Установка и настройка VPN на VDS в первый раз.

[symon.2014]

Здравствуйте, совершенно случайно попался VDS по бросовой аренде. Решил восполнить свой пробел в сетевом образовании. Захотел начать с малого. Сделать VPN сервер ( чего уж проще казалось бы). Покурив некоторое количество разной свежести и дебильности мануалов , условно для себя разделил задачу на 4 части по минимому. Ключи и сертификаты, конфиги сервера и клиента, маршрутизация и файервол. С ключами думаю разобрался. Конфиги по минимуму - комп и сервер друг друга видят и пингуют по туннелю. А дальше засада, на файервол вроде наплевать. А вот маршрутизация (если правильно понял по невежеству ) труба. В сеть через сервер не выхожу (или неправильно понимаю), вроде как тупиковая ветка. В растерянности. Подскажите или направление конкретное, или помогите с настройкой, данные представлю.

[AnrDaemon]

Вы, простите, какой именно VPN имеете в виду?…

[symon.2014]

AnrDaemon, Просто хочу настроить сервер на VDS в качестве openvpn сервера, т.е, выходить в сеть через него. Это в качестве упражнения по сетевым настройкам. Я не начинающий кулцхацкер, просто хочу практически изучить , и главное понять это направление.

[AnrDaemon]

Показывайте конфиги сервера, клиента и

Код: [Выделить]

ip a; ip r s с обоих и

Код: [Выделить]

sysctl net.ipv4.ip_forward с сервера..

[symon.2014]

AnrDaemon,

(Нажмите, чтобы показать/скрыть)

ip a; ip r s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp1s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:15:58:53:80:a3 brd ff:ff:ff:ff:ff:ff
6: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp
    inet 88.135.85.121 peer 88.135.95.254/32 scope global ppp0
       valid_lft forever preferred_lft forever
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 192.168.1.6 peer 192.168.1.5/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::de2c:f904:7351:a7a7/64 scope link flags 800
       valid_lft forever preferred_lft forever
0.0.0.0/1 via 192.168.1.5 dev tun0
default via 88.135.95.254 dev ppp0  proto static  metric 100
88.135.95.254 dev ppp0  proto kernel  scope link  src 88.135.85.121  metric 100
128.0.0.0/1 via 192.168.1.5 dev tun0
169.254.0.0/16 dev ppp0  scope link  metric 1000
185.185.69.113 via 88.135.95.254 dev ppp0
192.168.1.1 via 192.168.1.5 dev tun0
192.168.1.5 dev tun0  proto kernel  scope link  src 192.168.1.6

-  клиент
сервер -

(Нажмите, чтобы показать/скрыть)

ip a; ip r s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:7a:56:82 brd ff:ff:ff:ff:ff:ff
    inet 185.185.69.113/22 brd 185.185.71.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe7a:5682/64 scope link
       valid_lft forever preferred_lft forever
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 192.168.1.1 peer 192.168.1.2/32 scope global tun0
       valid_lft forever preferred_lft forever
default via 185.185.68.1 dev eth0
185.185.68.0/22 dev eth0  proto kernel  scope link  src 185.185.ххх.ххх
192.168.1.0/24 via 192.168.1.2 dev tun0
192.168.1.2 dev tun0  proto kernel  scope link  src 192.168.1.1

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1


Пользователь добавил сообщение 12 Июля 2017, 13:52:44:конфиги  сервер

(Нажмите, чтобы показать/скрыть)

port 1194
proto tcp # если нужна гарантированная доставка пакетов, исользуем proto tcp
dev tun

ca      ca.crt    # созданные ключи
cert    server.crt
key     server.key  # держать в секрете
dh      dh2048.pem

server 192.168.1.0 255.255.255.0  # наша виртуальная подсеть, можно выбрать и другую
ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"
   push "dhcp-option DNS 8.8.8.8"
   push "dhcp-option DNS 8.8.4.4"

keepalive 10 120

comp-lzo         # Сжатие трафика, должно быть включено и у клиента
persist-key
persist-tun

status /var/log/openvpn-status.log # собственно логи
log /var/log/openvpn.log

verb 3  # уровень болтливости логов

push "dhcp-option DNS 8.8.8.8" # выдаем по умолчанию DNS сервер от гугла

конфиг клиент

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto tcp

remote 185.185.xxx.xxx 1194

resolv-retry infinite

nobind

persist-key
persist-tun

ca ca.crt
cert user.crt
key user.key

#cipher AES-128-CBC
#auth SHA256

#tls-auth ta.key 1
#key-direction 1

redirect-gateway def1



#ns-cert-type server

comp-lzo

#status openvpn-status.log
log /var/log/openvpn.log

verb 3
mute 20

[fisher74]

Всё тут отлично.
В том числе с маршрутизацией.
Осталось только интернету поправить таблицы маршрутизации, чтобы он знал про адресацию Вашей VPN-сети...

Правда обычно поступают проще - маскарадят внешний интерфейс шлюза.

[symon.2014]

Осталось только интернету поправить таблицы маршрутизации, чтобы он знал про адресацию Вашей VPN-сети...

Правда обычно поступают проще - маскарадят внешний интерфейс шлюза.

Если бы я посещал уроки в этом классе,но не судьба, поточнее не разъясните, с командаими и копипастами не нужно, а вот с обьяснением шагов (логически ), я бы не отказался.
Тем более , я сказал , что это мой первый реальный эксперимент, и слово маскарад пока ничего не говорит. С уважением.

[fisher74]

Ваш пакет с запросом к интернет ресурсу имеет 2 поля (которые для нас имеют сейчас значение) - это ip_destination и ip_source. Первый из них адрес самого ресурса, второй - адрес пользователя, который не совсем вписывается в общее адресное пространство интернета, так как входит, в так называемый, приватный сектор ("серые" адреса). А значит интернет-сервер ресурса не будет знать куда отсылать ответные пакеты.
Пользователь выходит через какой-то шлюз, у которого есть публичный ("белый") IP-адрес. Так вот задача шлюза подменить ip_source пользователя, на свой "белый" IP-адрес, не забыв потом с ответным пакетом сделать обратную процедуру. Он как бы маскирует пользователя своим интерфейсом.
Этот механизм называется Network Address Translation (NAT), а в простонародии - "маскарадинг", которое видимо родила команда MASQUERADE в правилах netfilter.