openvpn как-то странно запускается

[Mr. Toad]

Приветствую всех!
Установил OpenVPN на Ubuntu Server 16.04.3
Демон запустился, в статусе написано Active, написан ПИД процесса
Открываю TOP, такого процесса нет...
Хочу телнетом подключиться, фиг...
Пробовал телнетом и с локального сервера и с компа в сети, и с инета, не хочет.
Выдержка из ifconfig

(Нажмите, чтобы показать/скрыть)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.104.1  P-t-P:192.168.104.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Конфиг server.conf

(Нажмите, чтобы показать/скрыть)

local 192.168.104.0
port 1194
proto udp
dev tun
ca ca.crt
cert ngate.crt
key ngate.key
dh dh2048.pem
server 192.168.104.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.11.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 192.168.11.100"
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
#;log-append  openvpn.log
verb 3
#;mute 20

правила iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

# Чтобы наш шлюз начал раздавать нтернет, надо разрешить пересылку
# серевых пакетов, сделать это надо в нескольких местах
echo 1 > /proc/sys/net/ipv4/ip_forward

# Дополнительные правила для сетевой безопасности
# Сразу прописываем правила SYSCTL

sysctl net.ipv4.conf.default.forwarding=1
sysctl net.ipv4.conf.all.forwarding=1
sysctl net.ipv4.icmp_echo_ignore_all=1
sysctl -w net.ipv4.tcp_max_syn_backlog=1024
sysctl -w net.ipv4.tcp_synack_retries=1
sysctl -w net.ipv4.tcp_syncookies=1

##############   Подгружаем модули

modprobe ip_gre
modprobe ip_nat_pptp

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Настройка роутинга
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.11.1/24 -j ACCEPT
iptables -P FORWARD DROP

# Далее, разрешаем локальному интерфейсу (lo) принимать и отправлять пакеты
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Разрешаем внутреннему (eth1) интерфейсу принимать и отпралять пакеты
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

# Далее, правила разрешаюшие определенным протоколам подключение к # внешнему интерфейсу (eth0)
#iptables -A INPUT -i eth0 -s 192.168.11.100 -p tcp --dport ssh -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport ssh -j ACCEPT
# некорретные/ненужные пакеты запрещены
#iptables -A INPUT -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -p icmp -m state --state NEW -m icmp --icmp-type 11 -j ACCEPT
#iptables -A INPUT -p icmp -m state --state NEW -m icmp --icmp-type 3 -j ACCEPT

iptables -A INPUT -p icmp -m limit --limit 15/second -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p TCP --sport 32768:60999 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 32768:60999 -j ACCEPT
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT


# Разрешаем определенные порты

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT


# И запрещаем все остальные входящие соединения
iptables -P INPUT DROP

# Для того, чтобы при перезагрузке, у нас правила не обнулялись, надо их # сохранить, а затем сделать авто восстановление этих правил
# iptables-save > /etc/ipfirewall.rules

# В файле /etc/rc.local перед строчкой "exit 0", добавить
# iptables-restore < /etc/ipfirewall.rules

###############################################################################
#############################                       ###########################
#############################     ПРОБРОС ПОРТОВ    ###########################
#############################                       ###########################
###############################################################################

# RDP - TS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3391 -j DNAT --to-destination 192.168.11.77:3389
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.77 -p tcp -m tcp --dport 3389 -j ACCEPT

# Почтовые пробросы
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 143 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 143 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 993 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 993 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 995 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 995 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 465 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 465 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 587 -j DNAT --to-destination 192.168.11.55
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.55 -p tcp -m tcp --dport 587 -j ACCEPT

# WEB протоколы
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.11.50
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.50 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.11.50
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.50 -p tcp -m tcp --dport 443 -j ACCEPT

# FTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to-destination 192.168.11.100
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.100 -p tcp -m tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j DNAT --to-destination 192.168.11.100
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.11.100 -p tcp -m tcp --dport 20 -j ACCEPT

# ----------   VPN   ---------- #
# OpenVPN
iptables -t nat -A POSTROUTING -s 192.168.104.0/24 -o eth0 -j MASQUERADE
# eth1 - внутренний интерфейс 192.168.11.0/24
# tun  - сетка 192.168.104.0/24 для openvpn-клиентов
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i lo -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A FORWARD -s 192.168.104.0/24 -d 192.168.11.0/24 -i tun+ -o eth1 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.11.0/24 -d 192.168.104.0/24 -i eth1 -o tun+ -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.104.0/24 -d 192.168.11.0/24 -i tun+ -o eth1 -p tcp -m tcp -m multiport --dports 22,3389 -j ACCEPT
iptables -A FORWARD -s 192.168.11.0/24 -d 192.168.104.0/24 -i eth1 -o tun+ -p tcp -m tcp -m multiport --sports 22,3389 -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

# PPTP
iptables -t nat -A POSTROUTING -s 192.168.103.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate NEW -i ppp0 -s 192.168.103.1/24 -j ACCEPT
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A FORWARD -p gre -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT

# Заворачиваем трафик на SQUID
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.11.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.11.1:3128

################################################################################
#########################                           ############################
#########################   СЕТЕВАЯ БЕЗОПАСНОСТЬ    ############################
#########################                           ############################
################################################################################

# Заперщаем все неправильные и некорректные пакеты
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP

# fail2ban
iptables -N REJECT_FLOOD28
iptables -A REJECT_FLOOD28 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 28: ' --log-level info
iptables -A REJECT_FLOOD28 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 27015 -m length --length 28 -j REJECT_FLOOD28
iptables -N REJECT_FLOOD46
iptables -A REJECT_FLOOD46 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 46: ' --log-level info
iptables -A REJECT_FLOOD46 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 27015 -m length --length 46 -j REJECT_FLOOD46

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP
iptables -A INPUT -p udp --dport 53 -j DROP -m connlimit --connlimit-above 1

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

# Рекомендации по безопасности взяты с сайта
# http://proft.me/2013/06/15/iptables-setevaya-bezopasnost-i-filtraciya-paketov/

# ----------  Запрет доступа в интернет  ------------ #
#iptables -A FORWARD -s 192.168.11.160 -j DROP

Не понимаю в чем дело.
Если бы была демон не запустился и была ошибка, я бы понял, но он ведь работает...
Выдержка из systemctl status openvpn.service

(Нажмите, чтобы показать/скрыть)

● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset:
   Active: active (exited) since Вс 2018-03-25 20:37:16 MSK; 5min ago
  Process: 30363 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
 Main PID: 30363 (code=exited, status=0/SUCCESS)

мар 25 20:37:16 ngate systemd[1]: Starting OpenVPN service...
мар 25 20:37:16 ngate systemd[1]: Started OpenVPN service.

Где собака порылась?

[EvangelionDeath]

newhk, по хорошему еще предоставляют лог... А вы конфиги положили куда надо?

[Mr. Toad]

EvangelionDeath,
да я что-то сделал и у меня моментально сохранился незаконченный пост
Пользователь добавил сообщение 25 Марта 2018, 20:56:37:EvangelionDeath,
Да, положил.
Сделал как написано тут https://help.ubuntu.com/lts/serverguide/openvpn

[fisher74]

Скрипт, загружающий правила - это хорошо. Но ковыряться в нём и пытаться выстроить в голове какое правило за каким выстроится - себя не уважать. Лучше покажите результирующие правила: sudo iptables-save
Ещё покажите

Код: [Выделить]

ps aux |grep openvpn
По конфигу.
Вы явно не разобрались с параметром local. И что-то мне подсказывает, что это и есть фатальная для туннеля ошибка.

[EvangelionDeath]

Ещё покажите

Да смысла нету показывать. Состояние exited. Но странно, что сам интерфейс тогда существует. По идее он должен бы бы "упасть"

[fisher74]

Ну нет, так нет.

[Mr. Toad]

fisher74,
ps aux | grep openvpn

(Нажмите, чтобы показать/скрыть)

root     30752  0.0  0.0  15472  1012 pts/0    S+   21:39   0:00 grep --color=auto openvpn

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.6.0 on Sun Mar 25 21:41:33 2018
*filter
:INPUT DROP [116165:5054353]
:FORWARD DROP [1857:77556]
:OUTPUT ACCEPT [1:328]
:REJECT_FLOOD28 - [0:0]
:REJECT_FLOOD46 - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p icmp -m limit --limit 15/sec -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s 84.204.33.85/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 27014:27050 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 27000:27030 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 3478:3480 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4380 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 27031 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 27036 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i lo -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 27015 -m length --length 28 -j REJECT_FLOOD28
-A INPUT -i eth0 -p udp -m udp --dport 27015 -m length --length 46 -j REJECT_FLOOD46
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j DROP
-A INPUT -p udp -m udp --dport 53 -m connlimit --connlimit-above 1 --connlimit-mask 32 --connlimit-saddr -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 3 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 20 --connlimit-mask 24 --connlimit-saddr -j DROP
-A INPUT -s 23.111.80.32/32 -i eth0 -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.11.100/32 -i eth0 -o eth1 -p tcp -m tcp --dport 32400 -j ACCEPT
-A FORWARD -d 192.168.11.100/32 -i eth0 -o eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -d 192.168.11.100/32 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 192.168.11.50/32 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 192.168.11.50/32 -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 192.168.11.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.11.155/32 -i eth0 -o eth1 -p tcp -m tcp --dport 2221 -j ACCEPT
-A FORWARD -d 192.168.11.77/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.11.100/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.104.0/24 -d 192.168.11.0/24 -i tun+ -o eth1 -p icmp -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -d 192.168.104.0/24 -i eth1 -o tun+ -p icmp -j ACCEPT
-A FORWARD -s 192.168.104.0/24 -d 192.168.11.0/24 -i tun+ -o eth1 -p tcp -m tcp -m multiport --dports 22,3389 -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -d 192.168.104.0/24 -i eth1 -o tun+ -p tcp -m tcp -m multiport --sports 22,3389 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.20.103.0/24 -i ppp0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:60999 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:60999 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 1194 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A REJECT_FLOOD28 -j LOG --log-prefix "IPTABLES-FLOOD LENGTH 28: " --log-level 6
-A REJECT_FLOOD28 -j DROP
-A REJECT_FLOOD46 -j LOG --log-prefix "IPTABLES-FLOOD LENGTH 46: " --log-level 6
-A REJECT_FLOOD46 -j DROP
COMMIT
# Completed on Sun Mar 25 21:41:33 2018
# Generated by iptables-save v1.6.0 on Sun Mar 25 21:41:33 2018
*nat
:PREROUTING ACCEPT [135627:7489011]
:INPUT ACCEPT [2893:190018]
:OUTPUT ACCEPT [423:26105]
:POSTROUTING ACCEPT [3525:187053]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3399 -j DNAT --to-destination 192.168.11.100:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.11.77:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 192.168.11.155
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.11.55:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8444 -j DNAT --to-destination 192.168.11.55:443
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 993 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 465 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 587 -j DNAT --to-destination 192.168.11.55
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.11.50
-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.11.50
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.11.100
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.11.100
-A PREROUTING -i eth0 -p tcp -m tcp --dport 32400 -j DNAT --to-destination 192.168.11.100
-A PREROUTING ! -d 192.168.11.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.11.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.104.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.103.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 25 21:41:33 2018
# Generated by iptables-save v1.6.0 on Sun Mar 25 21:41:33 2018
*mangle
:PREROUTING ACCEPT [1313330:1052743992]
:INPUT ACCEPT [149577:9353784]
:FORWARD ACCEPT [1152950:1041573458]
:OUTPUT ACCEPT [22965:12792353]
:POSTROUTING ACCEPT [1174058:1054288255]
COMMIT
# Completed on Sun Mar 25 21:41:33 2018

[fisher74]

Отлично. Теперь разберитесь с параметром, на который я Вам указал.
Можете для начала сравнить с гайдом по которому Вы, якобы, делали. Почему "якобы"? Потому что там этот параметр не фигурирует, от слова ВООБЩЕ.

[Mr. Toad]

Я его уже закомментировал, результат тот же.
Он у меня и сначала тоже был закомментирован, потом раскомментировал, но это ничего не дало
Пользователь добавил сообщение 25 Марта 2018, 22:58:53:newhk,
Отвечу сам себе.
Залез в /etc/network/interfaces, а там, как оказалось, после неудачных экспериментов, был "якобы" закомментирован интерфейс tun0
Якобы, потому что вместо решетки стояла цифра "3"
полагаю поэтому...

[fisher74]

Залез в /etc/network/interfaces, а там, как оказалось, после неудачных экспериментов,

Хе... об этих изысканиях нам не рассказали.

[Mr. Toad]

Ну так, еслиб помнил, то посмотрел бы сразу сам. А так, чисто интуитивно туда полез
Я вообще не так давно "религию" сменил. Так что сильно не пинать ))