Как получить внешний ип сервера openvpn на клиенте?

Question

[winser]

Настроил openvpn для windows на сервере(OpenVPN-2.6.0-I005-amd64.msi) и клиенте (openvpn-connect-3.3.7.2979_signed.msi) с помощью ssl сертификатов и WinTUN
все работает, по локальному ип вида 10.8.0.1 я теперь могу конектиться на сервер, но мне нужно чтобы на клиенте был внешний ип как у сервера, как это можно сделать ?

Comments

[AlexVWill]

но мне нужно чтобы на клиенте был внешний ип как у сервера

зачем?

[winser]

AlexVWill, чтобы ходить на заблокированные сайты, сервер в европе

[AlexVWill]

winser, при чем тут IP клиента? Весь трафик идет через VPN сервер, какой при этом IP клиента - абсолютно всеравно, провайдер не видит куда ты заходишь, на какие сервера, и блокировать ничего не может.

[winser]

AlexVWill, на клиенте у меня ру ип, я захожу на сайт и он блокирован
при подклчении к впн внешний ип адрес остается ру

[AlexVWill]

winser, а теперь ВНИМАТЕЛЬНО прочитай свой вопрос! На клиенте у тебя как был твой IP провайдера, так он и останется, никуда он не девается и не меняется, иначе ты просто данные не сможешь получить на клиента. Проблема не в смене IP, а в том, что у тебя пакеты идут не через VPN сервер, а напрямую по прежнему, хотя к VPN серверу ты и подключен. Смотри локальные настройки, прежде всего настройку Default Gateway, куда у тебя интернет трафик идет, напрямую в интернет или в VPN.
Покажи конфиг под кат.

[winser]

AlexVWill, конфиг чего показать ?
если клиента, то он получает ип с домашнего роутера по DCHP все стандартно
если сервера то это просто сервер с 1 внешним ип адресом без локальной сети

[winser]

мне впн нужен только чтобы получить внешний ип от сервера, других задач нет
ну кроме того чтобы сервер не взломали из за дырявого впн, поэтому желательно на ssl и все

Answer 1

[Drno]

Никак. Если Вы не про переадресацию портов.

На линукс это делается так -
Включаем NAT для интерфейса впн
С помощью iptables делаем проброс порта с внешнего порта сервера на IP клиента в впн сети

Как это сделать в винде и можно ли впринципе - хз

Comments

[winser]

нужно для винды, но думаю принцип должен быть один.
iptables этоже фаервол ? я его вообще выключил на винде сервера
не очень понял что такое внешний порт сервера ? это порт который в конфиге впн у клиента?
если так то смысл непонятен, клиент и так стучиться на этот порт при подключении, как он получит внешний ип сервера.

[Drno]

winser, принцип то тот же, ток винда для таких штук не предназначалась.
А судя по вопросом ты не очень понимаешь смысл написанного))
Надеюсь у тебя винда не голой жопой в мир стоит? С внешним IP?))

Iptables - да, фаерволл

Вопрос про порт который - тебе надо чтоб на внешний вдрес винсервера на какой то порт пришел запрос, допустим 80й, а ответил на этот запрос клиент из сети впн?

[winser]

Drno, ну вопрос как это мне настроить по шагам ? я не против замапить любой порт. мануалов не нашел, по моему вопрос очень актуальный всем нужен впн, вот у меня появился сервер на винде в европе, хочу сделать впн и ходить по заблокированным сайтам

[Drno]

winser, так ходи… через этот впн. Достаточно нат включить.

Просто такие вещи обычно делаются на линуксе и за 5 минут.
Например с помощью скрипта PiVpn

Так что мой совет - поставь туда ubuntu 20 и по гуглу сделай впн.

Винду твою ломанут за неделю… висящую на внешнем IP.

Непонимаю какой порт тебе надо замапить. Для впн это не тоебуется

[winser]

Drno, А если на виндовом сервере поднять виртуалку вмваре поставить туда ubuntu с PiVpn это будет работать или ubuntu надо ставить на голое железо ?

[Drno]

winser, будет работать. Но я не думаю что на виртуальном серваке у тебя включена вложенная виртуализация…

Зачем теье винда там? Че ты в неё вцепился?
Если тебе нужен тупо впн - винда там вообще ненужна)

[winser]

Drno, винда нужна для работы ее снести нельзя, так в виртуалки этот PiVpn сможет работать ?

[Drno]

winser, это просто скрипт установки опенвпн или вайгуард. Чтоб руками не делать. Ему пофиг на виртуалке он или нет. Лишь бы можно было tun адаптер создать

[winser]

Drno, ну так если я буду ставить openvpn на linux в чем разница с виндой, почему linux мне будет давать внешний ип сервера на весь интернет на клиенте, а винда нет.
tun адаптер сейчас есть на виндовом серваке все работает.

[Drno]

winser, потому что винда не прездназначена для такого использования. и насколько я знаю такого просто не умеет
если сможете включать NAT для ВПН интерфейса - "расшарить его" - как это делается при наличии 2х сетевых карточек, тогда заработает

а в конфиге клиента настройка то - переадресовать всё в ВПН есть ??
redirect-gateway def1 bypass-dhcp

[winser]

Drno, вот статью нашел где говориться о том как расшарить инет с сервака windows на клиентов через OpenVPN
https://compkaluga.ru/articles/172/
получить инет с сервака не получилось
вроде все повторил, кроме того что на VPN соединении клиента пишет что DHCP нет, а в статье DHCP да
у меня DHCP да, у клиента на основном соединении которое выходит в инет

и еще сервак у меня с этими строками не запускается в конфиге
# каталог с описаниями конфигураций каждого из клиентов
client-config-dir C:\\OpenVPN\\config\\ccd
# файл с описанием сетей между клиентом и сервером
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt

и там рассматривают что сервак стоит за роутером, а у меня сервак напрямую получает белый IP, а клиенты за роутером

redirect-gateway def1 bypass-dhcp
прописал в клиенте ничего не поменялось, тут все так и писать тут нет названий которые у меня могут быть другими ?

[Drno]

winser, С тем из-за чего не запускается вам и ненадо на сервере.
Гетвей на клиентах нужно чтоб весь трафик пошел в впн

[winser]

Drno, как сделать это гетвей на клиенте? это же шлюз ?
у впн соединения сейчас вообще нет шлюза и маска подсети только такая

[Drno]

winser, ну маска нормальная, какую на сервере поставил))
Ты уже вписал впн основным шлюзом, в конфиге клиента.

Дальше осталось ток NAT включить на винде)

[winser]

Drno, ну и как его включить? какой принцип ? надо софт дополнительный или что? есть мануал ?
если у меня на сервере щас все ок, то на клиенте даже если подниму впн на lunix сервере, все равно нужно этот нат настраивать ?

[Drno]

winser, я уже говорил - я лично хз. На винде я такими вопросами не занимаюсь. Слишком муторно и проблемно.
Т.к. на линукс это делается за 5 минут и он для этого предназначен.

Вот этот момент ты сдедал?

[winser]

да все сделал, только два момента в свойствах внп соединения у меня постоянно сбрасывается на такие параметры


и брендмаур у меня совсем отключен система windows 2012 server

[Drno]

winser, незнаю.. где то тут проблема. попробуй сделать еще раз и перепроверить конфиг сервера

[winser]

Drno, ну хотябы что искать? я уже перепроврил все по 20 раз. почему платный впн просто вводишь данные и все ок, а тут вроде впн и есть но не тот что нужно

[Drno]

winser, во первых - платный впн настраиваю люди, которые понимаю что они делают))
во вторых - все сервисы подобного рода хостятся на linux серверах))

в третьих - я банально не знаю что там не так, т.к. ни разу не делал этого на винде)

пока понятно что у тебя не включился NAT на сервере. попробуй убрать галочку, сбросить то что ты делал по этому поводу, и настроить по новой. других мыслей нет

[winser]

Drno, какую именно галочку?

[Drno]

winser, слушай... закажи на фриланс уже... ну реально))
галочку на сетевом интерфейсе инета - разрешить общий доступ

[winser]

Drno, настроил сервак на убунту по этой инструкции
https://interface31.ru/tech_it/2019/10/nastroyka-o...
тоже самое к впн подключиться могу, а инета вообще нет.
что нужно проверить какие логи?

[Drno]

winser, на сервере
по фаерволу - я делаю так
отключаем ufw - sudo ufw disable

включаем NAT в Iptables
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

eth0 - имя твоего сетевого интерфейса, его можно помсотреть командой
sudo ip a

включаем NAT в ядре
в файле /etc/sysctl.conf должна быть активна строка net.ipv4.ip_forward=1

добавить её быстро можно вот так -
sudo echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf

после этого команда для применения настроек до перезагрузки
sudo sysctl -p

в конфиге клиента должна быть строка -
redirect-gateway def1 bypass-dhcp

[winser]

Drno,
Получилось! Столько дней потратил, зачем писать такие недо инструкции которые не работают.)
Теперь я точно буду править миром.
На обычном клиенте теперь ип от сервера, на клиенте в виртуалке пришлось переустановить openvpn, так как глюк с сетевым подключением был и тоже заработало.
Теперь хочу поставить на виндовом серваке в виртуалку сервер openvpn, тогда вообще идеально будет, если заработает)

[Drno]

winser, заработает, куда денется то...
берешь бесплатный VirtualBox
ставишь туда ubuntu 20
в настройках сетевых бокса- ставишь NAT
там же в настройках пробрасываешь нужный порт в виртуалку

[winser]

Drno, С виртуалкой что то не получается, впн сервер поставил, подключиться клиентом могу, а интернета на клиенте нет. Виртуалка на vwmare workstation 15, инет в виртуалку через NAT замапил порт для опен впн, инет на самой виртуалке есть
Получается тут двойной NAT 1) На виндовом сервере для виртуалки 2) Внутри Ubuntu чтобы давать инет клиентам
но не работает

NAT в Iptables включал для ens33
sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE

ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens33: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:0c:29:5d:d5:e6 brd ff:ff:ff:ff:ff:ff
inet 192.168.184.132/24 brd 192.168.184.255 scope global dynamic ens33
valid_lft 1613sec preferred_lft 1613sec
inet6 fe80::20c:29ff:fe5d:d5e6/64 scope link
valid_lft forever preferred_lft forever
3: tun0: mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.88.0.1/24 brd 10.88.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::540a:a952:4c6d:73b4/64 scope link stable-privacy
valid_lft forever preferred_lft forever

[Drno]

winser, если на виртуалке есть инет значит
Или nat в ядре не включил
Или в конфиге клиента не указал def
Или dns сервер недоступен

[winser]

Drno, заработало! я просто думал что это в принципе может быть невозможно.
еще раз в консоле написал
sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
и заработало
это возможно из за того что в первый раз писал без sudo в начале? хотя был под root

[Drno]

winser, sudo под root не требуется
но может глюк какой то...

после перезагрузки сервака эту команду надо будет опять ввести

[winser]

Drno, А можно как то эту команду
sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
куда то прописать чтобы не вводить ее каждый раз после перезагрузки сервака, сегодня перезагрузил сервак и пол дня не мог понять почему впн не работает