OpenVPN + IPTABLES

[Kozak]

Помогите выпустить машину в интернет через OpenVPN.

Есть 2 машины на виртуалке: с Ubuntu и с XP.

Ubuntu выступает сервером.

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 08:00:27:f1:a8:cc 
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fef1:a8cc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15479 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9685 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:21913653 (21.9 MB)  TX bytes:534430 (534.4 KB)
          Interrupt:10 Base address:0xd020

eth1      Link encap:Ethernet  HWaddr 08:00:27:99:ac:f1 
          inet addr:192.168.56.102  Bcast:192.168.56.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fe99:acf1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1311 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1356 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:180814 (180.8 KB)  TX bytes:146754 (146.7 KB)
          Interrupt:9 Base address:0xd240

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:215 errors:0 dropped:0 overruns:0 frame:0
          TX packets:215 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:16916 (16.9 KB)  TX bytes:16916 (16.9 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:180 (180.0 B)  TX bytes:180 (180.0 B)

eth0 смотрит в интернет через NAT.
eth1 - в локалку с XP.
tun0 - VPN.

кинфиг IPTABLES:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Sep 16 14:05:02 2011
*filter
:INPUT ACCEPT [509:44398]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [379:28495]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
COMMIT
# Completed on Fri Sep 16 14:05:02 2011
# Generated by iptables-save v1.4.4 on Fri Sep 16 14:05:02 2011
*nat
:PREROUTING ACCEPT [157:25266]
:POSTROUTING ACCEPT [41:6050]
:OUTPUT ACCEPT [39:5930]
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Sep 16 14:05:02 2011

форвардинг включен

На ХР один адаптер 192.168.56.101 (локальная сеть);
второй:
ІР - 10.10.10.6/30
Gateway - 10.10.10.5

С ХР можно пропинговать  10.10.10.1  но не 10.10.10.5 (шлюх)

Я вот не могу разобратся: неправильно устанавливается шлюз в ХР или нужно подправить конфиг IPtables на Ubuntu?

[xeon_greg]

Gateway - 10.10.10.5

а где это сказано что он у тебя есть шлюз ?? давай сюда конфиг openvpn сервера

Код: [Выделить]

cat /etc/openvpn/server.conf | egrep -v '^$|^#|^;' вместо server.conf подставить настоящее имя файла ?
далее форвардинг включен?

Код: [Выделить]

sysctl net.ipv4.ip_forward

[fisher74]

интересеней будет посмотреть
sudo grep push /etc/openvpn/*.conf
И кто Вам сказал, что шлюз 10.10.10.5? Как раз 10.10.10.1 и должен быть шлюзом

[Kozak]

openvpn.conf:

(Нажмите, чтобы показать/скрыть)

local 192.168.56.102   
port 1194
proto tcp
dev tun
ca ca.crt
cert superserver.crt     
key superserver.key       
dh dh1024.pem
server 10.10.10.0 255.255.255.0     
ifconfig-pool-persist ipp.txt
push «route 0.0.0.0 255.255.255.0»
push «dhcp-option DNS 172.16.11.1»
push «redirect-gateway»
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 10

почему dhcp-option DNS 172.16.11.1 - долгая история. Но это не главное, связь с миров проверяю по ip а не по доменным именам.

Код: [Выделить]

root@k-laptop:/etc/openvpn# cat /proc/sys/net/ipv4/ip_forward
1

Свойства сети (VPN) на ХР (392кБ)
Если вручную вписать нужные настройки - не подключается.

Конфиг клиента:

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto tcp
remote 192.168.56.102 1194
resolv-retry infinite
persist-key
persist-tun
ca c:\\vpn\\ca.crt
cert c:\\vpn\\client1.crt
key c:\\vpn\\client1.key
comp-lzo
verb 3

Настраивал по мануалу для центоса.

[fisher74]

push «route 0.0.0.0 255.255.255.0»
push «dhcp-option DNS 172.16.11.1»
push «redirect-gateway»

Опция push на сервере без опции pool на клиенте - бестолковы.
Мало того, первая ещё и непонятная. Мне кажется - ошибка автора.