Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: OpenVPN client (на сервере) раздающий инет дальше клиентам.  (Прочитано 239 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DJArty

  • Автор темы
  • Участник
  • *
  • Сообщений: 199
    • Просмотр профиля
Имеетcя:
Ubuntu Server (он же в роли "роутера"), на нём openvpn клиент подключающийся временно к стороннему vpn серверу (на vpngate взята допустим япония).
Нужно:
Что бы клиенты за сервером без перенастроек у себя временно выходили в инет по vpn направлению и видели свет как японцы.
А когда openvpn на Ubuntu Server тушится клиенты снова видят мир по местному.

Как бы понимаю что на самом деле все просто, но не вижу как именно.

На сервере ufw активен.. eth0 смотрит в инет, eth1 - eth3 смотрят во внутреннюю сетку где клиенты.
И вот, например, клиенту подключенному к eth3 нужно увидеть мир глазами японца
это его route
default         192.168.3.1     0.0.0.0         UG    0      0        0 eth0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.3.0     *               255.255.255.0   U     1      0        0 eth0

и у него ничего настраивать полагаю не нужно.. (в том и смысл что они ненастраиваемы почти а сервер да).
А вот на сервере где eth3 192.168.3.1 обслуживает этого клиента нужно видимо разрулить что бы запросы пошли через виртуальную сеть.
В логах openvpn по этому поводу :
...
Thu Oct  9 19:01:56 2014 /sbin/ifconfig tun0 10.211.1.5 pointopoint 10.211.1.6 mtu 1500
Thu Oct  9 19:01:56 2014 /sbin/route add -net 94.75.6.150 netmask 255.255.255.255 gw 109.**.**.254
Thu Oct  9 19:01:56 2014 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.211.1.6
Thu Oct  9 19:01:56 2014 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.211.1.6
....
Сам то сервер в инет по японски смотреть начинает при отработке openvpn но вот клиенты глохнут сразу же и видят только сервер.

Что там - прероутинг какойто для ufw описывать или в конфиг openvpn push какой то добавлять?
Спасибо.
« Последнее редактирование: 09 Октябрь 2014, 20:41:37 от DJArty »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Не трогайте openvpn.
Вам нужен не ПРЕроутнинг, а ПОСТроутинг и соответствующие ФОРВАРДы.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн DJArty

  • Автор темы
  • Участник
  • *
  • Сообщений: 199
    • Просмотр профиля
Ок т.е. конфиг выданный vpngate не трогаю а смотрю в сторону ufw?

Определиться бы еще через что их крутить из перечня: tun0, 10.211.1.5, 10.211.1.6, 94.75.6.150     :)

Как то так? или не так.. потому что не помогало..
-A POSTROUTING -s 10.211.0.0/24 -o eth3 -j SNAT --to-source 192.168.3.10
« Последнее редактирование: 09 Октябрь 2014, 21:06:42 от DJArty »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
смотрю в сторону ufw?
По-моему, проще сразу через iptables.
ufw тут вообще хз-кто пользуется, может и нет таких.

Как то так?
Начнём со стандартной диагностики:
ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
не нужна она (диагностика). По выше приведённому логу понятно, что
-t nat -A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o tun+ -j SNAT --to-source 10.211.1.6
Но если клиентов не 100500, то думаю можно и так
-t nat -A POSTROUTING -o tun+ -j MASQUERADE
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн DJArty

  • Автор темы
  • Участник
  • *
  • Сообщений: 199
    • Просмотр профиля
ArcFi Да я ж испорчу работу ufw если полезу через iptables :)

net.ipv4.ip_forward естественно включен потому как клиенты по обычному выходят в инет через сервак то..

В частности для eth3 в /etc/ufw/before.rules прописано ранее просто:
-A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
осталось добавить правила для "проброса" клиентов 192.168.3.0/24 (входящих через eth3) в появляющуюся временно vpn сеть на tun0 что ли.
« Последнее редактирование: 09 Октябрь 2014, 21:21:22 от DJArty »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25955
    • Просмотр профиля
ArcFi Да я ж испорчу работу ufw если полезу через iptables :)
Он изначально порченый чуть меньше, чем на всю голову.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
ответ уже дан. -t nat думаю сами уберете, а -s 192.168.3.0/24 - добавите
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн DJArty

  • Автор темы
  • Участник
  • *
  • Сообщений: 199
    • Просмотр профиля
Да, спасибо!

Прописал для начала в /etc/ufw/before.rules
-A POSTROUTING -o tun0 -j MASQUERADE
так заработали клиенты.. но видимо да, нужно уточнять подсети.

-A POSTROUTING -s 192.168.3.0/24 -o tun0 -j MASQUERADE

получается действительно просто как и предполагалось :)
« Последнее редактирование: 09 Октябрь 2014, 21:40:33 от DJArty »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Фенечка от вкусившего банан от подобного правила - -o tun+ ;)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.058 секунд. Запросов: 24.