Проблема с настройкой iptables на сервере с openvpn

[deepqeeb]

Добрый день.
Имеем офисную сеть NET1 ( 10.0.0.0/24 ) с сервером ( 10.0.0.60, и белым ip AA.BB.CC.DD )OpenVPN 2.2.1.
Имеем офисных планктонов с OpenVPN под Ubuntu/MacOS/Windows/Etc

Конфиг сервера. Заранее оговорюсь что делаю это впервые поэтому могут быть глупости в настройках.

Код: [Выделить]

# work in server daemon mode
mode server
daemon

port 9753
local 178.89.1.72

# protocol п
proto udp
dev tun


ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem

tls-server
tls-auth keys/ta.key 0
cipher DES-EDE3-CBC


server 192.168.50.0 255.255.255.0

push "redirect-gateway"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
max-clients 50

user nobody
group nogroup

persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
client-to-client
client-config-dir ccd

push "route 192.168.50.0 255.255.255.0"
# в сети DNS сервер на IP 10.0.0.1
push "dhcp-option DNS 10.0.0.1"

Суть в том что клиент нормально подключается, может пинговать подсеть 10.0.0.0/24 и только. А хотелось бы и в интернет их выпускать.
На сервере iptables :

Код: [Выделить]

iptables -A FORWARD -s 192.168.50.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.50.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.50.0/24 -j SNAT --to-source 10.0.0.60
Если в третьем правиле ставлю --to-source AA.BB.CC.DD то клиент может слать во внешний мир но не в локальную сеть 10.0.0.0/24.

Делал по этой статье http://adw0rd.com/2013/01/10/openvpn/

Заранее спасибо !

[ArcFi]

Суть в том что клиент нормально подключается, может пинговать подсеть 10.0.0.0/24 и только. А хотелось бы и в интернет их выпускать.

http://openvpn.net/index.php/open-source/documentation/howto.html#redirect

[AnrDaemon]

А зачем вы вообще маскарадите собственную сеть?

[deepqeeb]

Спасибо за ответы!

Решил сменить адресацию сети, теперь не 192.168.50 а 10.88.88.0/24
Правила iptables:

Код: [Выделить]

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  10.88.88.0/24        anywhere           

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    SNAT       all  --  10.88.88.0/24        10.0.0.0/24          to:10.0.0.60
2    SNAT       all  --  10.88.88.0/24        anywhere             to:AA.BB.CC.DD

Добавил в конфиг сервера :

Код: [Выделить]

push "redirect-gateway def1"
push "route 10.88.88.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"


А зачем вы вообще маскарадите собственную сеть?

От незнания! Делал по обрывкам разных статей. Объясните на пальцах пожалуйста как мне сделать если не трудно!

Теперь ходят пинги и в нет, и в локальную сеть сервера. А вот SSH не ходит. Почему ?

[ArcFi]

А вот SSH не ходит.

Откуда и куда не ходит?
Что пишет?

[AnrDaemon]

Потому что маскарадить надо исходящие пакеты в чужую сеть. А не входящие из вашей.
Вы же контролируете адресацию во всех своих сетях - так зачем их маскарадить?
И показывайте уже iptables-save