iptables при настройке openvpn

[SkyQ]

А Вашей сети есть такой адрес? Покажите его нам

Это адрес сервера.
Сеть пока примитивна.
DSL-2540+Ноут с UbuntuServer на одном конце и мой ноут с Xubuntu на другом конце со свистком. Вот и вся сеть.

[fisher74]

Это адрес сервера.

Покажите его нам

Как это сделать я указал в том же сообщении

[SkyQ]

Код: [Выделить]

eth1      Link encap:Ethernet  HWaddr 00:1d:09:ca:1c:30 
          inet addr:192.168.1.33  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:9ff:feca:1c30/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:207748 errors:0 dropped:67 overruns:0 frame:0
          TX packets:158960 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:63349956 (63.3 MB)  TX bytes:14432981 (14.4 MB)
          Interrupt:18

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:852 errors:0 dropped:0 overruns:0 frame:0
          TX packets:852 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:73272 (73.2 KB)  TX bytes:73272 (73.2 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:168 (168.0 B)  TX bytes:168 (168.0 B)

[fisher74]

Код: [Выделить]

sudo iptables-saveс сервера в студию

[SkyQ]

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Thu Nov 19 11:59:44 2015
*nat
:PREROUTING ACCEPT [15:2722]
:INPUT ACCEPT [15:2722]
:OUTPUT ACCEPT [2183:142410]
:POSTROUTING ACCEPT [2183:142410]
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Nov 19 11:59:44 2015
# Generated by iptables-save v1.4.21 on Thu Nov 19 11:59:44 2015
*filter
:INPUT ACCEPT [103985:18497258]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [96864:7113193]
COMMIT
# Completed on Thu Nov 19 11:59:44 2015


[fisher74]

странно. Тогда покажите диагностику с обоих хостов (и с клиента и с сервера)

Код: [Выделить]

ping -c3 10.8.0.1
ip a; ip r
sudo iptables-save

Для сервера смените ip-адрес на клиентский

[SkyQ]

Для сервера смените ip-адрес на клиентский

Сменить адрес для tun0?
Пользователь решил продолжить мысль [time]19 Ноябрь 2015, 13:38:39[/time]:Клиент

Код: [Выделить]

ping -c3 10.8.0.1

Код: [Выделить]

PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.

--- 10.8.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Код: [Выделить]

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether b8:88:e3:05:58:fe brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.89/24 brd 192.168.100.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::ba88:e3ff:fe05:58fe/64 scope link
       valid_lft forever preferred_lft forever
3: wlp3s0b1: <BROADCAST,MULTICAST> mtu 1500 qdisc mq state DOWN group default qlen 1000
    link/ether c0:18:85:f7:a5:9f brd ff:ff:ff:ff:ff:ff
17: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
       valid_lft forever preferred_lft forever

Код: [Выделить]

ip r
x.xxx.xxx.xxx via 192.168.100.254 dev eth0
10.8.0.0/24 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.1.0/24 via 10.8.0.5 dev tun0
192.168.100.0/24 dev eth0  proto kernel  scope link  src 192.168.100.89  metric 100



Код: [Выделить]

iptables-save


Код: [Выделить]

# Generated by iptables-save v1.4.21 on Thu Nov 19 12:39:55 2015
*nat
:PREROUTING ACCEPT [107541:13358785]
:INPUT ACCEPT [75497:8247601]
:OUTPUT ACCEPT [91629:9623831]
:POSTROUTING ACCEPT [90810:9458422]
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 85.173.18.135
COMMIT
# Completed on Thu Nov 19 12:39:55 2015
# Generated by iptables-save v1.4.21 on Thu Nov 19 12:39:55 2015
*filter
:INPUT ACCEPT [5572174:4200605108]
:FORWARD ACCEPT [87:12576]
:OUTPUT ACCEPT [4883158:1219065311]
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -d 10.8.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Nov 19 12:39:55 2015


[fisher74]

Для сервера смените ip-адрес на клиентский

Сменить адрес для tun0?

Имелось ввиду в команде ping
Пользователь решил продолжить мысль 19 Ноября 2015, 13:14:42:

Код: [Выделить]

-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 85.хх.хх.хх

Это у Вас там зачем? Сами придумали, или подсказал кто?

[SkyQ]

Код: [Выделить]

-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 85.хх.хх.ххЭто у Вас там зачем? Сами придумали, или подсказал кто?

Это из какойто статьи видимо. Я их уже много перебрал. Как это удалить отуда?
Я бы до таково врядли додумался бы, потому как вообще слабо понимаю как это работает.

[fisher74]

Код: [Выделить]

sudo iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 85.хх.хх.хх

[SkyQ]

УХУХУХУУУ!!!! Заработало!!! Теперь завтра проверю видит ли он сеть за серваком.

[fisher74]

кто мешает сразу и проверить?

Код: [Выделить]

ping -c2 192.168.1.152Но тут есть загвоздочка...
Ответьте ещё на пару вопросов:
1. Сервер - шлюз локальной сети в интернет?
2. Какой интерфейс сервера смотрит в локалку?

[SkyQ]

Видит!
1. Сервер - шлюз локальной сети в интернет?
   Нет.
2. Какой интерфейс сервера смотрит в локалку?
   eth1. Через dsl-2540

[fisher74]

2. Какой интерфейс сервера смотрит в локалку?
   eth1. Через dsl-2540

Что? Это как? Вы про локальную сеть или про интернет?

[SkyQ]

У ноута один lan провод которого идет к dsl 2540. он же как хаб выступает Ибо в сети тестовой всего два компа. Сервак и еще один.