вы взяли что будет?
Лови горемыка:

iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o ИСХ_ИНТЕРФЕЙС -j SNAT --to-source ТВОЙ_БЕЛЫЙ_IP

И не трогай строку server 10.8.0.0 255.255.255.0

Установите серверный режим и укажите VPN подсеть из которой OpenVPN будет выделять адреса клиентам. Сервер возьмет себе адрес 10.8.0.1, остальные  стануться доступными для клиентов.

 

[Гарри Кашпировский]

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o ИСХ_ИНТЕРФЕЙС -j SNAT --to-source ТВОЙ_БЕЛЫЙ_IP

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to-source 111.111.111.111Отличие только в том что ты указал интерфейс и накосячил с маской сети А правило одно и то же.
И да ждём

Код: [Выделить]

ifconfig -a
route -n
cat /proc/sys/net/ipv4/ip_forward

[darzanebor]

  Ну 10.0.0.0/8, и чем вам исх интерфейс ненравится?

[fisher74]

В таблесах я не увидел проблем. К тому же применение SNAT может быть ещё и не применимо, хотя VPS на динамике конечно не айс, но учитывая "дешёвенький" возможен любой вариант...

[darzanebor]

Да причем тут проблемы, ты правило пропиши потом отвечай, что у тебя на VDS кастрировано! И незабудть echo 1 > /proc/sys/net/ipv4/ip_forward

[fisher74]

darzanebor, внимательней читай. Я не увидел проблем в таблесах у ТС. А вот что Вы читать не умеете, вот это я вижу.

[piwer]

Друзья, спасибо вам за ответы. Теперь хоть знаю что ошибся не в файлах конфигурации OpenVPN, а в iptables.

Начну с глупого вопроса. В правиле iptables, которое вы указываете:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o ИСХ_ИНТЕРФЕЙС -j SNAT --to-source ТВОЙ_БЕЛЫЙ_IPчто такое исходный интерфейс? Это мой локальный IP, или что-то другое? И какую сеть записать: 10.8.0.0/8, 10.8.0.0/24 или 10.0.0.0/8? Запутался я в этом

Еще такой момент: это правило нужно добавить к четырем уже имеющимся, которые я указал в первом посте или же командой

Код: [Выделить]

sudo iptables -F -t nat сбросить все правила и установить только это одно? И нужно ли эти правила записывать в файл /etc/rc.local как рекомендуют в том мануале?

После того как я применю правила iptables, нужно выполнить эту команду

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forwardи всё?

fisher74, подскажите где с клиента вводить указанные вами команды?

Код: [Выделить]

ifconfig -a
route -n
ping -c4 10.8.0.1
ping -c4 8.8.8.8Пробовал в командной строке последние 2 - пишет "Неверный параметр -c4"

Вот то, что получил с сервера:
ifconfig -a

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@g1:~# ifconfig -a
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:132780 errors:0 dropped:0 overruns:0 frame:0
          TX packets:75756 errors:0 dropped:123 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:125965273 (125.9 MB)  TX bytes:8182327 (8.1 MB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:ХХ.ХХ.166.95  P-t-P:ХХ.ХХ.166.95  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1


route -n

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@g1:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 venet0


cat /proc/sys/net/ipv4/ip_forward

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@g1:~# cat /proc/sys/net/ipv4/ip_forward
1


sudo iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@g1:~# sudo iptables-save
# Generated by iptables-save v1.4.4 on Sun Mar 27 15:53:35 2011
*mangle
:PREROUTING ACCEPT [132998:125980059]
:INPUT ACCEPT [132875:125972409]
:FORWARD ACCEPT [123:7650]
:OUTPUT ACCEPT [75852:8193479]
:POSTROUTING ACCEPT [75975:8201129]
COMMIT
# Completed on Sun Mar 27 15:53:35 2011
# Generated by iptables-save v1.4.4 on Sun Mar 27 15:53:35 2011
*filter
:INPUT ACCEPT [132875:125972409]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [75853:8193635]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Mar 27 15:53:35 2011
# Generated by iptables-save v1.4.4 on Sun Mar 27 15:53:35 2011
*nat
:PREROUTING ACCEPT [19692:1624325]
:POSTROUTING ACCEPT [679:48798]
:OUTPUT ACCEPT [640:46352]
-A POSTROUTING -s 10.8.0.0/24 -o 10.8.0.2 -j SNAT --to-source ХХ.ХХ.166.95
COMMIT
# Completed on Sun Mar 27 15:53:35 2011

А по поводу динамики, то у VPSа 1 статический IP  ХХ.ХХ.166.95 если это имелось в виду?

[fisher74]

Упустил, что клиент окошечный, потому командная строка и не ест параметр -с4
В окошках этот параметр вообще нужно опустить при тестировании:

Код: [Выделить]

ipconfig /all
route print
ping 10.8.0.1
ping 8.8.8.8
Теперь про таблесы:
Для вашего случая правильно использовать сеть 10.8.0.0/24.
Использование  10.0.0.0/8 так же приведёт к положительному результату, но в связи с выбранным масштабности сети будет неверным. Но, повторюсь - работоспособным.
ИСХ_ИНТЕРФЕЙС - это не исходный интерфейс, а иходящий, то есть в вашем случае - venet0:0, НО в связи с тем, что это алиас основного интерфейса, то и указывать надо venet0.

-A POSTROUTING -s 10.8.0.0/24 -o 10.8.0.2 -j SNAT --to-source ХХ.ХХ.166.95

Уж не знаю. как у Вас таблесы проглотили такое условие правила, но оно не будет работать.
Удалите его

Код: [Выделить]

sudo iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o 10.8.0.2 -j SNAT --to-source ХХ.ХХ.166.95Можно и полностью очистить таблицу nat командой

Код: [Выделить]

sudo iptables -F -t natИ введите такое правило

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source ХХ.ХХ.166.95

Как подгружать правила при старте системы - это дело лично каждого, но использование для этих целей rc.local в последнее время не модно, хотя вполне работоспособно.

P.S. статика - это гут. Смело используйте SNAT, что у Вас в правилах и сделано.

[piwer]

fisher74, спасибо Вам.
Удалил все правила и оставил только это

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source ХХ.ХХ.166.95после выполнил команду

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forwardПодключаюсь к серверу - мне присваивается адрес 10.8.0.6, сайты теперь открываются только по IP. Пинги на 10.8.0.1 и гуглевский 8.8.8.8 идут,
а вот ipconfig/all в графе DNS что-то левое показывает 

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Ethernet adapter OpenVPN:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-BB-58-23-B3
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::bd5e:3109:b6d4:2f1a%17(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.8.0.6(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 27 марта 2011 г. 19:12:16
   Срок аренды истекает. . . . . . . . . . : 26 марта 2012 г. 19:12:16
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.8.0.5
   IAID DHCPv6 . . . . . . . . . . . : 385941435
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-12-13-84-40-00-22-5F-1E-A4-21

   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBios через TCP/IP. . . . . . . . : Включен

[fisher74]

Добавьте в client.conf

dhcp-option DNS 8.8.8.8

Адрес DNS-сервера - Вам выбирать

[piwer]

Завелось Спасибо огромное всем, а особенно Вам, fisher74!

В завершение еще осталось пара общих вопросов: так и должно быть, что в Винде в центре управления сетями OpenVPN соединение числится как локальная неопознанная сеть? Для смены TCP на UDP и порта подключения на какой-то другой, достаточно ли только поменять эти значения в файлах конфигурации клиента и сервера?

Еще раз спасибо.

[fisher74]

так и должно быть, что в Винде в центре управления сетями OpenVPN соединение числится как локальная неопознанная сеть?

Не знаю, не обращал внимания. Да и вопрос этот выходит за рамки форума.

достаточно ли только поменять эти значения в файлах конфигурации клиента и сервера?

Достаточно.

[piwer]

Спасибо