Как сделать сервер маршрутизации?

Question

[Александр Маджугин]

Работаю сейчас с одним из заказчиков и у него gitlab «недоступен без VPN». Что это означает - что gitlab только в локальной сети есть или там фильтрация по IP я так и не смог добиться: «для доступа ставь VPN».

VPN’ом они называют вот такую штуку: https://www.fortinet.com/ru/support/product-downloads

Ставить ее себе на компьютер я не очень хочу да и российские IP заблокировны на VPN сервере. Поэтому придумал взять VPS в другой локации, поставить туда эту штуку и какой-нибудь настоящий VPN к которому и будут цепляться.

Все сделал, запустил, прицепился… как мне теперь сделать так чтобы мой OpenVPN использовал для некоторых маршрутов как выход подключение forti?

Сейчас например ping с машины где работает сервер OpenVPN и клиент форти к целевому серверу проходит. А с машины которая подключена к этому серверу OpenVPN - нет.

Что делать дальше?

# ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet xx.xx.xx.181  netmask 255.255.254.0  broadcast xx.xx.xx.255
        inet6 тут что-то на ipv6
        inet6 тут что-то на ipv6
        ether 22:75:cb:79:e8:95  txqueuelen 1000  (Ethernet)
        RX packets 831886  bytes 75860679 (75.8 MB)
        RX errors 0  dropped 1703  overruns 0  frame 0
        TX packets 70099  bytes 28742289 (28.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 311  bytes 25393 (25.3 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 311  bytes 25393 (25.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.1  netmask 255.255.255.0  destination 10.8.0.1
        inet6 fddd:1194:1194:1194::1  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::104d:a726:e21e:87d8  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 34698  bytes 4848344 (4.8 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 34425  bytes 20867645 (20.8 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vpn0073533d6d: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1400
        inet yy.yy.yy.17  netmask 255.255.255.255  destination yy.yy.yy.17
        inet6 тут что-то на ipv6
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 46  bytes 8191 (8.1 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1486  bytes 151361 (151.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Comments

[res2001]

Приведите схему сети, с указанием внутренних IP адресов, белые адреса можете как-нибудь "переименовать". И кратким описанием того что каждый узел должен делать. Схему можете хоть на бумажке от руки нарисовать и сфотографировать, главное чтоб понятно было.
Вы тут требуете конкретики, какие маршруты прописывать. А сами никакой конкретики не даете. Распечатка ifconfig для одного какого-то хоста малоинформативна.
Дополнительно можно привести конфиг openvpn сервера.

[Александр Маджугин]

res2001, возожно в этом и проблема. Я не понимаю "какой сети". С моей точки зрения никакой сети нет.
Есть удаленный сервер назовем его просто gitlab, к которому возможен доступ "только по VPN". Судя по всему - там просто фильтрация по IP.

Есть мой компьютер назовем его просто ноутбук, ip которого забанен на сервере VPN заказчика.

Я поднимаю VPS в нейтральной стране и хочу с него подключаюсь к VPN заказчика. И собственно подключаюсь. И пинг с него к gitlab идет. Все ок.

Теперь я поднимаю на нем же OpenVPN сервер и подключаюсь к нему с ноубука. Я ожидаю что OpenVPN на VPS будет выходить наружу через подключение fortivpn и соотвествено теперь пакеты с моего ноубука будет идти через
OpenVPN@VPS и forti@VPS к gitlab. Но этого не происходит.

Т.е. если представить это в виде какой-то схемы то я ожидаю что маршрут будет какой-то такой [ноутбук]->[OpenVPN@VPS -> forti@VPS] -> [fortivpnserver] -> [gitlab]

[res2001]

Александр Маджугин, Раз без openvpn ваш VPS ходит к gitlab успешно, то как минимум нужный маршрут прописан.
Но этого мало. Т.к. сеть за fortivps сервером ничего не знает о ваших адресах, то ответы будут где-то теряться. Вам нужно настроить NAT на интерфейсе fortivps, тогда в сеть gitlab вы будете попадать с адресом, полученным при подключении к fortivps.
Когда вы ходите к gitlab без openvpn, то используется адрес интерфейса fortivps. Благодаря NAT можно получить тот же эффект и для удаленных компьютеров.
И в конце надо добавить маршрут на вашем компе к сети gitlab через openvpn сервер. Это делается опцией push route в конфиге openvpn сервера.

[Александр Маджугин]

res2001, я пробую сделать так:

iptables -t nat -A POSTROUTING -s xx.xx.xx.181/24 -j SNAT --to-source yy.yy.yy.17

Где xx.xx.xx.181 - внешний адрес сервера VPS. Тот к которому я подключаюсь.
а yy.yy.yy.17 - внешний адрес на интерфейсе vpn0073533d6d который создает forti

[res2001]

Александр Маджугин, К сожалению не силен в iptables, не подскажу как тут правильно поднять NAT.
Но причем тут "внешний адрес сервера VPS"?
Вы должны поднять NAT на интерфейсе foritvps, а там какой-то свой адрес используемый внутри fortivpn.

[Александр Маджугин]

res2001, но похоже это не правильно. Я вижу что OpenVPN создает правило:

-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source xx.xx.xx.181

Я сбросил таблицу nat и создал новое:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source yy.yy.yy.17

Я попробовал создать аналогичное тому что было:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source yy.yy.yy.17

тоже нет (((

[Александр Маджугин]

res2001, я не знаю что такое "поднять NAT на интрефейсе" (((
Я знаю как его включить и он включен.

Потом, как я думаю, нужно настроить редирект пактов и вот тут засада (((

Но может что-то еще нужно сделать чтобы NAT заработал именно для vpn0073533d6d

В любом случае спасибо за помощь.

[res2001]

Александр Маджугин, Openvpn сам NAT не поднимает. Возможно вы когда его настраивали добавили соответствующее правило.
NAT вообще не имеет отношения к ВПН, его можно поднимать, можно не поднимать, зависит от потребностей.
Во многих статьях в интернете по поднятию ВПН, NAT идет в комплекте, но это не значит что он нужен абсолютно в любых конфигурациях.

тоже нет (((

Что именно нет? Как вы тестируете?

[res2001]

Александр Маджугин,

я не знаю

Не знаете - погуглите. NATов может быть несколько на одном компе, если у него несколько сетевых интерфейсов.
NAT привязан к сетевому интерфейсу, поэтому я так и выражаюсь.
Вот даже погуглил :) https://interface31.ru/tech_it/2021/07/osnovy-ipta...
добавьте ключ -o и укажите интерфейс fortivps.

[Александр Маджугин]

res2001,

Openvpn сам NAT не поднимает. Возможно вы когда его настраивали добавили соответствующее правило.

Да, я знаю. Есть скрипты разные - это один из них был.

Что именно нет? Как вы тестируете?

Пингом к gitlab с ноутбука. Но вообще с этими правилами интернет на ноуте переставла работать совсем.

[res2001]

Александр Маджугин,

Есть скрипты разные - это один из них был.

Поэтому я и просил показать конфиг openvpn сервера.
Скрипты пишутся под какую-то типовую конфигурацию сети. Конфигураций разных может быть масса. И как правило вы точно не знаете под какую конкретно конфигурацию написан скрипт. Ваша конфигурация не выглядит типовой.

По мимо поднятия NAT надо добавить маршрут на ноуте, я писал где-то выше. Без этого работать то же не будет. Стоит начать с маршрута, т.к. это можно легко сделать.

Даже если все настроено правильно и должно работать, фаерволы могут блокировать трафик. Причем фаервол на любом промежуточном узле. Вам надо в iptables разрешить трафик между адерсами openvpn сети и адресами gitlab сети. И на вашем ноуте то же не помешает проверить фаервол.

[Александр Маджугин]

res2001, я не очень понимаю зачем мне маршрут на ноуте. Я знаю как настроить его и у меня даже GUI для этого есть. Но сейчас когда я подключаюсь к VPN северу весь же трафик идет через него и все отлично работает.

Мне бы теперь просто заставить VPN сервер на VPS ходить в сеть через forti.

Кстати вот конфиг OpenVPN:

local xx.xx.xx.181
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
server-ipv6 fddd:1194:1194:1194::/64
push "redirect-gateway def1 ipv6 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "block-outside-dns"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify
log /dev/null
status /dev/null

Answer 1

[Alexey Dmitriev]

Дальше делать следующее - читать документацию по OpenVPN и настраивать маршруты.

Comments

[Александр Маджугин]

И что мне это даст?
Давайте опустим этот момент и предположим я знаю как настроить маршруты (для сервера не знаю, но нагуглю). Дальше-то что?
Как я узнаю какие маршруты надо настраивать? В этом и суть вопроса - я на логическом уровне слабо представляю что делать. Как сделать так чтобы OpenVPN сервер ходил наружу через соединение созданное forticlient.
Если я буду это понимать я уж как-нибудь нагуглю как это настраивается.

[Alexey Dmitriev]

Александр Маджугин, тогда непонятно - какой помощи вы хотите, если слабо представляете на логическом уровне.
Вам нужно как минимум что-то сделать и написать, что не получилось.

[Александр Маджугин]

Alexey Dmitriev, вроде бы я сделал и описал что сделал. Если не понятно я могу попробовать перефразировать:

сть удаленный сервер назовем его просто gitlab, к которому возможен доступ "только по VPN". Судя по всему - там просто фильтрация по IP.

Есть мой компьютер назовем его просто ноутбук, ip которого забанен на сервере VPN заказчика.

Я поднимаю VPS в нейтральной стране и хочу с него подключаюсь к VPN заказчика. И собственно подключаюсь. И пинг с него к gitlab идет. Все ок.

Теперь я поднимаю на нем же OpenVPN сервер и подключаюсь к нему с ноубука. Я ожидаю что OpenVPN на VPS будет выходить наружу через подключение fortivpn и соотвествено теперь пакеты с моего ноубука будет идти через
OpenVPN@VPS и forti@VPS к gitlab. Но этого не происходит.

Т.е. если представить это в виде какой-то схемы то я ожидаю что маршрут будет какой-то такой [ноутбук]->[OpenVPN@VPS -> forti@VPS] -> [fortivpnserver] -> [gitlab]

Т.е. никакого "не получается" у меня нет. У меня все получилось. Вопрос почему то что получилось работает не так как я ожидаю и что нужно сделать чтобы работало так как я хочу.

[Alexey Dmitriev]

Александр Маджугин, вам нужно разобраться, какие записи добавляет подключенный forticlient на VPS. Если он не перехватывает маршрут по умолчанию - 0.0.0.0 - то можно через iptables -j SNAT нужно направить нужные вам пакеты в выходной адрес fortliclient туннеля в VPS.

[Александр Маджугин]

Alexey Dmitriev, судя по всему никакие:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  10.8.0.0/24          anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

По крайней мере в iptables.

[Александр Маджугин]

Alexey Dmitriev, openVpn добавляет такое:

-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source xx.xx.xx.181

Я сбросил таблицу nat и создал новое:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source yy.yy.yy.17

Я попробовал создать аналогичное тому что было:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source yy.yy.yy.17

тоже нет (((

Answer 2

[Drno]

Включить nat для обоих интерфейсов на серваке
В клиенте опенвпн указать маршруты с помощью push…

Comments

[Александр Маджугин]

Можно чуть подробнее - я совсем нуб в сетевых вопросах.