Как настроить доступ в internet через openvpn?

Question

[Сергей]

Никак не могу настроить сабж.
Есть сервер с openvpn. К нему есть доступ по ssh. UFW не установлен, iptables не устновлен
VPN работает, мой PC получает адрес 10.8.0.4 , IP сервера 10.8.0.1
С сервера 8.8.8.8 пингуется, с моего локального ПК - нет.
ifconfig:

ifconfig 
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.1  netmask 255.255.255.0  destination 10.8.0.1

venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP>  mtu 1500
        inet 127.0.0.1  netmask 255.255.255.255  broadcast 0.0.0.0  destination 127.0.0.1

venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP>  mtu 1500
        inet 10.10.13.16  netmask 255.255.255.255  broadcast 10.10.13.16  destination 10.10.13.16
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 0  (UNSPEC)

route

ip route
default dev venet0 scope link 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1

У 10.10.13.16 гейт 10.0.0.0
Маршруты добавлять пробовал. ip forwarding включен.

cat /proc/sys/net/ipv4/ip_forward
1

Прошу помощи, спасибо.

Answer 1

[Alexey Dmitriev]

Файрвол - SNAT и FORWARD открыть нужно. А начинать нужно было с поиска в гугле и здесь.
И в настройках Openvpn сервера включить опцию, которая будет менять в системе с клиентом default route на VPN соединение.

Comments

[Сергей]

конечно гуглил. ufw не установлен

[Alexey Dmitriev]

Сергей, сочувствую. В Linux как мне кажется утилиты управления файрволом ставятся даже в минимальной установке

[Сергей]

sudo: iptables: command not found

[Сергей]

И в настройках Openvpn сервера включить опцию, которая будет менять в системе с клиентом default route на VPN соединение.

Это есть, я смотрю через tcpdump, все пинги приходят на vpn сервер.

[Alexey Dmitriev]

Сергей, значит ищите какой у вас по умолчанию стоит firewall, ставьте - и открывайте FORWARD и SNAT\MASQUERADE.

[Сергей]

Нет фаервола. Совсем. Никакого

systemctl list-units --type=service --state=active
UNIT                                 LOAD   ACTIVE SUB     DESCRIPTION                           
console-getty.service                loaded active running Console Getty                         
dbus.service                         loaded active running D-Bus System Message Bus              
getty@tty2.service                   loaded active running Getty on tty2                         
ifup@venet0.service                  loaded active exited  ifup for venet0                       
modules_dep.service                  loaded active exited  LSB: modules.dep creation.            
networking.service                   loaded active exited  Raise network interfaces              
openvpn.service                      loaded active exited  OpenVPN service                       
openvpn@server.service               loaded active running OpenVPN connection to server          
resolvconf.service                   loaded active exited  Nameserver information manager        
ssh.service                          loaded active running OpenBSD Secure Shell server           
systemd-hwdb-update.service          loaded active exited  Rebuild Hardware Database             
systemd-journal-flush.service        loaded active exited  Flush Journal to Persistent Storage   
systemd-journald.service             loaded active running Journal Service                       
systemd-logind.service               loaded active running Login Service                         
systemd-modules-load.service         loaded active exited  Load Kernel Modules                   
systemd-networkd-wait-online.service loaded active exited  Wait for Network to be Configured     
systemd-networkd.service             loaded active running Network Service                       
systemd-sysctl.service               loaded active exited  Apply Kernel Variables                
systemd-tmpfiles-setup-dev.service   loaded active exited  Create Static Device Nodes in /dev    
systemd-tmpfiles-setup.service       loaded active exited  Create Volatile Files and Directories 
systemd-udev-trigger.service         loaded active exited  udev Coldplug all Devices             
systemd-udevd.service                loaded active running udev Kernel Device Manager            
systemd-update-utmp.service          loaded active exited  Update UTMP about System Boot/Shutdown
systemd-user-sessions.service        loaded active exited  Permit User Sessions

[Drno]

Сергей, ну значит поставьте фаерволл. без него все равно не выйдет переадресовать траффик

[res2001]

Сергей, Как ВПН сервер сам попадает в интернет? Что является шлюзом в интернет для него?
Дело в том, что шлюз вашего ВПН сервера ничего не знает о ВПН сети. Поэтому он не знает куда слать полученные ответы и он их отбрасывает (или пересылает на свой шлюз по умолчанию).
Есть 2 варианта решения проблемы:
1. простой, но не всегда применимый: настроить на шлюзе статический маршрут до ВПН сети через ваш ВПН сервер.
2. чуть более сложный: поднять на ВПН сервере NAT на интерфейсе в сторону шлюза в интернет, отправлять на NAT все пакеты от ВПН клиентов в интернет с помощью правил фаервола. В этом случае пакеты от ВПН клиентов в интернет будут попадать на шлюз с адресом ВПН сервера, а не ВПН клиентов.

[Сергей]

res2001, Спасибо. Я первый способ пробовал. Допустим, я хочу иметь доступ только к 8.8.8.8 . Я пробовал так:

sudo ip route add 8.8.8.0/24 via 10.0.0.0 dev venet0

и так

sudo ip route add 8.8.8.0/24 via 10.10.13.16 dev venet0

Эффекта ноль.
Я вот что то не пойму, как фаервол может работать в качестве маршрутизатора, неужели без фаервола работать не будет?

[res2001]

Сергей, Начните с того, что покажите конфиг ВПН сервера. Используете ли в нем опцию:
push "redirect-gateway def1 bypass-dhcp"
Именно она прописывает на клиенте ВПН сервер как шлюз по умолчанию.

Я первый способ пробовал

Вы где выполняли эти команды?

как фаервол может работать в качестве маршрутизатора

Правилами фаервола можно перенаправлять пакеты на другой интерфейс и т.п., а это прямое управление маршрутизацией. В т.ч. можно отправить пакеты на NAT, например.

[Сергей]

push "redirect-gateway def1 bypass-dhcp"
Эта строчка есть. С локальной машины все запросы идут через впн.
Команды выполнялись на сервере, естественно.

[Alexey Dmitriev]

Сергей, нет, не будет работать без SNAT. SNAT не сделать без правил файрвола.

[res2001]

Сергей,

Команды выполнялись на сервере, естественно.

Читайте внимательно мой первый пост.
Бесполезно выполнять эти команды на ВПН сервере - он и так имеет доступ к гугловским ДНСам.
Причину не работы, я описал в этом же посте. На вопросы вы не ответили.

[Сергей]

res2001, ну что ж, выход только такой, ставить ufw?

[res2001]

Сергей, на вопросы то ответьте! Это важно для первого варианта:

Как ВПН сервер сам попадает в интернет? Что является шлюзом в интернет для него?

[Сергей]

IP Address	10.10.13.16
Gateway	10.0.0.0
Netmask	255.255.255.0
Nameserver	8.8.8.8
Nameserver	8.8.4.4

Видимо так.
Это все что есть. Нет никакой возможности это поменять или настроить