[РЕШЕНО] Маршрутизация. Входящее соединение на внешний IP через VPN.

[passshok]

Доброго времени суток.

Задача такая.
Есть удаленный комп с настроенным OpenVPN клиентом, который постоянно пытается подключиться к OpenVPN серверу по доменному имени, обновляемому через DynDNS.
OpenVPN сервер и DynDNS клиент установлен на ноуте с Ubuntu 10.04. Ноут подключен к интернету через Ethernet. Для того чтобы был внешний IP-адрес настроено PPTP VPN подключение. Т.о. при подключении по VPN выдается внешний IP-адрес на том конце.
Вопрос заключается в следующем. Как сделать так, чтобы через этот VPN шел только OpenVPN траффик, так как трафик через VPN стоит денег? Если я убираю маршрут по умолчанию для VPN, то OpenVPN клиент почему-то не может подключиться и пакеты не приходят ни на один сетевой интерфейс. Смотрел Wireshark-ом. Если сделать маршрутом по умолчанию, то все нормально работает.
Почему не проходит входящее подключение к OpenVPN серверу?
Как сделать?

Спасибо.

[fisher74]

Сыр в лукошке слопала кошка, а мышка в норке протянула ножки от того что кошка заснула в лукошке....

3 раза перечитал и не понял зачем OpenVPN ТОЛЬКО через VPN из-за того, что последний стоит денег...
Что-то Вы не так разукрасили... ИМХО.

Про маршрут по умолчанию, могу предположить, что OpenVPN сервер не находит обратоной дороги к клиенту при отсутствии дефолтного маршрута.

Пользователь решил продолжить мысль 17 Декабря 2010, 22:44:07:На 5-ый раз понял.
Закройте на VPN все соединения таблесами, кроме соединений для OpenVPN и для работы клиента DynDNS.

[passshok]

3 раза перечитал и не понял зачем OpenVPN ТОЛЬКО через VPN из-за того, что последний стоит денег...
Что-то Вы не так разукрасили... ИМХО.

Все просто :-) Внешний IP от провайдера доступен не везде. Внешний IP от моего провайдера стоит дороже чем PPTP VPN сервис с внешним IP. Поэтому, я выбрал второй. Но трафик ограничен некоторым объемом, поэтому хочется тратить его только по работе (входящее подключение по OpenVPN).

Про маршрут по умолчанию, могу предположить, что OpenVPN сервер не находит обратоной дороги к клиенту при отсутствии дефолтного маршрута.

(Нажмите, чтобы показать/скрыть)

pa@vaio ~ $ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:24:be:38:c1:92 
          inet addr:10.210.148.109  Bcast:10.210.151.255  Mask:255.255.248.0
          inet6 addr: fe80::224:beff:fe38:c192/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:89882 errors:0 dropped:0 overruns:0 frame:0
          TX packets:74367 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:66716766 (66.7 MB)  TX bytes:29404534 (29.4 MB)
          Interrupt:16

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:43856 errors:0 dropped:0 overruns:0 frame:0
          TX packets:43856 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4348867 (4.3 MB)  TX bytes:4348867 (4.3 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:212.24.51.57  P-t-P:212.24.51.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:908 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:40586 (40.5 KB)  TX bytes:98 (98.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.1.0.1  P-t-P:10.1.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:120 (120.0 B)

(Нажмите, чтобы показать/скрыть)

pa@vaio ~ $ sudo netstat -napt
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 0.0.0.0:1193            0.0.0.0:*               LISTEN      20488/openvpn   
tcp        0      0 10.210.148.109:35786    217.23.137.56:1723      ESTABLISHED 19742/pptp     

С включенным VPN но без маршрута по умолчанию:

(Нажмите, чтобы показать/скрыть)

$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
217.23.137.56   10.210.144.1    255.255.255.255 UGH   0      0        0 eth0
217.23.137.56   10.210.144.1    255.255.255.255 UGH   0      0        0 eth0
212.24.51.1     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.100.40.14    10.1.0.2        255.255.255.255 UGH   0      0        0 tun0
... tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.210.144.1    0.0.0.0         UG    0      0        0 eth0

После этого сделал:

Код: [Выделить]

pa@vaio ~ $ sudo route add -host XXX.XXX.XXX.XXX dev ppp0где XXX.XXX.XXX.XXX адрес хоста с NATом из-за которого коннектится OpenVPN клиент.
Реакции опять никакой.
Мне кажется что пакеты вообще не приходят ни на один интерфейс.

[fisher74]

До клиента маршрут - это хорошо, а на DynDNS адрес правильный прибит?

[passshok]

До клиента маршрут - это хорошо, а на DynDNS адрес правильный прибит?

Правильный. Для надежности перезапускал DynDNS клиент.

[fisher74]

Не буду спорить, но перезапуская клиента Вы не обеспечиваете обновление IP-адреса на сервере DynDNS, если до последнего нет маршрута. А его нет.
Предлагаю провести эксперимент таким образом:
1. Запускаем всё с дефолтным маршрутом через VPN
2. Убеждаемся, что клиент OpenVPN "присосался" и в одной из консолей пингуем его внутри OpenVPN
3. Добавляем до NAT-шлюза клиента маршрут через ppp (как Вы выше сами писали)
4. убиваем дефолтный маршрут
На всех этапах пинг  до клиента должен скакать.

Но это только для проверки теории. Для практики - это всё ерунда, потому как у клиента, как Вы сами написали IP скачет.
Так что мне кажется, что выходом будет полное блокирование траффика средствами iptables через ppp0, кроме OpenVPN и DynDNS

[passshok]

Не буду спорить, но перезапуская клиента Вы не обеспечиваете обновление IP-адреса на сервере DynDNS, если до последнего нет маршрута. А его нет.
Предлагаю провести эксперимент таким образом:
1. Запускаем всё с дефолтным маршрутом через VPN
2. Убеждаемся, что клиент OpenVPN "присосался" и в одной из консолей пингуем его внутри OpenVPN
3. Добавляем до NAT-шлюза клиента маршрут через ppp (как Вы выше сами писали)
4. убиваем дефолтный маршрут
На всех этапах пинг  до клиента должен скакать.

В этой последовательности работает. Пинг есть. А вот если после этого разорвать OpenVPN соединение, ничего не меняя в маршрутах, то в этот раз входящего подключения от OpenVPN клиента уже нету. Очень странно. Думаю что в этом и есть суть проблемы.

Но это только для проверки теории. Для практики - это всё ерунда, потому как у клиента, как Вы сами написали IP скачет.
Так что мне кажется, что выходом будет полное блокирование траффика средствами iptables через ppp0, кроме OpenVPN и DynDNS

У какого клиента скачет? У OpenVPN клиента, который за NAT-ом IP NAT-а всегда один и тот же. Динамический адрес у моего ноута, на котором установлен OpenVPN  сервер и на котором же DynDNS клиент.
Пользователь решил продолжить мысль 18 Декабря 2010, 20:02:27:У кого еще есть идеи?
Пользователь решил продолжить мысль 18 Декабря 2010, 23:08:05:Ответ был найден.
Во-первых. Для того чтобы трафик только до и с определенных IP-адресов шел через VPN соединение, нужно было добавить маршрут такого вида:

Код: [Выделить]

sudo route add ext_host gw vpn_ext_ip ifгде:
ext_host — IP-адрес хоста до  которого должен идти трафик
vpn_ext_ip — внешний IP-адрес, выдаваемый VPN-сервером
if — название интерфейса VPN-соединения (например, ppp0).

И так тоже вроде работает:

Код: [Выделить]

sudo route add ext_host if
Во-вторых, нужно было заставить DynDNS-клиент отправлять IP-адрес интерфейса, на котором был поднят VPN-сервис, а не вычислять его через WEB.