Почеум клиент OpenVPN подключается к серверу успешно, но сайты не открывает?

Question

[Vincent1]

Установил сервер OpenVpn на Ubuntu как обычно так

wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh

. Создал пользователя и добавил файл в клиента на своем пк. Клиент подключается успешно, но тут проблема - сайты не открывает и даже пинга нет.
Сервер работает на стандартном порту, порт открыт.
Можно было подумать, что проблема в DNS, но нет даже пинга после подключения.
Пробовал уже несколько раз переустанавливать, но проблема остается.

В логах openvpn-server ничего полезного не заметил

TITLE,OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 14 2022
TIME,2023-10-15 11:12:53,1697368373
HEADER,CLIENT_LIST,Common Name,Real Address,Virtual Address,Virtual IPv6 Address,Bytes Received,Bytes Sent,Connected Since,Connected Since (time_t),Username,Client ID,Peer ID,Data Channel Cipher
CLIENT_LIST,stsoldier,42.42.226.233:62685,10.8.0.2,,193504,3915,2023-10-15 11:11:44,1697368304,UNDEF,0,0,AES-256-GCM
HEADER,ROUTING_TABLE,Virtual Address,Common Name,Real Address,Last Ref,Last Ref (time_t)
ROUTING_TABLE,10.8.0.2,stsoldier,42.42.226.233:62685,2023-10-15 11:12:52,1697368372
GLOBAL_STATS,Max bcast/mcast queue length,1
END

server.conf

local 10.67.220.61
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "block-outside-dns"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify

client-common.txt

client
dev tun
proto udp
remote 41.41.39.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
verb 3

Comments

[Aetae]

На сервере:
cat /proc/sys/net/ipv4/ip_forward
На клиенте(при подключённом):
route print

[Vincent1]

Aetae, cat /proc/sys/net/ipv4/ip_forward результат: 1. На клиенте у меня windows10 и он успешно работает с несколькими другими openvpn. Так что с клиентом все ок.

[Aetae]

Vincent1,
1. Ок, и должно быть 1.
2. Ну раз у тебя всё работает, то сам и разбирайся, лол.

Answer 1

[Alexey Dmitriev]

Нужно сделать 3 вещи:
1. Включить ipv4 forwarding в ядре через sysctl
2. Включить NAT (SNAT или MASQUERADE) для подсети OpenVPN в firewall через iptables
3. Проверить, что после подключения на клиенте маршрут по умолчанию меняется на openvpn.

Comments

[Vincent1]

1. net.ipv4.ip_forward = 1
2. В POSTROUTING оказалось 3 не правильных правила с ip 10.67.230.85, после смены конфигурации сервера в прошлом. Я удалил эти правила sudo iptables -t nat -D POSTROUTING (id) и все заработало как положено. Спасибо за помощь!

iptables -t nat -L -n -v

root@scw-3beac2:/etc/openvpn/server# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 19M packets, 1157M bytes)
 pkts bytes target     prot opt in     out     source               destination
 627K   37M DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 18M packets, 1102M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 22M packets, 1397M bytes)
 pkts bytes target     prot opt in     out     source               destination
 528K   32M DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 22M packets, 1397M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0
 1477  102K SNAT       all  --  *      *       10.8.0.0/24         !10.8.0.0/24          to:10.67.230.85
    0     0 SNAT       all  --  *      *       10.8.0.0/24         !10.8.0.0/24          to:10.67.230.85
    0     0 SNAT       all  --  *      *       10.8.0.0/24         !10.8.0.0/24          to:10.67.230.85
    0     0 SNAT       all  --  *      *       10.8.0.0/24         !10.8.0.0/24          to:10.67.220.61

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0

Answer 2

[Roon1988]

Там файл есть ip-tables , вы сетку поменяли а в нем ничего не изменили