Настройки openvpn

[SmithIT]

Пытаюсь настроить openvpn на vps виртуализация openVZ(debian 5).

Проблема в том что когда устанавливается соединение(клиент winxp) с openvpn сервером
интернет пропадет, думаю по тому что задан новый маршрут, который не работает.
TUN/TAP включен.
Прошу проверить настройки
конфиг сервера

Код: [Выделить]

mode server
tls-server
proto tcp-server
dev tap
port 2122 # Порт
daemon

tls-auth ta.key 0
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

ifconfig 10.9.0.1 255.255.255.0 # Внутренний IP сервер
ifconfig-pool 10.9.0.2 10.9.0.128 # Пул адресов.

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "route-gateway 10.9.0.1"

duplicate-cn
verb 3
cipher DES-EDE3-CBC # Тип шифрования.
persist-key
log-append openvpn.log # Лог-файл.
persist-tun
comp-lzo

конфиг клиента

Код: [Выделить]

tls-client
proto tcp-client
remote 212.212.212.212 2122
dev tap
port 2122
pull


tls-auth ta.key 1
ca ca.crt
cert qlan.crt
key qlan.key


cipher DES-EDE3-CBC
comp-lzo
iptables -t nat -A POSTROUTING -s 10.9.0.0/24 -j SNAT --to-source 212.212.212.212

Какие возможные причины данной проблемы? Может ли быть проблема в хостере?

[fisher74]

Для начала поправьте правило

iptables -t nat -A POSTROUTING -s 10.9.0.0/24 -o eth0 -j SNAT --to-source 212.212.212.212

Интерфейс укажите смотрящий в интернет, естественно.
правда проблема, конечно, не в этом. Так... для красоты

А проблема, скорее всего в нулевом значении

Код: [Выделить]

sysctl net.ipv4.ip_forward
Как переключить в единичку, думаю без проблем найдёте на форуме

[SmithIT]

Код: [Выделить]

tap0      Link encap:Ethernet  HWaddr ca:8d:d5:10:55:72
          inet addr:10.9.0.1  Bcast:10.9.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:116 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:12437 (12.1 KiB)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:85163 errors:0 dropped:0 overruns:0 frame:0
          TX packets:104638 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15742605 (15.0 MiB)  TX bytes:79662056 (75.9 MiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:212.212.212.212  P-t-P:212.212.212.212  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1


You’ll need to do 1 thing more to fix the routing. That is to route the traffic from tun0 to the interface that provides internet (venet0:0 by default).

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source your_vps_ip
iptables-save

Since we can’t use the MASQUERADE command, we need to use SNAT. Also only full interfaces are supported (So venet0:0 isn’t compatible with the -o option). That’s why I cover this on a static IP based configuration. This will route all network traffic on 10.8.0.0 to the internet-supplying interface.

net.ipv4.ip_forward = 1

уже был включен.


Пользователь решил продолжить мысль 11 Апреля 2012, 22:05:28:Мои настройки сети

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . : dsl.lan
        IP-адрес  . . . . . . . . . . . . : 192.168.1.3
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.1.1

vpn_lan - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 10.9.0.4
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 10.9.0.1

[fisher74]

tap0      Link encap:Ethernet  HWaddr ca:8d:d5:10:55:72
          inet addr:10.9.0.1  Bcast:10.9.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:116 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

Что-то подозрительно.
Клиент сервер по VPN-адресу пингует?
И давайте на клиента повнимательней посмотрим

Код: [Выделить]

route print
ping 10.9.0.1
Ещё пролетало, что некоторые VPS не уживаются с VPN. Если есть возможность - узнайте в тех.поддержке.
Или процитированное Вами от них же?

[rayanAyar]

Вот эта строчка делает у клиента gw по умолчанию на VPN сервер. В результате конечно же инет накроется.

Код: [Выделить]

push "route-gateway 10.9.0.1"
Просто уберите её. Для функционирования VPN она не нужна.


Кстати а DNS зачем? Тем более гугля:

Код: [Выделить]

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"


[fisher74]

Я так понял, что в замыслах ТС как раз ходить в интернет через VPS. Не анонимайзер, а что-то типа переноса "места жительства в другую страну"
И рассматривается проблема отсутствия раздачи интернета через него.
Хотя вынужден согласиться, что при наличии push "redirect-gateway def1 bypass-dhcp" строка push "route-gateway 10.9.0.1" - лишняя.

Ну и надо смотреть, что на клиенте происходит. Там явно просматривается два основных шлюза
Пользователь решил продолжить мысль 12 Апреля 2012, 09:14:54:А ещё предлагаю, в качестве разминки, показать все правила netfilter

Код: [Выделить]

sudo iptables-save