Не работает интернет при openvpn коннекте (настройка сервера)

[dredd1]

Всем привет. Подскажите, пожалуйста, по настройке openvpn на юбунду, пожалуйста. Измучался уже...

конфиг на сервере

Код: [Выделить]

local 115.108.111.62
port 1234
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh.pem
tls-auth /etc/openvpn/keys/ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
keepalive 10 120
max-clients 32
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
daemon
mode server
comp-lzo
cipher AES-256-GCM
explicit-exit-notify 1
remote-cert-tls client

push "redirect–gateway def1"
push "dhcp-option DNS 8.8.8.8"
на клиенте

Код: [Выделить]

client
resolv-retry infinite
nobind
remote 115.108.111.62 1234
proto udp
dev tun
comp-lzo
ca "D:\\ca.crt"
cert "D:\\client.crt"
key "D:\\client.key"
tls-client
tls-auth "D:\\ta.key" 1
float
keepalive 10 120
persist-key
persist-tun
tun-mtu 1500
mssfix 1620
cipher AES-256-GCM
remote-cert-tls server
redirect-gateway def1
verb 4
правило, которое добавляю для ната:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE
проблема в том, что на клиенте после коннекта нет интернета. причем нет его вообще, 8.8.8.8 не пингуется. где может быть ошибка? может с фаерволом что-то не то.

Код: [Выделить]

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 
везде аксепты по дефолту.

[AlexDem]

Попробуй по инструкции: https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04-ru#8-openvpn
Раздел 8-9 - настройка конфигурации сервера. Заодно проверь что у тебя в /etc/sysctl.conf

[dredd1]

помогло, спасибо. sysctl форвард там всё стояло. не ну надо ж такое, весь день мучаюсь...

DEFAULT_FORWARD_POLICY="ACCEPT"

вот это скорее всего помогло
Пользователь добавил сообщение 18 Сентября 2024, 19:39:37:Опять не работает.

Пробелма сто процентов в фаерволе. Как это можно исправить?

sudo ufw status numbered
Status: active

Код: [Выделить]

     To                         Action      From
     --                         ------      ----
[ 1] 1194/udp                   ALLOW IN    Anywhere                 
[ 2] OpenSSH                    ALLOW IN    Anywhere           

форвардинг включил:

Код: [Выделить]

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
в /etc/ufw/before.rules

Код: [Выделить]

# /etc/default/ufw
#

# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=no

# Set the default input policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_INPUT_POLICY="DROP"

# Set the default output policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_OUTPUT_POLICY="ACCEPT"

# Set the default forward policy to ACCEPT, DROP or REJECT.  Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="ACCEPT"

# Set the default application policy to ACCEPT, DROP, REJECT or SKIP. Please
# note that setting this to ACCEPT may be a security risk. See 'man ufw' for
# details
DEFAULT_APPLICATION_POLICY="SKIP"

# By default, ufw only touches its own chains. Set this to 'yes' to have ufw
# manage the built-in chains too. Warning: setting this to 'yes' will break
# non-ufw managed firewall rules
MANAGE_BUILTINS=no
по нату всё должно работать, но не работает. Как можно посмотреть пакеты, которые реджектятся и как это исправить можно?



Пользователь добавил сообщение 18 Сентября 2024, 19:40:39:/etc/sysctl.conf

Код: [Выделить]

# 0=disable, 1=enable all, >1 bitmask of sysrq functions
# See https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html
# for what other values do
#kernel.sysrq=438

net.ipv4.ip_forward = 1


Пользователь добавил сообщение 18 Сентября 2024, 19:50:20:я еще вот что пробовал

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source белый айпи

какая-то получилась комбинация, и оно заработало. теперь опять не работает.
Пользователь добавил сообщение 18 Сентября 2024, 23:09:07:

Код: [Выделить]

COMMIT
# Completed on Wed Sep 18 20:05:19 2024
# Generated by iptables-save v1.8.7 on Wed Sep 18 20:05:19 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [30:1920]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Sep 18 20:05:19 2024

сейчас так выглядят правила? где может резаться трафик, на каком этапе? где копать?