openvpn, не ходят пакеты

[ConnaiSSant]

Всем привет. Есть сеть

Код: (bash) [Выделить]

Роутер 192.168.1.1 (188.235.x.x) - белая статика
ПК 192.168.1.26
Смартфон 192.168.1.20 (10.12.12.10) - серая динамика
OpenVPN клиент на смартфоне, подключается к роутеру (на роутере сервер) Подключение происходит отлично, но нет правил в netfilter

Задача, разрешить опенвпн клиенту использовать мировую и локальную сеть

Интерфейсы которые есть:

(Нажмите, чтобы показать/скрыть)

br0        Link encap:Ethernet  HWaddr 2C:4D:54:1C:A3:AC             
           inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1       
           RX packets:23120 errors:0 dropped:0 overruns:0 frame:0
           TX packets:97321 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:0                               
           RX bytes:3212964 (3.0 MiB)  TX bytes:126278264 (120.4 MiB)
                                                                     
eth0       Link encap:Ethernet  HWaddr 2C:4D:54:1C:A3:AC         
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1       
           RX packets:188478 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:50631 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:1000                             
           RX bytes:248303677 (236.8 MiB)  TX bytes:8306505 (7.9 MiB)         
           Interrupt:179 Base address:0x4000                         
                                                                             
eth1       Link encap:Ethernet  HWaddr 2C:4D:54:1C:A3:AC           
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1                 
           RX packets:56392 errors:0 dropped:0 overruns:0 frame:9104
           TX packets:194006 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000                                             
           RX bytes:8699406 (8.2 MiB)  TX bytes:248030126 (236.5 MiB) 
           Interrupt:163                                                           
                                                                       
lo         Link encap:Local Loopback                                               
           inet addr:127.0.0.1  Mask:255.0.0.0                               
           inet6 addr: ::1/128 Scope:Host                                   
           UP LOOPBACK RUNNING MULTICAST  MTU:16436  Metric:1                       
           RX packets:1281 errors:0 dropped:0 overruns:0 frame:0       
           TX packets:1281 errors:0 dropped:0 overruns:0 carrier:0                 
           collisions:0 txqueuelen:0                                         
           RX bytes:115270 (112.5 KiB)  TX bytes:115270 (112.5 KiB)         
                                                                                   
ppp0       Link encap:Point-to-Point Protocol                         
           inet addr:188.235.x.x  P-t-P:10.80.127.126  Mask:255.255.255.255     
           UP POINTOPOINT RUNNING MULTICAST  MTU:1492  Metric:1       
           RX packets:95503 errors:0 dropped:0 overruns:0 frame:0           
           TX packets:18935 errors:0 dropped:0 overruns:0 carrier:0                 
           collisions:0 txqueuelen:3                                   
           RX bytes:124577200 (118.8 MiB)  TX bytes:2607713 (2.4 MiB)

tun21      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00                                                           
           inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255                                                                         
           UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST  MTU:1500  Metric:1                                                                   
           RX packets:0 errors:0 dropped:0 overruns:0 frame:0                                                                                   
           TX packets:0 errors:0 dropped:0 overruns:0 carrier:0                                                                                 
           collisions:0 txqueuelen:100                                                                                                         
           RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)                                                                                               
                                                                                                                                               
vlan1      Link encap:Ethernet  HWaddr 2C:4D:54:1C:A3:AC                                                                                       
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1                                                                                   
           RX packets:0 errors:0 dropped:0 overruns:0 frame:0                                                                                   
           TX packets:1065 errors:0 dropped:0 overruns:0 carrier:0                                                                             
           collisions:0 txqueuelen:0                                                                                                           
           RX bytes:0 (0.0 B)  TX bytes:181229 (176.9 KiB)                                                                                     
                                                                                                                                               
vlan2      Link encap:Ethernet  HWaddr 2C:4D:54:1C:A3:AD                                                                                       
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1                                                                                   
           RX packets:95891 errors:0 dropped:0 overruns:0 frame:0                                                                               
           TX packets:19137 errors:0 dropped:0 overruns:0 carrier:0                                                                             
           collisions:0 txqueuelen:0                                                                                                           
           RX bytes:125783546 (119.9 MiB)  TX bytes:3150953 (3.0 MiB)

Правила netfilter:

(Нажмите, чтобы показать/скрыть)

*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A PREROUTING -i ppp0 -d 192.168.1.1/255.255.255.0 -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:WANPREROUTING - [0:0]
-A PREROUTING -d 0.0.0.0 -j WANPREROUTING
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
:upnp - [0:0]
:pupnp - [0:0]
-A PREROUTING -d 0.0.0.0 -j upnp
-A POSTROUTING  -o ppp0 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/second -j ACCEPT
-A INPUT -p udp --dport 33434:33534 -m limit --limit 5/second -j ACCEPT
-A INPUT -p tcp  --dport 8080 -j ACCEPT
-A INPUT -p tcp  --dport 321 -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT
:FORWARD DROP [0:0]
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
:monitor - [0:0]
-A FORWARD -o ppp0  -j monitor
-A monitor -p tcp -m webmon --max_domains 2000 --max_searches 2000 --domain_load_file /var/webmon/domain --search_load_file /var/webmon/search -
:wanin - [0:0]
:wanout - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -j wanin                             
-A FORWARD -o ppp0 -j wanout                                                                                                                   
-A FORWARD -i br0 -j ACCEPT
:upnp - [0:0]             
-A FORWARD -i ppp0 -j upnp                               
COMMIT

Выходит, мне нужно разрешить пересылку с интерфейса tun21 на интерфейс ppp0 и br0. И применить маскарад, только к чему его применить.
Как это реализовать, чтобы была доступна сеть интернета и локальные ресурсы? Что то я запутался.

Пользователь добавил сообщение 05 Января 2018, 02:03:13:iptables -A FORWARD -i ppp0 -o tun21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun21 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun21 -j MASQUERADE
iptables -t nat -A POSTROUTING  (потом найду как правильно указать порт 5060 для tun21)

Тип того?

[fisher74]

Выходит, мне нужно разрешить пересылку с интерфейса tun21 на интерфейс ppp0 и br0.

Да

И применить маскарад

Это уже есть

iptables -A FORWARD -i tun21 -o ppp0 -j ACCEPT

Да, типа этого

[ConnaiSSant]

iptables -A FORWARD -i tun21 -o ppp0 -j ACCEPT

Да, типа этого

Благодарю за ответ, но типа этого не работает. Маршруты:

Код: (bash) [Выделить]

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun21
10.80.127.126   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
10.10.10.0      10.10.10.2      255.255.255.0   UG    0      0        0 tun21
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.80.127.126   0.0.0.0         UG    0      0        0 ppp0


[fisher74]

но типа этого не работает

как не работает?

Кстати, я хотелку про br0 не увидел, нужно подобное правило и для него добавить.

Маршруты:

на шлюзе они совершенно не интересны. Интересней посмотреть на таблицу маршрутизации клиента OVPN

[ConnaiSSant]

cat /tmp/etc/iptables

(Нажмите, чтобы показать/скрыть)

*mangle                                                               
:PREROUTING ACCEPT [0:0]                                               
:OUTPUT ACCEPT [0:0]                                                   
-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A PREROUTING -i ppp0 -d 192.168.1.1/255.255.255.0 -j DROP
COMMIT                                                       
*nat 
:PREROUTING ACCEPT [0:0]                                               
:POSTROUTING ACCEPT [0:0]                                             
:OUTPUT ACCEPT [0:0]                                                   
:WANPREROUTING - [0:0]                                                 
-A PREROUTING -d 0.0.0.0 -j WANPREROUTING                 
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
:upnp - [0:0]                                               
:pupnp - [0:0]                                               
-A PREROUTING -d 0.0.0.0 -j upnp                             
-A POSTROUTING  -o ppp0 -j MASQUERADE                       
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
COMMIT                                                                                                         
*filter                                                                                                       
:INPUT DROP [0:0]                                                                                             
:OUTPUT ACCEPT [0:0]                                                                                           
-A INPUT -m state --state INVALID -j DROP                                                                     
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT                                                       
-A INPUT -i lo -j ACCEPT                                                                                       
-A INPUT -i br0 -j ACCEPT                             
-A INPUT -p icmp -m limit --limit 1/second -j ACCEPT   
-A INPUT -p udp --dport 33434:33534 -m limit --limit 5/second -j ACCEPT
-A INPUT -p tcp  --dport 8080 -j ACCEPT                               
-A INPUT -p tcp  --dport 321 -j ACCEPT                                 
-A INPUT -p udp --dport 1194 -j ACCEPT                                 
:FORWARD DROP [0:0]                                                   
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan   
-A FORWARD -i br0 -o br0 -j ACCEPT                                     
-A FORWARD -m state --state INVALID -j DROP                           
:monitor - [0:0]                                                   
-A FORWARD -o ppp0  -j monitor                                     
-A monitor -p tcp -m webmon --max_domains 2000 --max_searches 2000 --domain_load_file /var/webmon/domain --search_load_file /var/webmon/search -
:wanin - [0:0]                                                                                                                                 
:wanout - [0:0]                                                                                                                                 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT                                                                                       
-A FORWARD -i ppp0 -j wanin                                                                                                                     
-A FORWARD -o ppp0 -j wanout                                                                                                                   
-A FORWARD -i br0 -j ACCEPT                                                                                                                     
-A FORWARD -i tun21 -o ppp0 -j ACCEPT                                                                                                           
-A FORWARD -i tun21 -o br0 -j ACCEPT                     
:upnp - [0:0]                                           
-A FORWARD -i ppp0 -j upnp                               
COMMIT           

 *.ovpn
 

Код: [Выделить]

client
 remote 188.235.x.x 1194
 ca ca.crt
 cert client1.crt
 key client1.key
 dev tun
 proto udp
 nobind
 auth-nocache
 script-security 2
 persist-key
 persist-tun
 user nobody
 group nogroup
Пользователь добавил сообщение 05 Января 2018, 16:17:42:В обратную сторону тоже надо? К примеру -i ppp0 -o tun21 и -i br0 -o tun21?

[fisher74]

клиентский конфиг, конечно, не плохо увидеть.
Но о его(клиента) таблице маршрутизации больше расскажет серверный конфиг OVPN, раз уж не умеете на смартфоне её посмотреть.

[ConnaiSSant]

Я пытаюсь найти на андроиде, каким образом посмотреть маршруты. Клиент vpn, это смартфон
Пользователь добавил сообщение 05 Января 2018, 16:23:23:Я вас понял =)

Код: [Выделить]

daemon
server 10.10.10.0 255.255.255.0
proto udp
port 1194
dev tun21
cipher AES-128-CBC
comp-lzo adaptive
keepalive 15 60
verb 3
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway def1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status
Есть идеи как настроить это дело?

[fisher74]

на вид всё прилично (теперь)

Начните с простого: пропингуйте клиента vpn из локальной сети.

Со смартфона не так легко протестировать сеть. Если есть возможность - используйте в качестве клиента более управляемую систему.

А можно вопрос? Для каких целей добавлено вот это правило?

Код: [Выделить]

-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1к тому же криво сформированное
Что оно делает?

[ConnaiSSant]

А можно вопрос? Для каких целей добавлено вот это правило?
Код: [Выделить]
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
к тому же криво сформированное
Что оно делает?

Все эти правила добавляли разработчики.

На выходе из интерфейса, из сети 192.168.1.1/255.255.255.0 (должно быть 192.168.1.0/255.255.255.0) в такую же сеть  перенаправить на 192.168.1.1

Кхм, а я не могу предположить даже. Возможно связанно с особенностью прошивки.
Пользователь добавил сообщение 06 Января 2018, 08:10:25:Кстати, пинги не идут (хост не отвечает) Если пустить трейс, то видно, что пакеты идут сначала по мобильной сети.  Я полагал, что если соединение vpn, то пакеты идут сразу на vpn сервер, в туннель, а не блуждают по чужим хостам.

К примеру: traceroute 8.8.8.8
10.18.23.4 (tele2)
10.18.74.12 (tele2)
176.64.85.6 (мой внешний мобильный IP) Видать многие под ним выходят =)
... - далее тишина, хосты молчат

И это происходит при подключенном vpn. 

[fisher74]

Nj tcnm Dfv

Все эти правила добавляли разработчики.

то есть тема скоро перекочует в курилку

На выходе из интерфейса, из сети 192.168.1.1/255.255.255.0 (должно быть 192.168.1.0/255.255.255.0) в такую же сеть  перенаправить на 192.168.1.1

не верно трактуете. Если транзитный пакет прилетел из сети 192.168.1.0/24 выходит из интерфейса br0 и летит в сеть 192.168.1.0/24, то поле ip_source подменивается на 192.168.1.1, т.е. адрес самого интерфейса бридж. Чёт какая-то муть...

Я полагал, что если соединение vpn, то пакеты идут сразу на vpn сервер, в туннель

правильно полагаете. Но это только если правильно сработала команда "redirect-gateway def1", а они видимо не сработала, ввиду особенностей клиента смартфона.... Т.е. снова тема не связанная с Ubuntu.

[ConnaiSSant]

Чтобы остаться на плаву, я настроил клиент vpn на ubuntu. Буду тестировать с неё. Подключение выполнял из NM (какие пакеты устанавливал ранее, не помню какие) Так же в NM прикрутил сертификаты. Апплет показывает, что подключение выполнено, но через секунд 30 вылетает с ошибкой. Нужно настроить Openvpn клиент и от туда протестировать, чем я и займусь сейчас.
Пользователь добавил сообщение 06 Января 2018, 09:29:59:Настроил openvpn на ubuntu в роли клиента. И на мое удивление сервер работает как положено.

Код: (bash) [Выделить]

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  172.16.0.1 (172.16.0.1)  2.866 ms  3.943 ms  4.770 ms
 2  10.80.127.126 (10.80.127.126)  19.527 ms  25.647 ms  26.159 ms
 3  lag-8-435.bbr01.voronezh.ertelecom.ru (109.195.24.18)  9.501 ms  9.999 ms  10.466 ms
 4  72.14.215.165 (72.14.215.165)  29.406 ms  29.842 ms  30.282 ms
 5  72.14.215.166 (72.14.215.166)  42.925 ms  43.337 ms  43.707 ms
 6  108.170.250.97 (108.170.250.97)  44.084 ms  36.116 ms 108.170.250.129 (108.170.250.129)  36.459 ms
 7  216.239.47.69 (216.239.47.69)  36.816 ms 108.170.227.67 (108.170.227.67)  36.491 ms 216.239.63.223 (216.239.63.223)  36.478 ms
 8  google-public-dns-a.google.com (8.8.8.8)  35.237 ms  24.740 ms *

Кстати, поменял сеть на 172.16.0.0/24. Пакеты гуляют по нужному каналу. Проблема с клиентом в мобильном или c правилами netfilter. БУду разбираться. Благодарю вас fisher74

[fisher74]

Я лично не люблю NM по крайней мере относительно OVPN. Значительно проще отлавливать блох при работе с его родными конфигами То есть кидаете конфиг в директорию /etc/openvpn/ и перезапускаете демона

Код: [Выделить]

sudo service openvpn restartИ в логах всё видно. Если не видно (не путать с "не понятно"), то увеличиваете verb на единичку и снова рестартуете и смотрите в логи.. и так до выявления косяка.

[ConnaiSSant]

verb

Я сразу максимум поставил, на 9. Потому, что был уверен в том, что он не подключиться, но увы, подключился.  Теперь я понимаю почему не любят NM

[fisher74]

То что подключился - это хорошо. А вот всё ли сработало?

[ConnaiSSant]

То что подключился - это хорошо. А вот всё ли сработало?

По крайней мере я гуляю по интернету с ноутбука. Не смотря на то, что кабель до роутера метров 10, а значит столько же безопасности (впн). Теперь попробую в сматфоне из локалки. Кстати, до этого из интернета подключался со смартфона
Пользователь добавил сообщение 06 Января 2018, 14:23:15:Из локалки та же самая проблема.
Пользователь добавил сообщение 06 Января 2018, 15:26:22:Всему виной был включенный параметр, отвечающий за компрессию. Отныне vpn работает везде (на ubuntu и на andriod)
И кстати, те правила netfilter которые я изменял, после перезагрузки исчезали. Суть в том, что где то лежат пользовательские правила. Иными словами, тот файл, который я указывал в самом начале iptables сейчас в первоначальном виде и все работает. Ох уж эти томаты.