iptables при настройке openvpn

[SkyQ]

Доброй ночи.
При настройке по инструкции вот отсюда https://help.ubuntu.ru/wiki/openvpn ошибся и написал в
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
вместо eth1 eth0.
При iptables-save выдает сейчас такое 
# Generated by iptables-save v1.4.21 on Fri Nov 13 23:25:17 2015
*nat
:PREROUTING ACCEPT [1:257]
:INPUT ACCEPT [1:257]
:OUTPUT ACCEPT [201:14895]
:POSTROUTING ACCEPT [201:14895]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Nov 13 23:25:17 2015
# Generated by iptables-save v1.4.21 on Fri Nov 13 23:25:17 2015
*filter
:INPUT ACCEPT [48301:70219268]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28340:1651947]
COMMIT
# Completed on Fri Nov 13 23:25:17 2015

По vpn достучаться до ping -c 2 10.8.0.1 не могу. Думаю ошибка изза моего косяка выше. Как исправить?

Вот что выдает iptables -nvL
Chain INPUT (policy ACCEPT 310K packets, 448M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 186K packets, 11M bytes)
 pkts bytes target     prot opt in     out     source               destination 

[fisher74]

Код: [Выделить]

iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
В проблему не вчитывался
Выхлоп iptables -nvL, при наличии полного списка правил, совершенно лишний.

[SkyQ]

fisher74, после

Код: [Выделить]

iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADEстанет
:POSTROUTING ACCEPT [201:14895]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

и

Код: [Выделить]

iptables -nvLвсе равно выдаст пустую таблицу. Не совсем понял как применить ваш совет на практике.

[fisher74]

Вы точно все параметры верно ввели? Уверен, Вы один из них внесли "по памяти"

и

Код: [Выделить]

iptables -nvLвсе равно выдаст пустую таблицу. Не совсем понял как применить ваш совет на практике.

Поиск ответа почему она пуста останется для Вас домашним заданием.
А чтобы не быть в Ваших глазах злым учителем, дам вектор:
Нчните с поиска ответа на вопросы, сколько таблиц в netfilter и как просмотреть их содержимое?

[SkyQ]

Принято.
"А чтобы не быть в Ваших глазах злым учителем, дам вектор" - все нормально, я сам понимаю что еще очень сильно плаваю в этов вопросе, потому ниче и не понятно.

[fisher74]

Ошибку-то исправили?

[SkyQ]

Еще нет. Некогда. Как что то пойму отпишусь сюда же.

[fisher74]

Я же Вам дал команду устраняющую ошибку. Вам просто её нужно правильно ввести. Правда теперь уже 2 раза.

[SkyQ]

fisher74,
netfilter - Компонент ядра Linux, обеспечивающий фильтрацию и модификацию трафика - фаервол короче.
Таблицы:
   mangle для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов
   nat для операций stateful-преобразования сетевых адресов и портов обрабатываемых пакетов
   filter для фильтрации трафика, то есть разрешения и запрещения пакетов и соединений
   security для изменения маркировки безопасности пакетов и соединений
   raw для выполнения действий с пакетами до их обработки системой conntrack
   rawpost для выполнения операций «сырого» преобразования адресов

Просмотр таблиц

Код: [Выделить]

iptables -L -t [name_table]В моей случае

Код: [Выделить]

iptables -L -t natВыдает
target     prot opt source               destination         
MASQUERADE  all  --  10.8.0.0/24          anywhere           
MASQUERADE  all  --  10.8.0.0/24          anywhere           
MASQUERADE  all  --  10.8.0.0/24          anywhere           
MASQUERADE  all  --  10.8.0.0/24          anywhere           
MASQUERADE  all  --  10.8.0.0/24          anywhere


Соответственно если я добавлял правила командой -A то удалю все ненужное командой -D

Код: [Выделить]

iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEПосле очистки оставил только
target     prot opt source               destination         
MASQUERADE  all  --  10.8.0.0/24          anywhere 

Пользователь решил продолжить мысль 17 Ноября 2015, 14:38:12:

Я же Вам дал команду устраняющую ошибку. Вам просто её нужно правильно ввести. Правда теперь уже 2 раза.

Вот о чем я и говорил! Неопытность наложилась на невнимательность! не увидел ключ -D

[fisher74]

Великолепно.
БИНГО!
Снимаю шляпу.

И ни толики сарказма.

Только лучше

Код: [Выделить]

sudo iptables -nvL -t natинформативнее

[SkyQ]

Жаль только это нисколько не помогло моему vpn серверу.
Пользователь решил продолжить мысль 17 Ноября 2015, 16:04:53:Для настройки использовал следующие статьи https://help.ubuntu.ru/wiki/openvpn и http://adw0rd.com/2013/01/10/openvpn/#.UmTuCBCpFZQ.

Порты проброшенны на модеме. tun0 на сервере поднялся. С клиента не могу пингануть ping -c 2 10.8.0.1

[fisher74]

ну так может проблема-то не только в этом?
Клиент цепляется? Диагностику телепатить или покажете?

[SkyQ]

ну так может проблема-то не только в этом?
Клиент цепляется? Диагностику телепатить или покажете?

В том то и дело. Все статьи весьма оптимистичные - они искрене считают что если сделать все как у них то заработает. Потму хз где искать че не работает.
Как вообще тестить? На клиенте tun0 должен подниматься?
Пользователь решил продолжить мысль [time]17 Ноябрь 2015, 18:26:55[/time]:Вот что в логах клиента

Tue Nov 17 17:26:14 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Nov 17 17:26:14 2015 TLS Error: TLS handshake failed
Tue Nov 17 17:26:14 2015 SIGUSR1[soft,tls-error] received, process restarti
Пользователь решил продолжить мысль [time]17 Ноябрь 2015, 18:27:38[/time]:Попробовать еще раз ключи сгенерировать? Ну так ta. уже заново делал
Пользователь решил продолжить мысль [time]17 Ноябрь 2015, 18:28:29[/time]:Tue Nov 17 17:27:18 2015 UDPv4 link local: [undef]

[undef] - тут  что то должно быть?

Вот client.conf
client
dev tun
proto udp

# Внеший IP сервака
remote ************
port 1194
resolv-retry infinite
nobind
pull
user nobody
group nogroup
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
dh /etc/openvpn/keys/dh2048.pem
auth SHA1
cipher BF-CBC
remote-cert-tls server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

[fisher74]

Ну судя по логу клиент не может договориться с сервером.
В логе сервера, судя по всему, полнейшая тишина. Если так то:

Вы говорите, что порт на шлюзе (роутере) пробросили. А пробросили-то udp?
Сервер OVPN в интернет выходит?

[SkyQ]

Сейчас до дому доеду гляну. После перезагрузки рокер лег
Пользователь решил продолжить мысль [time]18 Ноябрь 2015, 10:15:16[/time]:Да точно, на роутере был проброс tcp а не udp. Исправил. Теперь есть логи сервера

Wed Nov 18 09:10:18 2015 us=137207 client/хх.ххх.х.ххх:ххххх MULTI:
bad source address from client [ххх.ххх.ххх.хх], packet dropped

Пользователь решил продолжить мысль [time]18 Ноябрь 2015, 10:24:49[/time]:На клиенте есть еще такие логи

Wed Nov 18 09:23:24 2015 ERROR: Linux route delete command failed: external program exited with error status: 2
Wed Nov 18 09:23:24 2015 /sbin/ip route del 0.0.0.0/0
RTNETLINK answers: Operation not permitted

Пользователь решил продолжить мысль 18 Ноября 2015, 09:35:28:Сервер кстати пингует клиента.