OpenVPN как шлюз не работает почему?

Question

[dobromin]

Здравствуйте! казалось бы простой вопрос, решений валом, но у меня не работает, пролетел день и я в пролете)

В крации, делаю OpenVPN сервер чтобы выходить в интернет через него, на телефоне все ок все работает как надо и в интернет выходит через сервер. компьютер нет, не в какую

Конфиг сервера:

spoiler

port 1199
proto udp

dev tun

# Сертификаты
# ==============================================
ca /etc/openvpn/keys/ca.crt
crl-verify /etc/openvpn/keys/crl.pem
dh /etc/openvpn/keys/dh2048.pem
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
tls-auth /etc/openvpn/keys/ta.key 0

# Плагин авторизации pam
# ==============================================
plugin openvpn-plugin-auth-pam.so service-type
client-cert-not-required
username-as-common-name

# Сеть сервера
# ===========================
server 10.10.0.0 255.255.255.0
max-clients 50

# Разрешить несколько подключений
# ===============================
#duplicate-cn

# Маршрут до сети и адрес DNS сервера
# ===================================
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "redirect–gateway def1 bypass–dhcp"
push "route-gateway 10.10.0.1"

push "route 0.0.0.0 0.0.0.0"

client-config-dir /etc/openvpn/ccd/
comp-lzo
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
#ifconfig-pool-persist /var/log/openvpn/ipp.txt

#mssfix
topology subnet

verb 3
explicit-exit-notify 1

spoiler

dev tun
proto udp
remote СамыйбелыйИП 1199
client
resolv-retry infinite

auth-user-pass

remote-cert-tls server
persist-key
persist-tun

key-direction 1

cipher AES-256-CBC

comp-lzo
verb 3
status-version 3
################################################################

Сертификаты и ключи убрал, так они есть!

маршрутизация на винде с закомментированными пушами роутинга к днс
route print

spoiler

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.101 40
10.10.0.0 255.255.255.0 10.10.0.1 10.10.0.3 257
10.10.0.3 255.255.255.255 On-link 10.10.0.3 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.25.192.0 255.255.240.0 On-link 172.25.192.1 271
172.25.192.1 255.255.255.255 On-link 172.25.192.1 271
172.25.207.255 255.255.255.255 On-link 172.25.192.1 271
172.30.0.0 255.255.240.0 On-link 172.30.0.1 271
172.30.0.1 255.255.255.255 On-link 172.30.0.1 271
172.30.15.255 255.255.255.255 On-link 172.30.0.1 271
188.134.89.2 255.255.255.255 192.168.0.1 192.168.0.101 296
192.168.0.0 255.255.255.0 On-link 192.168.0.101 296
192.168.0.101 255.255.255.255 On-link 192.168.0.101 296
192.168.0.255 255.255.255.255 On-link 192.168.0.101 296
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.10.0.3 257
224.0.0.0 240.0.0.0 On-link 192.168.0.101 296
224.0.0.0 240.0.0.0 On-link 172.25.192.1 271
224.0.0.0 240.0.0.0 On-link 172.30.0.1 271
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.10.0.3 257
255.255.255.255 255.255.255.255 On-link 192.168.0.101 296
255.255.255.255 255.255.255.255 On-link 172.25.192.1 271
255.255.255.255 255.255.255.255 On-link 172.30.0.1 271
===========================================================================
Постоянные маршруты:
Отсутствует

ipconfig

spoiler

Неизвестный адаптер Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9 for OpenVPN Connect
Физический адрес. . . . . . . . . : 00-FF-E3-4B-DD-98
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::165:c7da:207d:83d2%26(Основной)
IPv4-адрес. . . . . . . . . . . . : 10.10.0.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 1275133923
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-26-A9-39-46-E4-AA-EA-89-A1-01
DNS-серверы. . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBios через TCP/IP. . . . . . . . : Включен

ip route c сервера

spoiler

default via 192.168.0.1 dev enp8s0 proto dhcp metric 108
10.10.0.0/24 dev tun0 proto kernel scope link src 10.10.0.1
192.168.0.0/24 dev enp8s0 proto kernel scope link src 192.168.0.109 metric 108

Comments

[res2001]

С ВПН сервера трафик от клиента куда должен идти? На роутер, а дальше в инет?
Роутер что-нибудь знает о ВПН подсети? Надо на роутере добавить маршрут для ВПН подсети через ВПН сервер.

[dobromin]

res2001, Зачем? на впн сервере нат.

iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

[res2001]

dobromin, Ок.

[res2001]

dobromin, Тогда смотрите правила фаерволов на всех участниках цепочки прохождения пакетов, они могут блокировать. Может помочь tcpdump для определения того, что куда уходит и от куда не возвращается.

[dobromin]

res2001, Поправил конфиг, нет ничего не блогируется все маршрутизируется, где то что то другое.
Итог с конфигом что выше привел, с телефона все работает как надо с компьютера нет.

[res2001]

dobromin, Если трафик ходит нормально между ВПН клиентом и ВПН сервером (т.е. когда это конечные точки трафика), значит с самим ВПН соединением все нормально.

Посмотрел таблицу маршрутизации на винде (я так понял это клиент) - там маршрут по умолчанию - не через ВПН сервер. Соответственно, трафик в инет идет в обход ВПНа.

Опция push "redirect–gateway def1 bypass–dhcp" на ВПН сервере включает маршрут по умолчанию на клиенте через ВПН. Опция push "route-gateway 10.10.0.1" лишняя, имхо.
Если маршрут по умолчанию на клиенте не срабатывает, включайте лог на клиенте и смотрите какие сообщения туда сыпятся.

[dobromin]

res2001, как включить лог на колиенте.
и да, если руками добавлю маршрут по умолчанию на виндовом клиенте то все работает. в общем он не может шлюз по умолчанию получить, причем заметил такую картину, как только подключается в таблице появляется шлюз по умолчанию с маршрутом но буквально на доли секунды, потом исчезает. Ну я предполагал что это лишнее, убрал
push "route-gateway 10.10.0.1" ну и если пушнуть push "route 8.8.8.8 255.255.255.255" то днс работает трасерты в сторону 8.8.8.8 уходят на впн.

[res2001]

dobromin,

заметил такую картину, как только подключается в таблице появляется шлюз по умолчанию с маршрутом но буквально на доли секунды

Встречал такое поведение, не помню как лечилось :)
За логи отвечают опции конфига: log, log-append, verb
И смотрите, чтоб у процесса openvpn был доступ к логам на запись. В винде это актуально.
https://openvpn.net/community-resources/reference-...
Чтоб изменять таблицу маршрутизации penvpn просто запускает route с соответствующими параметрами.

[dobromin]

res2001, гуглил инфу ранее и сейчас натыкаюсь, какая то специфика работы у виндовс с опен впн с адресами
Адреса /30 типо что то там нужно, но я так и не допер что конкретно. Может это мой случай?

что касается роутинга не догоню, так нужно route 0.0.0.0/0 10.10.0.1 ? если да, то не хочет. и правильно же понял на клиенте настраивается?

[res2001]

dobromin,

какая то специфика работы у виндовс с опен впн с адресами

Нет никакой специфики именно у винды. У openvpn есть несколько вариантов топологий внутренней сети.
Самая "правильная" и простая на мой взгляд topology subnet. Ее вы и используете.
Разве, что драйвер tun/tap в винде ставится отдельно, а в никсах он встроен в ядре. Иногда драйвер криво устанавливается, помогает переустановка. Но у вас ВПН поднимается, так что с драйвером все нормально.

Ошибка в том, что не устанавливается маршрут по умолчанию. Надо с этим и разбираться.

Опция push "redirect–gateway def1 bypass–dhcp" должна быть в конфиге сервера. push - говорит о том, что сервер прокидывает ее клиенту. На клиенте должен появляться маршрут по умолчанию через ВПН сервер после подключения.
В логе есть ошибки?

[dobromin]

res2001, я же не ошибся log "C:\Users\sa\Desktop\ovpn.log" на клиенте так? в документе что скинули я что то не нашел как лог для клиента правильно включить. права на файл есть из того что я сделал

[res2001]

dobromin, Да. log-append обычно удобнее. Слеши в пути переверните, винде все равно, а openvpn - фиг знает.
Как у вас стартует openvpn на клиенте?
Он может работать через службу, а может запускаться от пользователя. Служба может стартовать от своего пользователя. Посмотрите в мендежере задач от какого пользователя работает openvpn.exe после подключения.

[dobromin]

res2001, неа, пусто в логе. у меня openpvn connect файл что подключил и в самом приложении там есть окно логов, ток старые от другого впн 30 января. и все.
Запускается от sa это админская уч запись.

[res2001]

dobromin, Совсем пусто в логе? Там хоть что-то должно быть. Хотя бы какие-то дежурные фразы после подключения. Добейтесь того, что бы журнал писался.
Можно поднять уровень verb. Там до 11, кажется, но после 5 или 6 он уже каждый пакет логирует - куча не нужной сейчас информации.
На сколько помню, в виндовом логе явно видно, что openvpn запускает route.

openpvn connect - это родной GUI? Я уже давно не пользовался под виндой. Помнится были какие-то проблемы с несовместимостью сторонних GUI (есть и такие) в определенных случаях. Но родной у меня работал нормально.

В винде можно запросто не дать права на файл/каталог для админа. Админ, конечно, эти права сможет себе сам потом дать, но операции чтения/записи файла, пока прав нет, будут отвергнуты с ошибкой. Кроме того в винде есть еще UAC. Так что убедитесь, что у пользователя под которым работает openvpn.exe есть права на лог файл. Смотреть в менеджере задач при поднятом соединении.

[dobromin]

res2001, Права есть, опен впн запустил от имени учетной записи администратора, в процессах тоже все отображается под данной учеткой, права на каталоги и логи полные для всех. в конфиге пробовал указывать различные форматы\варианты определение лога как его включить, не один не работает.

Еще вопрос есть ли в openvpn режим запуска с дебагом?
openvpn-server@server.service - запускаю так для него есть журнал journalctl -xe полное говно я считаю, одна лишь ошибка Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Логи в конфиге
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log

Права есть все есть. /var/log/openvpn/openvpn.log тут последняя запись только подключение клиента. и все ни слово о запуске openvpn.
Я представляю что то такое systemctl start openvpn-server@server.service full debug show :)

[res2001]

dobromin, На сколько помню, log и log-append взаимоисключающие опции. Возможно будет работать последняя из них. В своих конфигах использую чаще всего log-append, чтоб логи не чистились при перезапусках.

Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf

Ошибка явно говорит о том, что конфиг не найден.
Рекомендую пока не парится с сервисами, на этом этапе можно запускать руками: openvpn --config <путь к конфигу>
Запуск сервиса отладите потом, когда основной функционал заработает.
Не уверен, что "full debug show" что-то даст применительно к openvpn.

Вообще больше интересует лог клиента, а не сервера. У вас же на клиенте не добавляется маршурт.

[dobromin]

res2001, Да на клиенте. Просто на мобильных устройствах работает и я пошел дальше. Мне нужно запустить несколько экземпляров с разными конфигами. вот и сталкиваюсь дальше с ошибками. что касается
openvpn --config <путь к конфигу> то тут что то не запускаются другие екземпляры, ошибок вроде вы выдает как обычно но сервис не появляется порт не слушает.

[res2001]

dobromin, В разных экземплярах должны быть разные конфиги, а в них разные порты. Это как минимум, чтоб была принципиальная возможность запуститься хотя бы.
Ну и ошибки при запуске давайте сюда.
В случае ручного запуска, openvpn не становится сервисом, она работает как обычное консольное приложение, занимая консоль.

Просто на мобильных устройствах работает и я пошел дальше.

На винде то не работает. Но тут, похоже, виновата больше винда, а не openvpn. Но пока не увидим ошибку - трудно сказать что-то конкретнее.
Кстати, на винде то же можно запускать руками, а не через GUI. Возможно так будет проще.

[dobromin]

Кстати, на винде то же можно запускать руками, а не через GUI. Возможно так будет проще.

О, точно это обязательно попробую но позже.

В разных экземплярах должны быть разные конфиги, а в них разные порты. Это как минимум, чтоб была принципиальная возможность запуститься хотя бы.

Все разное, порты, сеть,

В случае ручного запуска, openvpn не становится сервисом, она работает как обычное консольное приложение, занимая консоль.

вот такая у меня ерунда

spoiler

udp 26880 0 0.0.0.0:1199 0.0.0.0:* 2921/openvpn

root@proxyapp:/etc/openvpn# service openvpn status
● openvpn.service - OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Wed 2022-02-09 11:04:14 MSK; 54min ago
Main PID: 1314 (code=exited, status=0/SUCCESS)

фев 06 17:47:23 proxyapp systemd[1]: Starting OpenVPN service...
фев 06 17:47:23 proxyapp systemd[1]: Started OpenVPN service.
фев 09 11:04:14 proxyapp systemd[1]: Stopped OpenVPN service.

root@proxyapp:/etc/openvpn# systemctl status openvpn-server@server.service
● openvpn-server@server.service - OpenVPN service for server
Loaded: loaded (/lib/systemd/system/openvpn-server@.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Wed 2022-02-09 11:58:58 MSK; 3s ago
Docs: man:openvpn(8)
https://community.openvpn.net/openvpn/wiki/Openvpn...
https://community.openvpn.net/openvpn/wiki/HOWTO
Process: 30988 ExecStart=/usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf
Main PID: 30988 (code=exited, status=1/FAILURE)

[dobromin]

В общем кое как остановил, ситуация такая какой бы конфиг не запускал openvpn --config <путь к конфигу> вот так, он запускается на одном и том же порту. где у openvpn еще есть конфиги? откуда он эту инфу берет, может кэш где-то?

[dobromin]

:/etc/openvpn# ps aux | grep openvpn | grep -v grep
root     12180  0.0  0.0  44312  6840 ?        Ss   12:53   0:00 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid
root     12182  0.0  0.0  44312  3020 ?        S    12:53   0:00 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid
root     12825  0.0  0.0  44312  6804 ?        Ss   12:53   0:00 /usr/sbin/openvpn --daemon ovpn-server-10-77-175-0 --status /run/openvpn/server-10-77-175-0.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/server-10-77-175-0.conf --writepid /run/openvpn/server-10-77-175-0.pid
root     12827  0.0  0.0  44312   724 ?        S    12:53   0:00 /usr/sbin/openvpn --daemon ovpn-server-10-77-175-0 --status /run/openvpn/server-10-77-175-0.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/server-10-77-175-0.conf --writepid /run/openvpn/server-10-77-175-0.pid
root@host:/etc/openvpn#

вот эта хрень меняется, как ее убрать и почему их по две, ну это я так понял.