OpenVPN client (на сервере) раздающий инет дальше клиентам.

[DJArty]

Имеетcя:
Ubuntu Server (он же в роли "роутера"), на нём openvpn клиент подключающийся временно к стороннему vpn серверу (на vpngate взята допустим япония).
Нужно:
Что бы клиенты за сервером без перенастроек у себя временно выходили в инет по vpn направлению и видели свет как японцы.
А когда openvpn на Ubuntu Server тушится клиенты снова видят мир по местному.

Как бы понимаю что на самом деле все просто, но не вижу как именно.

На сервере ufw активен.. eth0 смотрит в инет, eth1 - eth3 смотрят во внутреннюю сетку где клиенты.
И вот, например, клиенту подключенному к eth3 нужно увидеть мир глазами японца
это его route

Код: [Выделить]

default         192.168.3.1     0.0.0.0         UG    0      0        0 eth0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.3.0     *               255.255.255.0   U     1      0        0 eth0

и у него ничего настраивать полагаю не нужно.. (в том и смысл что они ненастраиваемы почти а сервер да).
А вот на сервере где eth3 192.168.3.1 обслуживает этого клиента нужно видимо разрулить что бы запросы пошли через виртуальную сеть.
В логах openvpn по этому поводу :

Код: [Выделить]

...
Thu Oct  9 19:01:56 2014 /sbin/ifconfig tun0 10.211.1.5 pointopoint 10.211.1.6 mtu 1500
Thu Oct  9 19:01:56 2014 /sbin/route add -net 94.75.6.150 netmask 255.255.255.255 gw 109.**.**.254
Thu Oct  9 19:01:56 2014 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.211.1.6
Thu Oct  9 19:01:56 2014 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.211.1.6
....Сам то сервер в инет по японски смотреть начинает при отработке openvpn но вот клиенты глохнут сразу же и видят только сервер.

Что там - прероутинг какойто для ufw описывать или в конфиг openvpn push какой то добавлять?
Спасибо.

[fisher74]

Не трогайте openvpn.
Вам нужен не ПРЕроутнинг, а ПОСТроутинг и соответствующие ФОРВАРДы.

[DJArty]

Ок т.е. конфиг выданный vpngate не трогаю а смотрю в сторону ufw?

Определиться бы еще через что их крутить из перечня: tun0, 10.211.1.5, 10.211.1.6, 94.75.6.150     

Как то так? или не так.. потому что не помогало..

Код: [Выделить]

-A POSTROUTING -s 10.211.0.0/24 -o eth3 -j SNAT --to-source 192.168.3.10


[ArcFi]

смотрю в сторону ufw?

По-моему, проще сразу через iptables.
ufw тут вообще хз-кто пользуется, может и нет таких.

Как то так?

Начнём со стандартной диагностики:

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save

[fisher74]

не нужна она (диагностика). По выше приведённому логу понятно, что

Код: [Выделить]

-t nat -A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o tun+ -j SNAT --to-source 10.211.1.6
Но если клиентов не 100500, то думаю можно и так

Код: [Выделить]

-t nat -A POSTROUTING -o tun+ -j MASQUERADE

[DJArty]

ArcFi Да я ж испорчу работу ufw если полезу через iptables

net.ipv4.ip_forward естественно включен потому как клиенты по обычному выходят в инет через сервак то..

В частности для eth3 в /etc/ufw/before.rules прописано ранее просто:

Код: [Выделить]

-A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
осталось добавить правила для "проброса" клиентов 192.168.3.0/24 (входящих через eth3) в появляющуюся временно vpn сеть на tun0 что ли.

[AnrDaemon]

ArcFi Да я ж испорчу работу ufw если полезу через iptables

Он изначально порченый чуть меньше, чем на всю голову.

[fisher74]

ответ уже дан. -t nat думаю сами уберете, а -s 192.168.3.0/24 - добавите

[DJArty]

Да, спасибо!

Прописал для начала в /etc/ufw/before.rules

Код: [Выделить]

-A POSTROUTING -o tun0 -j MASQUERADE
так заработали клиенты.. но видимо да, нужно уточнять подсети.

Код: [Выделить]

-A POSTROUTING -s 192.168.3.0/24 -o tun0 -j MASQUERADE

получается действительно просто как и предполагалось

[fisher74]

Фенечка от вкусившего банан от подобного правила - -o tun+