Почему Ovpn config перестал давать коннект к интернету?

Question

[Тёма]

Всем привет. Столкнулся с такой проблемой: Постоянно делаю Ovpn конфиги (OpenVPN и Wireguard) на VPS. Делаю по скрипту с githuba. Со вчерашнего дня все конфиги (новые которые делаю) перестали давть доступ в интернет. Сам конфиг подключается нормально но интернета нет, непосредственно с VPS доступ в инет есть. Подскажите пожалуйста что это может быть?

Comments

[Alexey Dmitriev]

Стоит продиагностировать проблему утилитами ping, nslookup и tracert\traceroute

[asmelnik]

Подключается, а данные внутри ВПН-а "ходят" или нет? что говорит маршрутизация? Может у вас банально в NAT не попадает диапазон новых IP-ов.
Без подробностей можно с тем же успехом на кофейной гуще погадать.

[Тёма]

Так, а какие данные именно нужны для помощи? Я просто новичок, еще не совсем понимаю откуда брать какую информацию по соединениям. Сейчас буду диагностировать как писали выше (ping, nslookup и tracert\traceroute). Дело в том что раньше по этому скрипту все было нормально, давно уже их делаю. А сейчас получается блокируется интернет и все. Я сначала подумал что это какая то локальная проблема с одним VPS. Но это происходит со всеми новыми на которых пробую сделать конфиг.

[asmelnik]

А сколько конфигов наклепали?

В конфиге vpn сервера есть
topology subnet
server х.х.х.х у.у.у.у
Что там?
Назначается ли на клиенте ip?
Насколько новичок-то?
Как пользоваться ping, смотреть ip, смотреть логи знаете?

[Тёма]

Alexey Dmitriev, этим нужно диагностировать с терминала VPS или из винды клиента?

[asmelnik]

По-хорошему и там и там.

[Тёма]

asmelnik, ну у меня как получилось: Создал конфиг, он не работает, удалил, создал новый. Либо же когда менял днс я удалял старый конфиг и создавал новый с другими днс.
Вообще нулевый ) Хочу развиваться именно в сфере соединений.

ping google.com
64 bytes from del11s18-in-f14.1e100.net (142.250.193.238): icmp_seq=1 ttl=57 time=458 ms
64 bytes from del11s18-in-f14.1e100.net (142.250.193.238): icmp_seq=2 ttl=57 time=458 ms
64 bytes from del11s18-in-f14.1e100.net (142.250.193.238): icmp_seq=3 ttl=57 time=457 ms

ifconfig
ens3: flags=4163 mtu 1500
inet 89.44.193.68 netmask 255.255.255.0 broadcast 89.44.193.255
inet6 fe80::5054:ff:fe1c:8daa prefixlen 64 scopeid 0x20
ether 52:54:00:1c:8d:aa txqueuelen 1000 (Ethernet)
RX packets 614706596 bytes 39194137147 (39.1 GB)
RX errors 0 dropped 5 overruns 0 frame 0
TX packets 4450226 bytes 730301132 (730.3 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 12 bytes 1714 (1.7 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 12 bytes 1714 (1.7 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

wg0: flags=209 mtu 1420
inet 10.7.0.1 netmask 255.255.255.0 destination 10.7.0.1
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 4 bytes 372 (372.0 B)
RX errors 1 dropped 0 overruns 0 frame 1
TX packets 29 bytes 3820 (3.8 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

По логам не особо разобрался из какого именно файла их написать.

[asmelnik]

wg0: flags=209 mtu 1420
inet 10.7.0.1 netmask 255.255.255.0

1. с клиента должен бегать ping на 10.7.0.1
2. На клиенте windows
route print
там должен быть маршрут через 10.7.0.1, не помню как оно в win выглядит, вроде
0.0.0.0 0.0.0.0
3. на win
ping 8.8.8.8
Если ответ есть -- у вас с DNS проблема. Если нет -- скорее всего трабла на сервере.

На сервере
iptables -t nat -nvL
покажите

[Тёма]

Chain PREROUTING (policy ACCEPT 510 packets, 23448 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 510 packets, 23448 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ens3 10.8.0.0/24 0.0.0.0/0
0 0 MASQUERADE all -- * en0 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE all -- * ens3 0.0.0.0/0 0.0.0.0/0

[Тёма]

Блин вот это вообще не понял что сделать нужно )

wg0: flags=209 mtu 1420
inet 10.7.0.1 netmask 255.255.255.0

1. с клиента должен бегать ping на 10.7.0.1
2. На клиенте windows
route print
там должен быть маршрут через 10.7.0.1, не помню как оно в win выглядит, вроде
0.0.0.0 0.0.0.0
3. на win
ping 8.8.8.8
Если ответ есть -- у вас с DNS проблема. Если нет -- скорее всего трабла на сервере.

[asmelnik]

1. с клиента должен бегать ping на 10.8.0.1
2. На клиенте windows
route print
там должен быть маршрут через 10.8.0.1, не помню как оно в win выглядит, вроде
0.0.0.0 0.0.0.0
3. на win
ping 8.8.8.8
Если ответ есть -- у вас с DNS проблема. Если нет -- скорее всего трабла на сервере.

Answer 1

[AlexVWill]

Ты в РФ находишься? Тогда причина понятна, если по простому - то идет блокировка протокола со стороны провайдера по приказу РКН.

Comments

[Тёма]

Да в РФ. Я тоже подумал об этом, но хотелось бы знать точно так ли это? А как можно точно узнать боликорвка ли это от РНК или дело в кривых руках? Есть ли решения обхода этого? Если у меня уже куплены несколько VPS возможно ли как то еще через них подключится? Или получается это бан этому IP выдали? Или тупо по протоколам?

[shurshur]

CeMgnom, подписаться на телеграммические каналы zatelecom, usher2 итд итп где регулярно пишут если подобное начинается.

openvpn и тем более wireguard слишком легко детектится и потому ломается даже без бана IP. Для обхода этого tls-crypt в openvpn может помочь (а может не помочь), лучше же начать использовать протоколы, которые пока не блокируются (shadowsocks, amnesia, vless, xtls-reality и другие подобные слова). Самый лёгкий способ из всего этого на текущий момент - outline. Себе ставишь менеджер, который настраиваешь на конфигурирование хоста по инструкции, где в докере будет запущен shadowsocks, клиентам даёшь ключи, сделанные кнопкой в этом менеджере. Работает на компе и мобилке очень легко и понятно.

[AlexVWill]

shurshur,

Для обхода этого tls-crypt в openvpn может помочь (а может не помочь)

не помогает

spoiler

[AlexVWill]

CeMgnom,

Или тупо по протоколам?

да

[asmelnik]

Попробуйте ради интереса протокол на tcp поменять на клиенте и сервере, и порт на 443 :)

[AlexVWill]

asmelnik, у меня на этом сервере на 443 уже Xray висит, но за идею спасибо... Да и потом, я не думаю, что идет блокировка просто по UDP/1194, соединение то устанавливается.

[asmelnik]

DPI провайдера может отреагировать не сразу, пропустит несколько пакетов и отрежет.
А порт можно 8443 - его тоже под https некоторые сервисы используют.

[shurshur]

AlexVWill, я предупреждал, что может не помочь.

Но из Ташкента помогает, доказано нашим сотрудником, который оттуда родом и корпоративный openvpn из дома родителей использовал.

[Тёма]

Да, это оказалась блокировка Роса( Но короче можно запускать эти конфиги если с впна его включаешь или просто быстро переключаешься. А так да, пошел xray изучать. Всем спасибо!

Answer 2

[Drno]

показывайте конфиг сервера и клиента. может банально DNS недоступны, может где то накосячили на гитхабе, если это не Ваш проект

Comments

[Тёма]

Извиняюсь за тупость, конфиг клиента это я так понял сам фаил конфигурации. А где взять конфиг сервера?
Вот сам конфиг

client
proto udp
explicit-exit-notify
remote 92.223.30.203 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_a6VzUhleieMrrgua name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3

[asmelnik]

CeMgnom,
Вы бы хоть сертификаты с ключами поудаляли!

[Drno]

CeMgnom, конфиг сервера обычно находится на сервере, в папке /etc/openvpn

надо проверять включен ли NAT в ядре на сервере, и включен ли маскард у iptables

какая ОС на сервере?

[Тёма]

Не судите строго, я пока еще нулевый совсем. Не знал что нужно, а что нет. Поправил.

[Тёма]

Drno,
OC ubuntu 2.0

конфиг сервера:
port 1194
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DNS 8.8.8.8"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_a6VzUhleieMrrgua.crt
key server_a6VzUhleieMrrgua.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[Drno]

CeMgnom,
net.ipv4.ip_forward=1 прописано в файле /etc/sysctl.conf ?

iptables - NAT включен?
iptables -t nat -A POSTROUTING -o en0 -j MASQUERADE - где en0 - сетевой интерфейс на сервере?

[Тёма]

net.ipv4.ip_forward=1 прописано в файле /etc/sysctl.conf - это включен
а в файле iptables пара строчек непонятных и все

[Drno]

CeMgnom, покажите команду
sudo ip a

замажте внешний ip

попробуем включить masquerade для интерфейса
iptables -t nat -A POSTROUTING -o en0 -j MASQUERADE - где en0 - сетевой интерфейс

[Drno]

CeMgnom, net.ipv4.ip_forward=1 - без # вначале строки?

[Тёма]

Drno,
net.ipv4.ip_forward=1 - где то в середине с срешеткой

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens3: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 52:54:00:01:44:9f brd ff:ff:ff:ff:ff:ff
inet (Замазал:) )/32 brd 92.223.30.203 scope global ens3
valid_lft forever preferred_lft forever
inet6 2a03:90c0:1a5::5aa/125 scope global
valid_lft forever preferred_lft forever
inet6 fe80::5054:ff:fe01:449f/64 scope link
valid_lft forever preferred_lft forever
5: tun0: mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::bc37:36fa:7423:2f98/64 scope link stable-privacy
valid_lft forever preferred_lft forever