Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: OpenVPN - Нет Интернета (пинг есть, NAT включен, mtr идет)  (Прочитано 1306 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Добрый день!

Подскажите плиз, В общем ситуация такая, есть:
- домашний комп windows 7 (192.168.1.110) за роутером (nat). Роутер 192.168.1.1
- сервер в европе (ubuntu 16.10)
- под vpn выделил 10.0.0.0/24

настроил OpenVPN, сервер на Ubuntu 16.10, клиент на windows 7. Методом проб и ошибок удалось поднять интерфейсы (не хотели подниматься пока Ubuntu полностью не перезагрузил), настроить маршрутизацию и NAT.
Есть 2 проблемы на клиенте на windows 7:
- соединения рвутся каждые N секунд
- во время соединения трассировка ходит через туннель, но ничего кроме трассировки не работает.

Конфиги и выводы:

server.conf
(Нажмите, чтобы показать/скрыть)


client.conf
(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward = 1


ifconfig на Ubuntu сервере, интересующие нас интерфейсы:
(Нажмите, чтобы показать/скрыть)

ip r
(Нажмите, чтобы показать/скрыть)





sudo iptables-save
(Нажмите, чтобы показать/скрыть)


iptables -nvL -t nat
(Нажмите, чтобы показать/скрыть)


route print на Windows 7 (до подключения)
(Нажмите, чтобы показать/скрыть)

как трассировка ходит до ya.ru до подключения:
(Нажмите, чтобы показать/скрыть)


После подключения к vpn:
(Нажмите, чтобы показать/скрыть)


route print на Windows 7 (после подключения)
(Нажмите, чтобы показать/скрыть)

как трассировка ходит до ya.ru после подключения:
(Нажмите, чтобы показать/скрыть)


логи с openvpn сервера
(Нажмите, чтобы показать/скрыть)




Логи с openvpn клиента (коннект и дисконнект):
(Нажмите, чтобы показать/скрыть)







В итоге получается, что, клиент подключается, ip получает из vpn сети пинги ходят от клиента к серверу и от сервера к клиенту.

Пинги ходят в Интернет, трассировка идет в туннель, но, например сайты не открываются и никакие новые соединения не устанавливаются через туннель. Может кто подсказать, куда еще копать?
Так же клиент дисконнектится постоянно


браузеры сбрасывают соединения, пишут: Похоже, что вы в другой сети
« Последнее редактирование: 17 Декабрь 2016, 00:17:59 от akkden »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Удивительно... в конфигах и диагностике "почикали" не только то что надо, но и то что не надо (я про таблицу маршрутизации клиента после подключения). Зато в предоставленных логах вся подноготная, и WHITE_IP, и IP_SERVERA, и даже мылоадрес для спамеров.
Вы уж если параноите, то паранойте до конца.

Ну и... пробуйте mtu подравнять
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Удивительно... в конфигах и диагностике "почикали" не только то что надо, но и то что не надо (я про таблицу маршрутизации клиента после подключения). Зато в предоставленных логах вся подноготная, и WHITE_IP, и IP_SERVERA, и даже мылоадрес для спамеров.
Вы уж если параноите, то паранойте до конца.

Ну и... пробуйте mtu подравнять

Добрый день! Да я ж специально. На логах надоело чикать, все равно там под спойлером и поисковиками не найдется, а почта и так в спам базах и гугл со спамом прекрасно справляется)

А что с таблицей маршрутизации на клиенте после подключения... это я вообще перепутал, не то вставил. Сейчас прикреплю
mtu в конфигаз сервера и клиента прописал 1500

результат такой же. Почему вообще так, не совсем понимаю.

Еще не понятен адрес, например у сервера , если ему выдается адрес 10.0.0.1 то дальше указывается destination 10.0.0.2 , что это значит?



Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Всё там понятно.
OpenVPN имеет своё внутреннее ядро, отдельно от ядра система базового сервера. И каждое tun-соединение (не путать с tap) - не что иное, как отдельная подсеточка c 30-ой маской.

Исправленных данных пока не вижу. А под "подравнять mtu" имелось ввиду не тупое указание стандартного размера, а определить правильное значение и добавить правило на шлюзе-сервере для его выравнивания.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Удивительно... в конфигах и диагностике "почикали" не только то что надо, но и то что не надо (я про таблицу маршрутизации клиента после подключения). Зато в предоставленных логах вся подноготная, и WHITE_IP, и IP_SERVERA, и даже мылоадрес для спамеров.
Вы уж если параноите, то паранойте до конца.

Ну и... пробуйте mtu подравнять

Добрый день! Да я ж специально. На логах надоело чикать, все равно там под спойлером и поисковиками не найдется, а почта и так в спам базах и гугл со спамом прекрасно справляется)

А что с таблицей маршрутизации на клиенте после подключения... это я вообще перепутал, не то вставил. Сейчас прикреплю
mtu в конфигаз сервера и клиента прописал 1500

результат такой же. Почему вообще так, не совсем понимаю.

Еще не понятен адрес, например у сервера , если ему выдается адрес 10.0.0.1 то дальше указывается destination 10.0.0.2 , что это значит?

чето клиент вообще перестал коннектиться, в логах пусто и на сервере и на клиенте. Изменений никаких не делал. Сейчас раскопаю, почему так... потом выложу...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
учимся квотить....
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля

учимся квотить....

mtu везде на интерфесах стоит 1500

пересобрал заново все ключи, конфиги. А то не работало вообще ничего.

Сейчас опять тоже самое, что и я описывал выше, т.е. подключение есть, vpn адреса пингуются, трасировка уходит в туннель, но ничего кроме пингов и трасировки не работает. Так же дисконнекты постоянные.

Прикладываю конфиги, логи, таблицы маршрутизации

sudo iptables-save
(Нажмите, чтобы показать/скрыть)




iptables -nvL -t nat
(Нажмите, чтобы показать/скрыть)




конфиг на сервере:

(Нажмите, чтобы показать/скрыть)

конфиг на клиенте:

(Нажмите, чтобы показать/скрыть)



Логи на клиенте:

(Нажмите, чтобы показать/скрыть)


Полный route print на клиенте после подключения


(Нажмите, чтобы показать/скрыть)

трасерт ходит после подключения таким образом:
(Нажмите, чтобы показать/скрыть)

но, повторюсь, кроме трасерта и пингов больше ничего в интернет не работает и проиходят постоянные дисконнекты, несколько раз в минуту.

Почему так может быть? Вроде бы все настроено.... соединение есть, конфиги правильные, nat работает, по трасерту трафик уходит в туннель. Смущает метрика в print route, не должна ли быть она на самом верху? Приоритет у этого интерфейса tun в винде самый высокий


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Ещё раз предложу определить правильный mtu. Здесь описан примерный алгоритм его определения на Windows
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Ещё раз предложу определить правильный mtu. Здесь описан примерный алгоритм его определения на Windows
спасибо, определил:
1370 через чистый инет и 1468 через openvpn - это без прибавления 28 байт.
С прибавлением 1398 и 1496
 Ставил на интерфейсе в настройках диспетчера задач и то и то. Иногда при подключенном vpn появлялся интернет, но не через vpn а через провайдера напрямую.

Или это надо  в конфигах прописывать с двух сторон?


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Неужели сложно в поле поиска форума (правый верхний угол) ввести "выравнивание mtu" и почитать по первой же ссылке? Я с самого первого своего сообщения пишу эти слова, а Вы продолжаете устраивать здесь 3-ий томик полного собрания сочинения А.Н.Толстого
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Неужели сложно в поле поиска форума (правый верхний угол) ввести "выравнивание mtu" и почитать по первой же ссылке? Я с самого первого своего сообщения пишу эти слова, а Вы продолжаете устраивать здесь 3-ий томик полного собрания сочинения А.Н.Толстого

я смотрел, там везде pptp, и настройки другие

Как и где это выставляется выравнивание? только на стороне сервера, на интерфейса тунельном или eth0?

просто mtu прописывал, не помогает, все равно так же.

Еще надо же будет потом с телефона на Андроид тоже подключаться, для подключения телефона на Андроид, не навредит ли изменения настроек mtu на сервере?
можете подсказать?
« Последнее редактирование: 19 Декабрь 2016, 20:34:26 от akkden »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Цитата:
Цитировать
Для настройки размера передаваемого пакета на шлюзе
или
Цитировать
и подставляем имя внешнего сетевого интерфейса
Какое слово непонятно?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Цитата:
Цитировать
Для настройки размера передаваемого пакета на шлюзе
или
Цитировать
и подставляем имя внешнего сетевого интерфейса
Какое слово непонятно?
iptables -A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
iptables -A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu

прописал, не помогло, так же дисконнекты происходят и интернета нет ни на телефоне android  ни на windows 7

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Куда Вы эти правила "прописали"?
В таблицу filter? А нужно в какую? В таблице filter до этих правил пакеты могут просто не дойти.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн akkden

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Куда Вы эти правила "прописали"?
В таблицу filter? А нужно в какую? В таблице filter до этих правил пакеты могут просто не дойти.
сначало да, щас прописал в mangle :

iptables -t mangle -A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
iptables -t mangle -A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu


Не помогло, все равно дисконнекты и ничего кроме пингов и трассировки не работает.
на клиенте появились ошибки:
Replay-window backtrack occurred


с телефона все так же происходит.
логи с сервера при подключении телефона:

(Нажмите, чтобы показать/скрыть)
192.168.1.150 локальный адрес телефона полученный от роутера

 

Страница сгенерирована за 0.067 секунд. Запросов: 24.